Hackerangriffe vs. Bank-Security? Gerade Smartphone-Apps stehen im Fadenkreuz
Virtual Solution
Banken, Versicherungen und Finanzdienstleister sind für Hackerangriffe exponiert. Schließlich geht es um sehr viel Geld. Das macht sie zum lohnenden Ziel für Cyberkriminelle, die die mobile Kommunikation ins Fadenkreuz genommen haben. Entsprechend groß ist der notwendige Aufwand zum Schutz vor Attacken und zur Erfüllung der Security-Vorgaben.
von Christian Pohlenz, IT-Security-Verantwortlicher Virtual Solution
Das Finanzwesen ist eine sicherheitssensible Branche. Wenn es um Geld geht, legen Banken und Finanzdienstleister sowohl aus Eigen- wie aus Kundeninteresse großen Wert auf höchste Sicherheitsstandards. Deshalb sind sie an strenge interne und externe Security-Vorgaben gebunden. In Zeiten wachsender Übernahmeaktivitäten kann das zu Problemen bei der Harmonisierung der alten, aber nach wie vor wichtigen Legacy-Systeme führen.Größeres Kopfzerbrechen macht den Banken jedoch der stark wachsende Anteil der Finanztransaktionen, die per Apps über Notebooks, Tablets und Smartphones abgewickelt werden.”
Mitarbeiter und Kundenberater sind zunehmend mobil unterwegs, arbeiten im Homeoffice oder bei Kunden vor Ort. Und die Kunden selbst nutzen die Bequemlichkeit des Smartphones gerne, um für ihre Finanzgeschäfte den Bankschalter gegen ein Straßencafé oder einen Strandkorb zu tauschen. Die wachsende Beliebtheit und Verbreitung der mobilen Kommunikation hat dazu geführt, dass ihrer Sicherheit besondere Aufmerksamkeit und strenge Prüfung in den verschiedenen Richtlinien zur Umsetzung der Cybersicherheit gewidmet wird. Darüber hinaus werden externe Consultants, Dienstleister und Zulieferer von Cyberkriminellen gerne ins Visier genommen.
Apps sind ein zusätzliches potenzielles Einfallstor zu den IT-Systemen von Finanzdienstleistern. Alle Beteiligten an mobilen Finanztransaktionen bieten damit viele Angriffspunkte für Hackerangriffe.”
Die rechtlichen Rahmenbedingungen
Für die Bankenregulierung sind auf oberster Ebene die Europäische Zentralbank (EZB) und die European Banking Authority (EBA) verantwortlich, auf nationaler Ebene sind es die Bundesbank und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Sie hat die Mindestanforderungen an das Risikomanagement der Banken in den MaRisk-Vorschriften definiert und diese in den BAIT-Richtlinien konkretisiert. Darüber hinaus gelten im Bereich Finanzdienstleistungen die Vorgaben aus der 2. Zahlungsdiensterichtlinie PSD 2 von EZB und EBA (Payment Service Directive 2), das IT-Sicherheitsgesetz für die Betreiber Kritischer Infrastrukturen (KRITIS) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit der für Banken wichtigen ISO 27001 und nicht zuletzt die DSGVO. Aus dieser kurzen Auflistung wird klar, wie viele gesetzliche und regulatorische Vorgaben bei der Einhaltung der Sicherheitsstandards zu berücksichtigen sind.
Dieser komplexe Richtlinien-Mix trifft auf eine Bedrohungslage, die sich täglich wandelt und nicht nur Banken mit neuen Gefahren konfrontiert.”
Angriff versus Abwehr
Die aktuell größten Bedrohungen für mobile Anwendungen – und damit für das Bankenwesen – sind Phishing-Attacken und Trojaner. Beim Phishing provozieren die Betrüger den spontanen Klick auf gefälschte Links, die vermeintlich zu Sonderangeboten, Paketdienstleistern oder Support-Seiten führen. Die persönlichen Zugangsdaten der Opfer werden dann genutzt, um automatische Downloads zu starten oder Malware auf das Gerät zu schleusen. Die Trojaner als zweite große Gefahrenquelle erleben in Form von Ransomware fragwürdige Berühmtheit. Krypto-Trojaner verschlüsseln dabei wichtige Daten und die Angreifer erpressen anschließend Lösegeld für deren Freischaltung.
Christian Pohlenz ist Security Expert bei Virtual Solution (Webseite). Zuvor sammelte er langjährige Erfahrungen als Consultant für Infrastruktur- und Software-Projekte. In den letzten Jahren war er vorrangig als Security Consultant im Versicherungs-, Banken-, Investmentumfeld tätig und war da unter anderem für die Konzeption und Einführung von Sicherheits- und Datenschutzrahmenwerke sowie -technologie zuständig. MDM oder Container?
Während auf den Notebooks von Bank- und Versicherungsmitarbeitern meist VPN- oder Citrix-Verbindungen genutzt werden, stehen für Smartphones und Tablets zwei Lösungsansätze bereit: Mobile Device Management (MDM) und Container-Lösungen.
Sie können alternativ genutzt werden, wenn Kunden kein MDM einführen wollen, sie können aber ebenso komplementär eingesetzt werden. MDM ist ein Verwaltungs-Tool für Mobilgeräte und arbeitet auf der Security-Ebene als geschlossenes System nach dem Entweder-Oder-Prinzip durch Black- and Whitelisting. Granulare oder modulare Sicherheitseinstellung sind im Gegensatz zu Container-Lösungen nur eingeschränkt möglich. So besteht bei beliebten Messenger-, Social-Media- oder Videoconferencing-Apps nur die Wahl, sie trotz der Sicherheitsrisiken zuzulassen oder ganz zu sperren, und damit die Mitarbeiter zu verärgern. Darüber hinaus erfordern sie aufwändige Schutzmaßnahmen wie besondere Authentifizierungsschritte, umständliche Anmeldeverfahren oder lange Passwörter. Komfortable einfache Nutzungsmöglichkeiten sind aber eine wichtige Voraussetzung für eine hohe Nutzerakzeptanz und Arbeitseffizienz.
Im Gegensatz zu MDM konzentrieren sich Container-Lösungen ausschließlich auf den Schutz der Daten. Deshalb bieten sie sich als Security-spezifische Ergänzung an, wenn besondere Geheimhaltungsstufen, wie zum Beispiel VS-Nur für den Dienstgebrauch (VS-NfD) gefordert sind, können separat eingesetzt werden. Containerlösungen sind zwar von Natur aus proprietär angelegt, können aber zukünftig durch SDKs oder sichere Anbindung durch Funktionen und Apps vielfältig ergänzt werden.
Sie bauen einen geschützten Raum für die sicherheitssensiblen Anwendungen auf, auf den private Apps keinen Zugriff haben – auch wenn sie auf dem gleichen Gerät laufen.”
Anwendungen innerhalb des Containers sind damit genauso gesichert, als liefen sie auf dem Bürorechner in der Unternehmensumgebung. Private E-Mails können daher ebenso keinen Schaden anrichten wie alle anderen Apps, die außerhalb dieses Container-geschützten Bereichs laufen.
Ein Smartphone – viele Gefahren
Ein heiß diskutiertes Thema ist – nicht nur im Bankenumfeld – das Nutzungskonzept BYOD (Bring your Own Device). Dabei wird das private Smartphone des Mitarbeiters für berufliche Zwecke genutzt. Hochsensible Anwendungen mit Zugriff auf schützenswerte personenbezogene Daten laufen dabei auf dem gleichen Mobilgerät wie private Messenger-Dienste oder Spiele-Apps. Das gleiche gilt für das komplementäre Prinzip COPE (Corporate Owned Personally Enabled), bei dem kein privates Handy, sondern ein Dienst-Smartphone genutzt wird. Die Vorteile beider Ansätze sind offensichtlich: Sie verringern die Beschaffungs- und Verwaltungskosten und Mitarbeiter müssen nicht ständig zwei Geräte mit sich herumschleppen. Ebenso klar sind aber auch die potenziellen Sicherheits- und Datenschutzrisiken durch das ungeschützte Nebeneinander von beruflichen und privaten Anwendungen auf einem einzigen Device. Container-Lösungen sind hier im Vorteil, da sie die strikte Trennung von privaten und beruflichen Anwendungen ermöglichen. MDM-Lösungen lassen nur die Wahl zwischen deren unsicherer Koexistenz auf dem Smartphone oder der kompletten Sperrung der privaten Apps.
Da Fehlbedienungen nie vollständig ausgeschlossen werden können, muss dem menschlichen Faktor im Umgang mit IT-Systemen besondere Aufmerksamkeit gewidmet werden.”
Dazu gehört es, die Awareness und Sensibilisierung der Mitarbeiter für Sicherheitsthemen regelmäßig zu stärken. Jede Security-Lösung kann immer nur so gut schützen, wie sie von Menschen verantwortungsbewusst genutzt wird.Christian Pohlenz, Virtual Solution
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/126350
Schreiben Sie einen Kommentar