• Facebook
  • Twitter
  • Google Plus
  • Interview

Wie Banken Hacker abwehren können

, Capital-Redaktion

Angriff ist die beste Verteidigung: IT-Sicherheitsexperte Martin Stemplinger erklärt, wie Ethical-Hacking Unternehmen sicherer macht.

Computerbildschirm
„Gute“ Hacker machen im Kundenauftrag Schwachstellen ausfindig – bevor es kriminelle Angreifer tun.

Martin Stemplinger, Senior Security Consultant beim Netzwerk- und IT-Dienstleister BTMartin Stemplinger ist Senior Security Consultant beim Netzwerk- und IT-Dienstleister BT


Capital: Banken und Versicherungen waren schon immer ein begehrtes Ziel für Angriffe von Hackern und Cyber-Kriminellen. In den vergangenen Jahren haben die Risiken noch weiter zugenommen. Woran liegt das?

Martin Stemplinger: Generell werden Hacker-Angriffe immer raffinierter und vielseitiger. Die Szene wird zunehmend professioneller, auch weil immer mehr zu holen ist. Das Risiko, als Finanzunternehmen Ziel eines Angriffs zu werden, steigt mit dem Maß der digitalen Transformation in der Finanzbranche. Immer mehr Bankdienstleistungen vom Geldautomaten bis zum Onlinebanking werden als Self-Service angeboten, Wertpapiere in verstärktem Maße über elektronische Plattformen gehandelt und die Nutzung von Cloud und Big Data wird auch für Finanzdienstleister immer wichtiger.

Welche Finanzunternehmen sind besonders gefährdet?

Im Visier der Täter stehen vor allem Privatkundenbanken, zunehmend aber auch Investment- und Geschäftskundenbanken, die Dienstleistungen wie Währungsumrechnungen und Handelstransaktionen für große Firmenkunden bereitstellen. Letztlich sind alle Finanzdienstleister betroffen, weil sie über eine Vielzahl wertvoller und hoch sensibler Kundendaten verfügen. Geraten solche Daten in die falschen Hände, entstehen einer Bank natürlich hohe Kosten und Imageschäden.

Was sind die typischen Schwachstellen von Banken und Versicherungen?

Potenziell gefährdet sind alle Systeme mit Netzzugriff – vom mobilen Gerät über den Geldautomaten bis zum Abteilungsdrucker –, interne und externe Netzwerke, Internet-basierte Anwendungen sowie komplexe ERP-Systeme und Datenbanken. Sicherheitslücken in diesen Systemen ermöglichen hier zum Beispiel ein unerlaubtes Ändern der Konfigurationseinstellungen, ein Auslesen der Kontoinformationen oder das Einschleusen von Schadsoftware über Phishing-Mails. Eine nicht zu unterschätzende Schwachstelle sind nach wie vor die eigenen Mitarbeiter – etwa wenn sie aus Unwissenheit Mail-Anhänge von unbekannten Absendern öffnen oder anderweitig gegen die Sicherheitsrichtlinien des Unternehmens verstoßen.

Viele Einfallstore für Angreifer

Und wie können Hacker solche Sicherheitslücken ausnutzen?

„Klassische“ Angriffe auf Webanwendungen wie Onlinebanking nutzen Schwachstellen in der Software selbst aus, um so beispielsweise Überweisungen umzuleiten oder Zugriff auf die dahinter liegende Datenbank zu erreichen. Wenn sich ein Hacker Zugriff auf die Datenbank verschafft hat, kann er Kundendaten wie Kreditkarten- und Sozialversicherungsnummern kopieren. Geldausgabeautomaten sind vom sogenannten Skimming bedroht, bei dem der Automat mit manipulierten Kartenlesern oder Kameras versehen wird, und so Kartenummer und PIN ausgelesen werden. Verbreitet sind auch Attacken auf die Machine-to-Machine-Kommunikation zwischen den Backend-Systemen des Unternehmens, bei denen Angreifer die gesamten Kontodaten der Bankkunden abgreifen. Eine weitere gängige Methode ist die Manipulation von Remote-Access-Verbindungen: Hacker verschaffen sich Zugriff auf Geräte außerhalb des Firmennetzes und bauen darüber eine direkte Verbindung, einen so genannten Tunnel, ins Unternehmensnetzwerk auf. So können sie alle Schutzmaßnahmen an der Grenze des Netzwerks umgehen.

Wie kann ein Finanzdienstleister testen, wie hoch das Risiko eines Hacker-Angriffs für ihn ist?

Eine sehr effektive Methode ist Ethical Hacking, auch Penetration Testing oder Pen-Testing genannt: Hier führen spezialisierte IT-Security-Experten im Kundenauftrag Sicherheitsanalysen durch und ahmen das Vorgehen krimineller Angreifer nach. Ziel dabei ist es, die Schwachstellen im Unternehmen aufzudecken – natürlich ohne diese auszunutzen. Wichtig hierbei ist es, sich nicht nur auf ein System wie etwa eine Internetbanking-Anwendung zu beschränken, sondern die gesamte beteiligte Infrastruktur von der Anwendung übers Netzwerk bis zum Backend zu betrachten. Dazu gehören auch sogenannte Sourcecode-Analysen, um Schwachstellen in den Anwendungen zu finden.

Bei BT haben wir ein Experten-Team, das solche Tests seit mehr als zwei Jahrzehnten durchführt und schon so manche Schwachstelle gefunden hat: So konnten sie zum Beispiel Kontodaten und Kreditkartennummern von Kunden ausspähen, Schecks abfangen und manipulieren oder sich über gefälschte E-Mails, die von arglosen Mitarbeitern geöffnet wurden, Administratorenrechte beschaffen.

Wie gehen Ethical Hacker bei diesen Tests vor, welche Methoden setzen sie ein?

Allgemein gesprochen: Es geht darum, die Einstiegspunkte der IT-Systeme mit verschiedenen Verfahren abzuprüfen. Durch das Nachbilden möglichst vieler Angriffsmuster können Pen-Tester ermitteln, für welche Angriffe die IT-Systeme anfällig sind und welche Konsequenzen ein erfolgreicher Angriff hätte. Im Gegensatz zum automatisch ablaufenden Vulnerablility Scan werden Penetrationstests systematisch vorbereitet und auch manuelle Tests durchgeführt. Je nach Szenario gehören auch sogenannte Social-Engineering Tests dazu, wobei zum Beispiel geprüft wird, ob Mitarbeiter oder Anwender anfällig für Phising-Mails sind.

ganzheitlicher Ansatz zur Abwehr von Hacker-Angriffen

Ist Ethical Hacking denn rechtlich zulässig?  Was muss im Dienstleistungsvertrag mit einem Pentesting-Anbieter geregelt sein?

Das unautorisierte Eindringen in ein Firmennetzwerk gilt als Straftat, ist aber zulässig, wenn der Auftraggeber ausdrücklich sein Einverständnis erklärt. Wichtig ist dabei unter anderem eine Geheimhaltungsklausel, da Ethical Hacker durch ihre Arbeit unter Umständen Einblick in vertrauliche Unternehmensinformationen erhalten. Wir empfehlen, auch auf eine entsprechende Zertifizierung nach CREST oder BSI zu achten.

Entscheidend ist es, im Vorfeld die Art des Tests (Blackbox, Greybox oder Whitebox) zu vereinbaren, die sich im Umfang der vorher bekannten Informationen über das IT-System unterscheiden. Wir empfehlen Whitebox-Tests, da hier der Aufwand für alle Beteiligten am besten kalkulierbar ist. Genauso wichtig ist es, von vornherein festzulegen, welche Systeme getestet werden sollen und welche „tabu“ sind, vor allem, wenn Systeme bei externen Rechenzentrumsbetreibern oder Service Providern betrieben werden. Diese Parteien müssen natürlich auch frühzeitig informiert und eingebunden werden.

Welche sonstigen Services können Finanzdienstleiter in Anspruch nehmen, um sich gegenüber Hackern und Cyber-Kriminellen abzusichern?

Entscheidend ist ein ganzheitlicher Ansatz zur Abwehr von Hacker-Angriffen. Das heißt, Unternehmen sollten sicherstellen, dass nicht nur präventive Basismaßnahmen – etwa die Inventarisierung oder das Konfigurations- und Patch-Management – regelmäßig erfolgen, sondern auch ein permanentes Monitoring aller schutzbedürftigen Systeme mit einer Analyse der Alarme durchgeführt wird. Da sich nie alle Angriffe verhindern lassen, ist es schließlich unverzichtbar, geeignete Prozesse zum Incident Response zu definieren und regelmäßig zu testen. Da sich die Angriffsmethoden permanent weiterentwickeln, ist es auch empfehlenswert, sogenannte Threat Intelligence Services zu nutzen, die aktuelle Bedrohungen branchen- oder unternehmensspezifisch zusammenfassen und so eine adäquate Reaktion ermöglichen.


Artikel zum Thema
Autor
  • Thema
Was Sie in der neuen Capital erwartet

Die neue Capital ist im Handel. Titel: Eine ganze Generation hat das Gefühl, dass Immobilien für sie zu teuer werden. Stimmt das?MEHR

  • Western von gestern
Die Schlacht um den New Yorker Hafen

Die Wirtschaft ist voller Skandale, Kämpfe und Meilensteine. Capital erinnert an die besten. Diesmal: Dubai Ports kauft den Hafenbetreiber P&OMEHR

LESERKOMMENTARE

 

Kommentare Einblenden

Datenschutz

Die Kommentarfunktion "Disqus" wird von der Big Head Labs, Inc., San Francisco/USA., zur Verfügung gestellt. Weitere Informationen, insbesondere darüber, ob und wie personenbezogene Daten erhoben und verarbeitet werden, finden Sie in unseren Datenschutzbestimmungen.

Moderation

Die Kommentare werden von Capital moderiert. Das heißt, Kommentare werden von der Redaktion freigeschaltet. Kritik und auch in der Sache harte Diskussionen sind willkommen, Beleidigungen werden wir dagegen nicht zulassen. Näheres hierzu finden Sie in unserer Netiquette.