Trend Micro warnt: PSD2 führt zu neuen Sicherheitsrisiken im Zahlungsverkehr

Das IT-Sicherheitsunternehmen Trend Micro hat einen neuen Forschungsbericht zur Cyber-Sicherheit im Finanzwesen veröffentlicht. Daraus geht hervor, dass die neue PSD2-Zahlungsdiensterichtlinie die Angriffsoberfläche von Finanzdienstleistern und ihren Kunden drastisch vergrößern könnte. Neu sind diese Befürchtungen und Warnungen zwar nicht – dennoch sollten Banken und Finanzdienstleister sie im Blick behalten.

Gerade einmal zwei Wochen ist die finale Umsetzung der PSD2 am Start, die den Nutzern größere Kontrolle über ihre Finanzdaten geben und es ermöglichen soll, dass innovative FinTechs mit den etablierten Banken auf Augenhöhe agieren. Ähnliche Initiativen finden weltweit statt und werden auch mit dem Begriff „Open Banking“ bezeichnet. Jetzt warnt Trend Micro davor, dass sich aufgrund einiger möglicher Angriffsszenarien die neue Schnittstelle zum Risiko für die beteiligten Unternehmen entwickeln könnte.

Der Finanzsektor war für Cyber-Kriminelle schon immer ein begehrtes Ziel. PSD2 eröffnet ihnen jetzt noch mehr Möglichkeiten, um vertrauliche persönliche Informationen und Finanzdaten zu stehlen. Wir befürchten, dass die Branche noch nicht vollständig darauf vorbereitet ist, diese deutlich vergrößerte Angriffsoberfläche abzusichern. Deshalb wollen wir die Risiken verstehen, um FinTechs und traditionellen Finanzdienstleistern dabei zu helfen, ihre Assets zu schützen.”

Udo Schneider, Security Evangelist bei Trend Micro

Unsicherheitsfaktoren bei PSD2 – von der Schnittstelle zur App

Der Bericht stellt mehrere mögliche Angriffsszenarien dar, die unter der neuen Richtlinie möglich sind:

• 

  Angriffe auf Schnittstellen (APIs): Öffentliche Schnittstellen stellen das Herzstück von Open Banking dar. Durch sie können zugelassene Drittanbieter auf die Bankdaten von Nutzern zugreifen und damit innovative neue Finanzdienstleistungen anbieten. Implementierungsfehler in diesen Schnittstellen können es Hackern ermöglichen, Daten von Back-End-Servern zu stehlen.

• Angriffe auf FinTech-Unternehmen: Nutzer müssen neuen Anbietern vertrauen, die in der Regel weniger Ressourcen und Erfahrungen mit dem Schutz von Daten haben als ihre Banken. Eine Kurzumfrage unter FinTechs durch Trend Micro ergab, dass diese im Durchschnitt 20 Mitarbeiter und keine dedizierten Sicherheitsfachleute beschäftigen. Dies macht sie zu einem idealen Ziel für Angreifer und weckt Sicherheitsbedenken hinsichtlich mobiler Apps, Schnittstellen, Technologien zum Datenaustausch und möglicherweise nicht korrekt implementierter Sicherheitsmodule.
• Angriffe auf Apps oder mobile Plattformen: Die meisten Open-Banking-Dienste werden als mobile Apps bereitgestellt, was sie als Angriffsziele prädestiniert. Die Entdeckung von Benutzername, Passwort oder Verschlüsselungs-Key innerhalb der App würde es einem Kriminellen erlauben, auf Bankdaten zuzugreifen und sich als der Nutzer auszugeben.
• Angriffe auf die Nutzer: Da immer mehr Verbraucher über Open-Banking-Apps auf ihre Finanzdaten und -dienstleistungen zugreifen werden, könnten Phishing-Angriffe massive Schäden verursachen.

Um einen wirksamen Schutz in dieser sich verändernden Technologielandschaft zu ermöglichen, gibt Trend Micro Empfehlungen, wie Finanzdienstleister ihre Cyber-Resilienz erhöhen können. Dazu gehört, dass sensible Informationen niemals in URL-Pfaden enthalten sein sollten. Zudem sollten sichere Protokolle priorisiert und riskante Handlungsweisen abgeschafft werden.

Gleichzeitig müssen Entwickler und Eigentümer von Open-Banking-Apps einen Security-by-Design-Ansatz wählen und regelmäßige Software-Audits durchführen. Details zu den beschriebenen Cyber-Risiken finden Sie im vollständigen Report Ready or Not for PSD2: The Risks of Open Banking. Dieser steht zum Download zur Verfügung.tw