Anzeige
SECURITY30. Juni 2021

Lookout: Angriffe auf den Finanzsektor über Mobile Devices verfünffacht

Lookout hat Sicherheitsprobleme der Finanzbranche rund um Mobile Devices analysiert. <Q>Lookout
Lookout hat Sicherheitsprobleme der Finanzbranche rund um Mobile Devices analysiert. Lookout

Mehr Home Office für die Mitarbeiter von Banken und Finanzdienstleistern, dazu die Verlagerung der Kontakte von Filialen auf Online-Services rücken Smartphones und Tablets ins Zentrum der Angriffe auf den Finanzsektor. Security-Anbieter Lookout hat hier während der Corona-Pandemie eine fünffach höhere Risikoexposition gegenüber Malware und Apps festgestellt. Darauf muss die Branche reagieren.

Die Einschränkungen aufgrund der Corona-Pandemie haben die digitale Transformation auch im Finanzsektor beschleunigt. In der Folge haben sich zahlreiche Prozesse auf mobile Geräte verlagert. Auch wenn sich die Lage in den kommenden Monaten weiter normalisiert, wird ein hybrides Arbeitsmodell auf absehbare Zeit Realität bleiben.

So haben einige der weltweit größten Banken signalisiert, dass zumindest ein Teil der Mitarbeiter in diesem Sommer in die Büros zurückkehren soll. Das bedeutet, einige Mitarbeiter kehren in Vollzeit zurück, andere nur zeitweise und wieder andere werden komplett remote tätig sein. Aber alle Beschäftigten gehen mit sensiblen Kundendaten um. Der verlässliche Perimeter-Schutz ist jedoch in der Regel nur innerhalb der physischen Büroumgebung gegeben.

MDM alleine reicht nicht

Lookout hat sich eingehend mit Millionen von Geräte-, App- und Phishing-Bedrohungsdaten im Lookout Security Graph befasst und sektorspezifisch im Financial Services Threat Report (zum kostenlosen Download) ausgewertet. Eine der Erkenntnisse: im vergangenen Jahr stieg die Nutzung von Mobile Device Management (MDM) in der Finanzbranche um rund 50 Prozent. Doch die durchschnittliche Exposition gegenüber Phishing pro Quartal wuchs gleichzeitig um 125 Prozent. Und bei der Risikoexposition gegenüber Malware und Apps registrierte Lookout eine Zunahme um mehr als das Fünffache.

Hank Schless, Senior Manager Security Solutions bei Lookout, verweist darauf, dass MDM zwar ein wichtiger erster Schritt ist, um grundlegende Unternehmens-Richtlinien auf mobilen Geräten der Mitarbeiter durchzusetzen. Das Mobile Device Management biete aber keinen Einblick in die Bedrohungen, denen diese ausgesetzt sind, schon gar nicht in Echtzeit. Angesichts unzähliger Apps auf Smartphones und Tablets könne MDM auch die Unternehmensdaten nicht zuverlässig schützen. Dafür braucht es Lösungen zur Endpoint-Security.

Hohe Erfolgsquote beim Phishing

Problematisch sind zum einen die erteilten Berechtigungen für Apps, die Zugriff auf Kontakte oder den Standort verlangen, was manchem Mitarbeiter harmlos erscheinen mag. Sofern dadurch allerdings auf Daten aus dem Unternehmensnetzwerk zugegriffen werden kann, und damit verbundene Apps und Datenbanken, drohen Verstöße gegen Daten-Governance-, Risiko- und Compliance-Anforderungen.

Die größte Gefahr geht jedoch vom Phishing aus. Mit dem „Digital first“-Ansatz ist die Anfälligkeit für diese Form des Angriffs generell gestiegen. Laut Lookout lag die Bedrohungsrate 2020 im Durchschnitt über alle Branchen um 28,5 Prozent höher. Der Finanzsektor war davon überdurchschnittlich betroffen, hier lag die Steigerung fast fünfmal höher.

<Q>Linkedin / Lookout
Linkedin / Lookout

Wir kommunizieren mehr denn je über mobile Geräte und hantieren mit vielfältigen Daten. Das hat dazu geführt, dass die Grenze zwischen privater und beruflicher Nutzung längst verschwommen ist. Wir nutzen mobile Apps, um einzukaufen, Rechnungen zu bezahlen und Investitionen zu managen. Cyberkriminelle wissen das und greifen uns auf den Geräten an, die wir am häufigsten nutzen.“

Hank Schless, Lookout

Lookout verweist darauf, dass Phishing-Angriffe auf mobilen Geräten viel schwieriger zu erkennen sind als auf Laptops oder Desktop-Computern. Die erste Verteidigungslinie gegen Phishing ist grundsätzlich die Schulung von Benutzern, damit sie nicht von vornherein auf den Link tippen. Solche Schulungen müssten jedoch explizit auch die Gefahren der mobilen Geräte umfassen und thematisieren, warum Angriffswellen hier erfolgreicher sind als auf Desktops, um die Mitarbeiter zu sensibilisieren.

Apps als Risiko

Unternehmen im Finanzsektor sind mit einem fünffachen Anstieg der durchschnittlichen vierteljährlichen Expositionsrate gegenüber bösartigen und risikobehafteten Apps konfrontiert. Dies hat zwei Gründe: die wachsende Bedeutung von Schwachstellen und Malware-as-a-Service (MaaS).

App-Schwachstellen treten immer häufiger auf und werden auch häufiger ausgenutzt. Der enorme Anstieg der Fälle ist teilweise darauf zurückzuführen, dass Software Development Kits (SDKs) als besondere Risiko-Quelle identifiziert wurden. Ein aktuelles Beispiel ist SourMint, ein weit verbreitetes Werbesoftware-Entwicklungskit (SDK) für iOS-Apps, das inzwischen als Riskware eingestuft wurde. Darüber konnten App-Entwickler Einblick in die Surfgewohnheiten der Benutzer und andere private Benutzerdaten nehmen. Diese wurden sogar an Dritte für Datenanalysen verkauft. Für IT-Administratoren sind solche Gefahren kaum zu entdecken, da sie in der Regel keinen Einblick in den Quellcode einer App nehmen können.

Zusätzlich zu riskanten SDKs gibt es jede Woche Schwachstellen in neuen Versionen mobiler Apps. Ende 2020 wurde eine Version des Chrome-Browsers für Android entdeckt, die mittels einer böswilligen HTML-Seite angegriffen werden konnte. Bei Erfolg gab der Browser den Zugriff auf alle Chrome-Funktionen frei, einschließlich Kamera und Mikrofon, Standortdaten und Browserverlauf.

„Perfekter Sturm“ in Sachen IT-Security

Ein weiteres Problem im Zusammenhang mit Apps ist die wachsende Zahl von Malware-as-a-Service (MaaS). Ähnlich wie Software-as-a-Service (SaaS)- oder Infrastructure as a Service (IaaS) erleichtert MaaS das Einrichten und Anpassen von Malware. Ein bekanntes Beispiel liefert der Banking-Trojaner FluBot, der gezeigt hat: MaaS ist eine generell sehr kostengünstige Option, die es Angreifern leicht macht, eine Kampagne zu starten und speziell auf ihr Anforderungsprofil abzustimmen – wie zum Beispiel die Banken- und Finanzbranche und ihre Kunden.

MaaS ist nur ein weiterer Baustein neben der zunehmenden Digitalisierung, hybridem Arbeiten und dem hohen Vertrauen, das User ihren mobilen Devices entgegenbringen, die in Kombination ideale Bedingungen für den perfekten Bedrohungssturm schaffen, so Hank Schless. hj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert