IT-Monokulturen und fehlende Security-Spezialisten in der Finanzwelt: Die Einladung an Cyber-Kriminelle

Im Banking stehen alle Zeichen auf Digitalisierung. Doch Risiken für die Finanzstabilität und systemische Schwachstellen in der Sicherheitsarchitektur gefährden die Transformation. Im Zuge der digitalen Transformation öffnen immer mehr Unternehmen ihre geschäftskritischen Dienste für Vernetzung und Internet. Auch das Banking hat sich über die letzten Jahre radikal gewandelt. Der Umbau von einem Brick-and-Mortar-Business zu einer digital geführten Kundenbeziehung ist in vollem Gange. Alles gut – gäbe es nicht IT-Monokulturen und weltweit 3,5 Millionen unbesetzte Stellen für Security-Spezialisten …

von Marc Wilczek, COO von Link11

Der klassische Bankschalter, wie man ihn noch aus der Vergangenheit kennt, gehört der Vergangenheit an. Das Filialnetz wird ausgedünnt, die Verdichtungen über den gesamten Finanzsektor hinweg sind unübersehbar. Banking findet heute online statt. Auch das mobile Bezahlen etwa im Supermarkt, an der Mautstation oder der Parkuhr nimmt deutlich zu. Der Transformationsprozess bietet der Branche gewaltige Chancen. Doch auch Risiken lassen sich nicht leugnen.

Zahlungsdienste nach Cyber-Attacken gestört

Daneben ist auch die Abhängigkeit vom Netz und Diensten als eine Schwachstelle zu sehen. Die Idee eines konsequent digitalen Zahlungsverkehrs geht nur auf, wenn Verfügbarkeit und Stabilität der Online-Dienste permanent gewährleistet sind. Kommt es zu anhaltenden Störungen und größeren Ausfällen etwa durch Cyber-Attacken, kann dies angesichts der ohnehin schon nervösen Grundstimmung zu Kettenreaktionen und weitrechenden Vertrauenskrisen kommen.

Im Gegensatz zum moderaten Wachstum der Wirtschaft floriert die Cyber-Kriminalität und erfreut sich exponentiellem Wachstum.”

Allein die Schäden in Deutschland innerhalb der vergangenen zwei Jahre beziffert der Branchenverband Bitkom auf 43 Mrd. Euro. Im Vergleich zu anderen Wirtschaftsbereichen ist der Finanzsektor dabei am häufigsten Cyber-Attacken ausgesetzt. Online-Angriffe auf Bankensysteme haben eine lange Geschichte. Die jüngsten Vorfälle fanden in den Niederlanden statt, deren Großbanken 2018 von zwei Angriffswellen getroffen wurden. Die erste führte Anfang 2018 dazu, dass die Online- und Mobile-Banking-Services von ABN Amro und ING an einem Wochenende teilweise nicht verfügbar waren. Im Frühsommer traf es erneut ABN Amro und auch die Rabobank, deren Online- und Mobile-Dienste stundenlang ausfielen. Das Weltwirtschaftsforum in Davos stuft Cyber-Kriminalität als eines der größten Bedrohungsszenarien in sogenannten fortgeschrittenen oder reifen Volkswirtschaften ein. Namentlich Nordamerika und auch ganz explizit Europa. Demnach geht nach Einschätzung der Wirtschaftsexperten von großflächigen Cyber-Attacken gar ein größeres Gefahrenpotenzial aus als von einer neuen Finanzkrise oder Immobilienblase.

Welche Gefahr von Cyber-Attacken für ein ganzes Land ausgehen kann, haben die landesweiten Internet-Ausfälle in Simbabwe und Kambodscha gezeigt. Mitte Januar 2019 fiel für mehrere Tage im gesamten afrikanischen Land das Internet aus. Dem waren politische Proteste durch Anonymous vorausgegangen, die u. a. gedroht hatten: …

Your banking system will also fall soon.“

DDoS-Attacken auf die größten ISPs in Kambodscha hatten Anfang November 2018 die Online-Anbindung des südostasiatischen Landes massiv beeinträchtigt. Während der bis zu 150 Gbps großen Angriffe auf die größten Infrastrukturbetreiber waren die Internetanbindungen für einen halben Tag gekappt. Danach dauert es noch Stunden, bis der Normalbetrieb wiederhergestellt war. Ohne Schutzgeldforderungen oder ein Bekenntnis eines Hacker-Kollektivs zu den großflächigen Angriffen ist die Motivlage unklar. Hinter den Attacken könnte ein bezahlter DDoS-Auftrag stehen, wie der, der Anfang 2019 vor einem britischen Gericht verhandelt wurde. BestBuy, so der Name des angeklagten Hackers, soll von einem Internetdienstleister in Liberia 10.000 US-Dollar erhalten haben, um die Konkurrenz mit DDoS-Attacken auszuschalten. Die Angriffe ließen aber nicht nur den attackierten Provider, sondern das ganze Land offline gehen. Bei den Kunden des Providers entstanden nach Schätzung der National Crime Agency durch Umsatzverluste ein Schaden in zweistelliger Millionenhöhe (US-Dollar). Der Provider selbst gab geschätzte 600.000 US-Dollar für Abwehrmaßnahmen aus. Der DDoS-Angreifer bezahlt diese und andere Taten inzwischen mit einer Haftstrafe von 2 Jahren und 8 Monaten.

Report kritisiert IT-Monokulturen in der IT-Sicherheit

Großflächige Infrastruktur-Ausfälle gehören 2019 zu den Schadensszenarien, die speziell die IT-Abteilungen von Kritis-Betreibern auf der Agenda haben müssen. So hatte sich vor dem Hintergrund der Banking-Infrastrukturausfälle in den Niederlanden erstmalig auch eine Regulierungsbehörde mit der Frage beschäftigt: Wo liegen systemimmanente Risiken innerhalb der Finanzbranche? Dabei hat das CPG Netherlands Bureau for Policy Analysis ganz explizit das mit Fokus auf IT-Sicherheit gestreift. Augenscheinlich hatten die drei schon erwähnten niederländischen Bank ING, ABN Amro Bank und Rabobank auf denselben IT-Sicherheitsanbieter vertraut, dessen Schutzlösung bei großvolumigen DDoS-Attacken jedoch versagte.

Von den 30 weltweit führenden Banken lassen sich 56 % von diesem Anbieter vor Überlastungsangriffen schützen, führt das CPG weiter aus. Die Regulierungsbehörde stellt daher die Fragen, ob in diese IT-Monokulturen nicht ein systemimmanentes Risiko besteht.”

Der Domino-Effekt bei einem Totalausfall des Schutzes oder bei Angriffen gegen den Schutzanbieter selbst könnten weltweit spürbar sein. Die Behörde fordert daher die dortigen Banken auf, ihre Sicherheitsarchitektur auf den Prüfstand zu stellen. Dabei sollte die Reflektion neben dem Fokus auf das eigene Unternehmen auch in Hinsicht auf interdependente Infrastrukturen erfolgen.

IT-Monokulturen in der Sicherheit waren schon immer ein perfektes Ziel für Angriffe, sie konzentrieren das Risiko. Heterogene Infrastrukturen sind besser geschützt homogene IT-Landschaften.”

Mensch und Maschine in der IT-Sicherheit

Auch die Herangehensweise an IT-Sicherheit muss grundlegend überdacht werden. Die Nachfrage nach Security-Expertise ist enorm groß. Über 3,5 Millionen Vakanzen wird es im Bereich Cybersecurity weltweit bis zum Jahr 2021 geben.

Aufgrund Quantität und Qualität der Cyber-Angriffe wird es schlicht und ergreifend nicht mehr möglich sein, dem Problem allein mit dem Faktor Mensch Einhalt zu gebieten.”

Es gibt einen Nachfrageüberhang im Markt, das Angebot ist sehr knapp. Das macht den Faktor Mensch letztendlich teuer. Um der Preisspirale bei Gehältern in der IT-Sicherheit Einhalt zu gebieten, braucht es ein radikales Umdenken, indem man auf andere Faktoren als den Menschen setzt. Zudem erweist sich nur allzu oft der Faktor Mensch als Fehlerquelle. Beim Thema Daten und ihrer Auswertung nach Auffälligkeiten könnte konsequent Maschinen Learning zum Einsatz kommen. Es erkennt Abnormitäten sicher aufgrund der permanenten Datenauslese, ist zu einem hohen Grad automatisiert, kann schnell auf Bedrohungen und Auffälligkeiten reagieren und ist always on. Dieser Ansatz von 100 % Verfügbarkeit in der Absicherung von Infrastrukturen und Netzwerken kann den Anspruch von Online-Banking mit permanenter Verfügbarkeit gewährleisten.

In Zeiten, in denen es zum Online-Banking angesichts ausgedünnter Filialnetze und hoher Bearbeitungsgebühren für Offline-Geschäfte kaum Alternativen gibt, ist es umso wichtiger, möglichst in Echtzeit auf digitale Bedrohungen zu reagieren, Auffälligkeiten zu erkennen und technische wie organisatorische Risiken zu minimieren.aj