Resilienz ist die neue Sicherheit – Warum der Finanz­sektor Resilienz gegen Cyber-Bedrohungen braucht

So populär die Vorstellung von der Finanzbranche als Geldmaschine mit Quants, Händlern und Algorithmen, die beim Kaufen und Verkaufen die Gewinne maximieren, auch sein mag – in Wahrheit ist es viel komplizierter: Es handelt sich um eine Dienstleistungsbranche.

von Baldeep Dogra, Director Product Marketing Solutions & Industries bei BlackBerry

Eine Dienstleistungsbranche ist schwieriger zu sichern als eine, die von Computern getrieben ist und sich um diese dreht, weil Computer im Allgemeinen keine Bedürfnisse, Wünsche oder Emotionen haben, die es zu befriedigen gilt. Menschen hingegen haben Emotionen und benötigen ein Umfeld, das Kooperation, Transparenz und Vertrauen erfordert, damit Dinge erledigt werden.

Servicebasierte Unternehmen können ihre Vermögenswerte nicht wie Lagerhäuser schützen, indem sie sie abschließen und selektiv festlegen, wer wo und wie auf sie zugreifen darf. Das liegt zum einen daran, dass sie mit Menschen zu tun haben, die Fragen haben und Sicherheiten brauchen. Der andere Grund ist, dass dieselben Menschen, ihre Kunden, auch zentrale Assets sind.

Aus diesem Grund muss sich der gesamte Finanzsektor auf das Thema Resilienz konzentrieren, um seine Vermögenswerte zu schützen, und nicht etwa auf den altmodischen Ansatz alles wegzuschließen.”

Kundendaten ermöglichen es böswilligen Akteuren, ihre kriminellen Aktivitäten auszudehnen, indem sie den Zugriff auf Kontaktlisten und jegliche Finanzdaten wie Kontoinformationen und Zahlungsdaten ausweiten. Kriminelle können diese Daten dann weiterverkaufen, was in der Regel ihr primäres Ziel ist, da sie die Haupteinnahmequelle darstellen. Das macht den Finanzsektor zu einem Hauptziel.

Da Finanzdienstleistungen das Epizentrum globaler Finanztransaktionen bilden, können gestohlene Kundendaten verwendet werden, um gefälschte Konten zu erstellen und Geld an und zwischen Kriminellen zu verschieben. Das Prozedere ist so nützlich, dass Kriminelle alle möglichen Tricks anwenden, um an diese Daten zu gelangen: Malware, Phishing-Angriffe, DDoS, Ransomware oder Man-in-the-Middle-Angriffe.

Wie lassen sich also Kunden sichern, ein Gut, das nicht eingesperrt und bewacht werden kann? Die Branche muss eine Kultur der Resilienz etablieren, um die Folgen einer Sicherheitsverletzung zu mindern und zu überwinden. Dies geht weit über die Einführung der richtigen Technologielösungen hinaus, da die Menschen der kritische Faktor sind. Es erfordert vielmehr einen Präventivschlag.

Im OSSTMM v3 heißt es:

Resilienz ist die Kontrolle über alle Interaktionen, um den Schutz von Vermögenswerten im Falle einer Beschädigung oder eines Ausfalls aufrechtzuerhalten. Um Systemausfälle sicher zu überstehen.“

In einer Kultur der Resilienz muss sichergestellt werden, dass alle Prozesse mit der Anforderung aufgesetzt werden, dass sie auf sichere Weise ausfallen. Das bedeutet, dass Anwender über die Anforderungen hinausgehen müssen, indem sie eine „Prevent first“-Methodik anwenden. Sie tun dies, indem sie in Systeme oder Prozesse eine sichere Grundlage einbauen für den Fall, dass eine Sicherheitskontrolle versagt.

Resilienz ist eine Möglichkeit, die Bedürfnisse der Menschen zu erfüllen und sie trotzdem als den Wert zu behandeln, den sie repräsentieren, und nicht nur als Sicherheitsrisiko. Damit dies funktioniert, müssen Anwender es in ihre Sicherheitsstrategie integrieren und es zu einem Teil der übergreifenden Unternehmenskultur machen. So gelingt es:

1. Schulungen für Mitarbeiter, damit sie kritisch über Sicherheit nachdenken und ihre Handlungen im Hinblick auf Resilienz strukturieren. Das beinhaltet

– Unterstützung, Cyber-Hygiene-Ziele zu erreichen, indem Arbeitgeber ihnen die Werkzeuge zur Verfügung stellen, um gute Passwörter zu pflegen, sie vor Phishing zu schützen und ihre Daten zu sichern.

– Minimierung der Abhängigkeit von Schatten-IT. Empfehlenswert ist es, einen effizienten und angemessenen Prozess zu implementieren, um die IT-Bedürfnisse der Belegschaft über Support-Kanäle zu erkunden und zu erfüllen, damit die Mitarbeiter Fragen stellen und Lösungen erhalten, anstatt sich einfach zu widersetzen.

– eine klare Linie bei BYOD:

Wer seinen Mitarbeitern erlaubt, ihre eigenen Geräte für die Arbeit mitzubringen, muss eine sichere Infrastruktur für diese Geräte einrichten. Wer das nicht will, kann es nicht erlauben und benötigt ein Mittel, um es zu überwachen und zu kontrollieren.”

Es gibt keine zweigleisige Lösung beim Thema BYOD.

2. Passende Technologie- und Softwarelösungen, damit Cyber-Resilienz von Grund auf eingebettet werden kann:

– Bei der Resilienz gibt es keine Haftungsverschiebungen. Wer Passwörter als Teil seines Authentifizierungsschemas verlangt, kann seinen Kunden nicht einfach sagen, dass sie sich einen Passwort-Manager besorgen sollen, um sicherzustellen, dass sie gute Passwörter haben, sondern muss ihn für sie bereitstellen. Er kann ihnen nicht einfach sagen, dass sie einen zweiten Faktor für die Authentifizierung außerhalb des Kanals aktivieren sollen, sondern muss ihn zur Pflicht machen und Tools und sowie Trainings zur Verfügung stellen.

– Auf der Netzwerkebene muss ein „Separation-First“-Ansatz verfolgt werden, mit dem Unternehmen die Daten separieren können, um den Zugriff besser zu kontrollieren.

Ziel muss es sein, besser zu überwachen, wann Daten ihre Zone verlassen, und eine bessere Schadensbegrenzung zu ermöglichen, indem die Folgen eines Sicherheitsvorfalls verringert werden.”

– Empfohlen wird die Anwendung einer Zero-Trust-Strategie für Daten und Client-Dienste, die letztlich jeden Endpunkt zu einer eigenen Insel macht. Diese hat keine unauthentifizierten Verbindungen zu anderen Endpunkten und minimiert die automatische, bidirektionale Kommunikation mit dem Netzwerk drastisch. Da der Support von Zero-Trust-Strategien schwer zu bewerkstelligen ist, ist ein langsamer Übergang erforderlich. Die größten Auswirkungen ergeben sich, wenn mit persönlichen Identifikationsdaten und zugehörigen Datensätzen begonnen wird.

– Der Einsatz von künstlicher Intelligenz kann eine Option sein, um den kontinuierlichen Zugriff auf sensible Daten und Dateien zu verwalten. KI steigert die Effizienz und ihre Wirksamkeit befähigt die IT, über die statische Authentifizierung hinaus zu einer kontinuierlichen Authentifizierung überzugehen. KI kann zur Maximierung der Produktivität eingesetzt werden, indem die Benutzererfahrung optimiert wird. Konkret bedeutet das:

Die Benutzer müssen nicht ständig Passwörter eingeben, wenn sich ihr Kernrisiko ständig ändert. Mit KI passt sich die Richtlinie dynamisch an das Benutzerverhalten an, um das beste Schutzniveau zu bieten.”

3. Es ist sinnvoll durchzuspielen, wie es zu einer Sicherheitsverletzung kommen kann.

– Aufgrund der Natur des Menschen sind Sicherheitsverletzungen in vielen Fällen unvermeidlich. Unternehmen müssen sicherstellen, dass sie ihre eigene Angriffsfläche verstehen, damit sie die Schwachstellen überwachen können, an denen es zu Einbrüchen kommen kann. Oftmals sind diese Schwachstellen dort zu finden, wo Interaktionen mit Kunden stattfinden. Das Problem:

Ein vollständiger Lockdown aus Sicherheitserwägungen bedeutet viel Aufwand und führt zu Frustration sowie zum Verlust von Kunden. Resilient zu sein bedeutet hingegen, zu überwachen und bereit zu sein, zu reagieren. Da es jedoch enorm teuer ist, dies immer und überall zu tun, hilft es, genau zu wissen, wo und wann man dies tun muss.”

– Unternehmen sollten bereit sein, schnell zu reagieren, und sicherstellen, dass Sie alle Probleme beheben können oder einen Vertrag mit einem Unternehmen schließen, das dies kann. Es ist zwar bereits Teil der meisten gesetzlichen Compliance-Anforderungen, aber den Plan und das Know-how im Ernstfall einsetzen zu können, bedeutet weniger Ausfallzeiten, weniger Unannehmlichkeiten für die Kunden und weniger finanzielle Verluste.

4. Die Einhaltung gesetzlicher Vorschriften bedeutet, dass die Verantwortlichen untersuchen müssen, wie sich diese auf das Unternehmen auswirken. Ziel sollte es sein, sie mithilfe der geeigneten technischen Fähigkeiten dort zu übertreffen, wo das Unternehmen selbst am meisten davon profitieren kann, wie zum Beispiel bei der Expansion in neue Märkte oder Gebiete. Ein weiterer Anreiz und Vorteil kann darin bestehen, den Anforderungen der Kunden voraus zu sein, da immer mehr Finanzdienstleistungskunden sehr hohe Anforderungen an die Sicherheit ihrer Anbieter stellen.

– Die Einhaltung gesetzlicher Vorschriften wird von der IT-Sicherheit in der Finanzbranche erwartet, und oft bereitet die Erfüllung der Anforderungen in einem Land die Unternehmen auf die Erfüllung anderer vor, sogar in anderen Ländern. Zum Beispiel gibt es neben BAIT auf dem deutschen Markt und PSD2, die sich mit der Identität und dem strategischen Prozess befassen, auch andere Direktiven wie die DSGVO, die die Verwendung und Speicherung von Kundendaten regeln. In Großbritannien existiert die CBEST (Cyber Security Stress Testing Directive), die ein Äquivalent auf dem australischen Markt namens CPS-234 (APRA) hat. Beide haben das Ziel, sicherzustellen, dass die Firma einen strukturierten Ansatz für Cybersecurity-Stresstests vorhält, der auch die Anforderungen an Sicherheitstests in Nordamerika erfüllt. Die BaFIN (DE) wie auch die FCA (UK) regeln die MiFiD-2-Compliance-Anforderung, die sicherstellen soll, dass die Compliance in die Handelspraxis eingebaut wird – ein typischer Bestandteil davon ist die Aufzeichnung von Gesprächen. Das wiederum ähnelt den Transparenzanforderungen, die die SEC in den USA aufgestellt hat.

– BaFin-regulierte Unternehmen müssen nicht nur die Vorschriften erfüllen, sondern auch sicherstellen, dass die Governance durchgeführt werden kann. Um auf dieser Ebene für Sicherheit zu sorgen, arbeitet der Compliance-Beauftragte eng mit der IT-Sicherheit zusammen, berichtet regelmäßig an den CISO/CIO und ist in der Lage, auf Compliance-Richtlinien der BaFIN zu reagieren. Auf diese Weise werden die Last und die Verantwortung für die Lösung von Compliance-Problemen auf das Key Management verteilt und es ist viel wahrscheinlicher, dass sie zeitnah gelöst werden.

Es empfiehlt sich für Unternehmen sicherzustellen, dass sie nicht nur über die technischen Voraussetzungen verfügen, um regulatorische Belange zu adressieren, sondern dass diese nicht-technische Prozessen gezielt ergänzen, wo dies möglich ist, um im Falle eines technischen Problems oder gar eines Verstoßes weiterarbeiten zu können.”

Ein Beispiel dafür ist die MiFid 2, die die BaFIN für den deutschen Markt regelt und die unter anderem die Compliance-Anforderungen für die Transparenz und die Aufzeichnung von Transaktionen festlegt. Um die Transparenz der Handelspraktiken zu regeln, müsste eine Lösung zur Gesprächsaufzeichnung eingerichtet werden. Dazu gehört auch die Überwachung von persönlichen Geräten. Im Fall von Fehlern innerhalb dieses technischen Prozesses können Unternehmen ihre BYOD-Richtlinie vorlegen, die präzise Maßnahmen für die Nutzung von BYOD im Unternehmen vorgibt. Somit können sie gegenüber den Aufsichtsbehörden nachweisen, dass trotz des Fehlers die Einhaltung von MiFid 2 nicht beeinträchtigt wurde. Um dies noch weiter zu verbessern, können KI-Lösungen, die Unterstützung bei der Aufzeichnung von Datenschutzbelangen leisten, eng auf die Überwachungslösungen abgestimmt werden, um die Ausfallsicherheit zu gewährleisten, die für die Compliance benötigt wird.

Während der Aufbau von Sicherheit in der Dienstleistungsbranche schwierig und teuer sein kann, ist der Aufbau von Resilienz kein Problem. Insofern ist der Ansatz dem Versuch vorzuziehen, überall Absperrungen einzuziehen. Darüber hinaus verbessert Resilienz die Kundenbeziehungen und ermöglicht es Unternehmen, den Kunden zu helfen, ihre Geschäfte so zu führen, wie sie es wünschen, und gleichzeitig ihre Daten und damit ihre Geschäftsbasis zu schützen. Der Einsatz neuer Technologien wie KI kann den Prozess ebenfalls weniger schmerzhaft machen, wenn Unternehmen erst einmal wissen, was sie angehen müssen. Hier gibt es keine Möglichkeiten für Abkürzungen. Anwender müssen zuerst recherchieren und ihr eigenes Unternehmen sowie ihre Kunden kennen.

Doch trotz all der Mühe, die scheinbar im Vorfeld erforderlich ist, handelt es sich um dieselbe Arbeit, die auch bei der Implementierung traditioneller Sicherheitsmodelle erforderlich ist.

Der eigentliche Vorteil ist jedoch, dass eine Resilienz-Strategie die Gesamtkosten und den Aufwand für die Wartung des Systems oder den Kampf gegen Kriminelle mit teuren Programmen zur Verwaltung von Schwachstellen und Patches erheblich reduziert.”

Schließlich ist ein resilientes System so ausgelegt, dass es auch dann ausfällt, wenn die Kriminellen schneller sind.Baldeep Dogra, BlackBerry