PSD2 und die Datensicherheit bei Banken

Die Umsetzungsfrist der „Payment Service Directive 2“ (PSD2) ist Mitte September abgelaufen und damit eine Zwei-Faktor-Authentifizierung zum Standard bei Online-Transaktionen geworden. Ist damit alles gut in Sachen Datensicherheit bei den Banken? Leider nein. Datensparsamkeit und Zugriffsrechte sind essenziell.

Klaus Nemelka, Technical Evangelist bei Varonis Systems

Zwar unternehmen Banken schon seit Jahren große Anstrengungen, was den missbräuchlichen Zugang zu den Kundenkonten anbelangt, und die neue Richtlinie bringt nun obligatorisch eine weitere Sicherheitsstufe. Jedoch verfügen Banken und Finanzinstitute jenseits des Konto-Frontends noch über jede Menge sensible und für Cyber-Kriminelle interessante Daten, deren Schutz gerne vernachlässigt wird. Jüngstes Beispiel aus dem Finanzumfeld ist das Bonusprogramm einer Kreditkarte, bei dem Daten von fast 90.000 Teilnehmern online veröffentlicht wurden. Diese Informationen umfassten u.a. Vor- und Zunamen, Geburtsdatum, E-Mail-Adressen, teilweise auch (deutsche) Postanschriften und Handynummern. In diesem Fall wurden offensichtlich die Sicherheitsrisiken nicht optimal priorisiert.

Die Banken müssen die neuesten Bedrohungen und die Taktiken der Cyber-Kriminellen verstehen, hierauf stets entsprechend reagieren und ihre Abwehrmaßnahmen daran ausrichten. Nur so kann die Sicherheit der ihnen anvertrauten Daten gewährleistet werden.”

Datenzugriff reduzieren

Zu den größten Risikofaktoren, denen Finanzinstitute ausgesetzt sind, gehören der unkontrollierte Zugriff auf Daten und die Speicherung zu vieler ungenutzter und unnötiger Daten in ihren Netzwerken und Datenspeichern. Im Rahmen von Risikobewertungen wurden beispielsweise bei einem Finanzunternehmen eine Gehaltsabrechnungsdatei entdeckt, die für jeden Mitarbeiter zugänglich war. Selbst die Empfangsdame an der Rezeption konnte so über ihr Nutzerkonto leicht auf vertrauliche Gehaltsabrechnungen zugreifen. Und dies ist leider kein Einzelfall:

Der Datensicherheits-Report 2019 zeigt, dass bei einem durchschnittlichen Finanzunternehmen 21 Prozent der sensiblen Dateien und Ordner über zu weit gefasste Zugriffsrechte verfügen.”

Im Durchschnitt sind dies über 350.000 ungeschützte, sensible Dateien, die für jedermann im Unternehmenssystem zugänglich sind.

Dies ist aus mehreren Gründen bedenklich. Erstens bedeutet der uneingeschränkte Zugriff auf Dateien, dass jeder in einem Unternehmen Dateien einsehen und ändern kann, unabhängig von seiner beruflichen Rolle, ganz egal ob er wirklich Zugang benötigt oder nicht. Sollte ein nur zeitweilig aktiver Berater oder gar ein Praktikant in der Lage sein, auf die personenbezogenen Daten (PII) eines Kunden zuzugreifen, diese zu ändern oder zu exfiltrieren?

Bei so weit gefassten Zugriffsrechten ist es überdies schwierig nachzuvollziehen, wer Änderungen an einer Datei vorgenommen hat oder im Falle eines Datenabflusses festzustellen, wie und vor allem durch wen dies bewerkstelligt wurde.”

Zweitens haben durch diese exzessiven Zugriffsrechte auch Angreifer leichtes Spiel. Sollte es einem Cyber-Kriminellen gelingen, sich Zugang zum Unternehmensnetzwerk zu verschaffen (etwa durch Phishing oder Social Engineering), hat er damit Zugriff auf all diese Dateien, die für das gekaperte Konto zugänglich sind. Ebenso verhält es sich bei einer Ransomware-Attacke: Je mehr Dateien von einem infizierten Konto zugänglich sind, desto mehr Dateien können auch verschlüsselt werden. Das heißt also: Wenn das betroffene Nutzerkonto globale Zugriffsrechte hat, können sämtliche Unternehmensdateien kopiert oder verschlüsselt werden. Der GAU für die Datensicherheit.

Wie bekommt man nun diese zu weit gefassten Zugriffsrechte in den Griff und wie lässt sich die damit verbundene Gefährdung verringern?

Unternehmen sollten einen Least-Privilege-Ansatz verfolgen, bei dem die Mitarbeiter nur auf die Daten zugreifen können, die sie auch tatsächlich für ihre Arbeit benötigen.”

Um diesen Ansatz umzusetzen, muss in einem ersten Schritt der globale Zugriff aufgehoben werden. Anschließend sollten Datenverantwortliche (data owner) bestimmt und eingesetzt werden, die über die Zugriffsrechte in ihrem Bereich entscheiden können. Diese sitzen also nicht in der IT-Abteilung, sondern in den jeweiligen Fachabteilungen oder Organisationseinheiten. Dadurch wird nicht nur das IT-Team entlastet, vielmehr haben die Datenverantwortlichen auch einen wesentlich besseren Einblick, wer welchen Zugriff benötigt oder welcher Mitarbeiter beispielsweise die Abteilung oder das Unternehmen verlassen hat. Aber ohne Automation geht es in Anbetracht der schieren Menge an Daten auch hier nicht. Durch spezielle Algorithmen lässt sich identifizieren, wer auf welche Daten zugreift, und die Zugriffsrechte können entsprechend angepasst werden. Auf ähnliche Weise können auch die Daten entdeckt werden, die nicht mehr benötigt werden.

Datensicherheit: Nicht mehr benötigte Daten entfernen

Veraltete, nicht mehr genutzte oder redundante Daten verursachen nicht nur Kosten in Bezug auf Speicher und Management, sondern sind auch sicherheitsrelevant. Und sie sind umfangreicher, als die meisten denken: Der Datenrisiko-Report 2019 ergab, dass mehr als die Hälfte (53 Prozent) aller Daten in einem Unternehmen in diese Kategorie fallen. Fast neun von zehn (87 Prozent) Unternehmen verfügen über mehr als 1.000 veraltete Dateien, sieben von zehn (71 Prozent) sogar über mehr als 5.000. Aber warum ist dies ein Sicherheitsrisiko? Ganz einfach:

Auch wenn die Daten für das Unternehmen keinen Wert mehr haben mögen, sind sie möglicherweise für Kriminelle durchaus noch interessant.”

Finanzdaten von ehemaligen Kunden können in den falschen Händen diverse Ansatzpunkte für Betrug, Erpressung u.ä. bieten. Zudem kann man nur das adäquat schützen, das man kennt. Finanzunternehmen müssen also für die Datensicherheit genau wissen, welche Daten sie in ihren Systemen wo gespeichert haben. Auch im Hinblick auf die DSGVO ist dies unumgänglich: Jedes Unternehmen, das personenbezogene Daten besitzt, muss in der Lage sein, die entsprechenden Personen über die gespeicherten Informationen zu informieren und diese gegebenenfalls zu entfernen. Dies ist nur möglich, wenn man weiß, wo sämtliche die Person betreffende Daten zu finden sind.

Datensparsamkeit zahlt sich hier mehrfach aus: Je weniger Daten ein Unternehmen aufbewahren muss (natürlich entsprechend der jeweiligen Aufbewahrungsfristen), desto weniger muss es für die Speicherung ausgeben. Und desto geringer natürlich auch das Risiko, dass Daten abgegriffen werden.”

Die Kontrolle zurückgewinnen

Im Laufe der Zeit sind die Datenbestände weltweit immer weiter angestiegen. Der Bankensektor bildet hier keine Ausnahme. Und leider ging irgendwann auch die Kontrolle und die Übersicht verloren. Um diese wiederzuerlangen, müssen Finanzinstitute eine vollständige Analyse aller Ordner und Dateien in ihren Unternehmensnetzwerken bis in den letzten Winkel und ins kleinste Detail durchführen. Bei diesem „Aufräumen“ müssen veraltete, nicht mehr benötigte Dateien identifiziert und markiert werden, um diese dann – entsprechend der jeweiligen Bestimmungen – zu löschen oder zu archivieren. Gleichzeitig sollte auch ermittelt werden, wer Zugriff auf welche Ordner und Dateien hat, damit die Berechtigungen entsprechend dem need-to-know-Prinzip angepasst bzw. aktualisiert werden können. Wird dann noch der Dateizugriff mittels intelligenter Nutzerverhaltensanalyse (UBA) überwacht, ist ein gewaltiger Schritt in Richtung Datensicherheit getan.aj