Finanzbranche als beliebtes Ziel von Cyber-Attacken

Wenn Cyberkriminelle ihre Angriffe auf unternehmenseigene IT-Netzwerke starten, tun sie dies in vielen Fällen, um damit Geld zu verdienen. Sie versuchen, Finanzinformationen zu stehlen und von den Unternehmen Lösegeld zu erpressen. Auch mittels Systemblockaden lassen sich hohe Geldsummen von den betroffenen Unternehmen erpressen. Im schlimmsten Fall stehen terroristische Motive im Hintergrund und eine Cyber-Attacke dient dem Zweck, das Finanzsystem als solches zu sabotieren.

Es gibt zwar keine detaillierten Zahlen zur Anzahl sogenannter Sicherheitsvorfälle, aber laut der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gab es zwischen 2018 und 2020 etwa 600 solcher gemeldeten Fälle. Ein großer Teil davon geht allerdings auf interne Schwachstellen zurück, nicht auf externe Cyber-Attacken. Die EZB (Europäische Zentralbank) meldete für 2020 einen Anstieg von 54 Prozent (gemessen am Vorjahr) im Bereich Cyber-Angriffe. Im Jahr 2021 versuchte laut EZB beispielsweise eine russische Hackergruppe, das deutsche Finanzsystem mithilfe einer sogenannten DDoS-Attacke (Distributed Denial of Service) anzugreifen.

Schwachstellen identifizieren als erster Schritt zu einem sichereren Finanzsystem

Will ein Unternehmen der Finanzbranche die eigenen Daten effizient schützen, muss es zunächst die eigenen Schwachpunkte kennen. Bei einem sogenannten Penetrationstest bzw. Pentest handelt es sich um eine Hackerattacke, allerdings unter vorher mit dem beauftragenden Finanzinstitut abgesprochenen Rahmenbedingungen.

Bei einem Pentest greift der ausführende IT-Sicherheitsexperte auf aktuellstes Hackerwissen zurück und geht bei seinem Versuch, in das zu testende Netzwerk einzudringen, genauso vor, wie es ein professioneller Hacker tun würde. Auf diese Weise ist er in der Lage bereits vorhandene Schwachstellen zu identifizieren und auch potenziell gefährdete Bereiche ausfindig zu machen.

Durch die nahezu ein Jahrzehnt umfassende Erfahrung auf dem Gebiet der IT-Sicherheitsüberprüfungen kennen die Tester bzw. Testteams jede Methode von Cyber-Kriminellen sowie jede Angriffsvariante, sei es die erwähnte DDoS-Attacke oder der Multi-Vektor-Angriff, bei dem zeitgleich viele verschiedene Schwachstellen ins Visier genommen und attackiert werden.

Wie ein Penetrationstest aufgebaut ist

Der Pentest wird meist von einem zertifizierten IT-Sicherheitsexperten (OSCP, OSCE, OSWE, GPEN) ausgeführt. Die zugrundeliegenden Standards eines solchen Tests sind in der Regel die Vorgaben des BSI (Bundesamt für Sicherheit in der Informationstechnik) und der PTES (Penetration Testing Execution Standard). Auf IT-Sicherheitsüberprüfungen spezialisierte Unternehmen unterstützen Finanzinstitute, Banken oder Trading-Plattformen seit zehn Jahren bei der Identifizierung von IT-Schwachstellen, die zum Einfallstor für professionelle Hacker werden können oder es bereits sind.

Penetrationstests laufen stets in sehr ähnlicher, standardisierter Weise ab. Sie können als interne oder externe Penetrationstests beauftragt werden. Es lassen sich einzelne Segmente testen, etwa die Web Application & Web-API, die Cloud oder der Bereich Social Engineering, was besonders im Blick auf die Mitarbeitenden sinnvoll ist. Er kann zudem als Wireless Penetrationstest angelegt sein oder mithilfe eines Red Teams ausgeführt werden. Dabei handelt es sich um White Hat Hacker, die auch als ethische Sicherheitshacker bezeichnet werden. Ein Active Directory Security Assessment ist eine ebenfalls zur Verfügung stehende Penetrationstest-Variante.

Kettenglied Mensch - Entscheidende Komponente für IT-Sicherheit

Eine Grundherausforderung in Sachen IT-Sicherheit ist die Motivation und hohe Sensibilität der Mitarbeitenden. Ist beides nicht vorhanden, nützt es auch nichts, wenn man Unsummen in ausgeklügelte Technik investiert und jedes nur denkbare Angriffsszenario trainiert. Leider gibt es bei vielen Finanzinstituten nach wie vor die Tendenz zum Unterschätzen des menschlichen Faktors und interner Schwachstellen als Ursachen für IT-Sicherheitsvorfälle.

Erwiesenermaßen werden häufig Einzelpersonen als Angriffsziele auserkoren. Mithilfe ihrer Zugangsdaten versuchen Cyberkriminelle, sich Zugriff auf Konten oder Banksysteme zu verschaffen. Die Bandbreite der Angriffe umfasst breit gestreute Phishing-E-Mails ebenso, wie gezielte Attacken auf speziell ausgewählte Personen. Diese werden nicht selten über viele Monate durch sogenannte Spear-Phishing-Attacken ausspioniert.

Bekannt ist die Attacke der Cabernak-Gruppe, bei der ebenfalls Mitarbeiter das Ziel waren. Besonders problematisch bei diesem Vorfall war, dass die Cyber-Kriminellen aufgrund nicht durchgeführter Updates überhaupt in die Lage versetzt wurden, die Bankensysteme zu infiltrieren.

Wenn ein Unternehmen im Umfeld von Börse oder Finanzwelt tätig ist, braucht es ein innovatives IT- Sicherheitskonzept, das alle Komponenten, also auch den Menschen als vermeintlich schwächstes Glied der Sicherheitskette mit berücksichtigt. Nur bei einem Ineinandergreifen aller Sicherheitsvorkehrungen kann eine IT-Architektur entstehen, die es Cyber-Kriminellen unmöglich macht, in ein Netzwerk oder sogar das gesamte Bankensystem einzudringen und kaum abschätzbare Schäden zu verursachen, ganz abgesehen vom Reputationsverlust des betroffenen Finanzinstituts.

Gastbeitrag von Dr. Ewan Fleischmann, Geschäftsführer der Redlings GmbH