Cyber-Security und Bedrohungs-Abwehr im Banking:


Patrice Volkmer, Alliance Manager & Client Partner, NTT DATA Deutschland

Das internationale Finanzwesen ist systemkritisch. „Weil dort eben das Geld ist …“ (Zitat Willie Sutton), wächst die Bedrohung auf Finanzdienstleister stetig. Instant Payments, globale Vernetzungen und Chatbot-banking fördern diese Möglichkeiten der Internet-Attacken zusätzlich. Cyberangriffe gehören für Banken auf der ganzen Welt mittlerweile zum Alltag. Ein bekannt gewordener Cyberangriff, beispielsweise mit Datenverlusten kann für eine Bank zum Vertrauensverlust führen, das Image leidet. Integritätsprobleme können für Banken schnell existenzbedrohend werden, egal ob sie aus Unkenntnis oder aus Nachlässigkeit aufgetreten sind.

Die Realität zur Sicherheit der IT-Systeme im Banking ist bei Weitem nicht der Bedrohungslage angemessen: Trotz zunehmender Digitalisierung können Schwachstellen seit Jahren nicht zuverlässig beseitigt werden. Die verschiedenen Assets sind nicht alle bekannt und zugeordnet, daher auch kaum zu managen. Secure-Coding steckt noch in den Anfängen – neue Schwachstellen werden nicht nur von den Softwareherstellern mitgeliefert, sondern auch selbst produziert. Die Herausforderungen kommen zum Teil daher, dass Banken mittlerweile Software-Häuser sind, weltweit vernetzt, allerdings mit verschiedenen Entwicklungsteams und verschiedenen Sicherheitsstandards. Wenn die Abhängigkeiten von Systemen und Assets nicht bekannt sind, können kritische Systeme nicht zuverlässig gepatcht und geschützt werden. Es gibt oft eine Ausnahmebehandlung für „nicht-patchbare“ Systeme, die sogenannte Risiko-Akzeptanz. Sie löst aber nicht das Problem, sondern toleriert nur die Unsicherheit – die Schwachstelle bleibt. Es ist davon auszugehen, dass Hacker solche Schwachstellen ausnutzen, um dauerhaft die Finanzwirtschaft zu schädigen.

Auch interne Bedrohungen sind längst Alltag. Wenn Hacker unbemerkt in ein Unternehmensnetzwerk eindringen, haben sie meist Wochen Zeit, um ungehindert erheblichen Schaden anzurichten. Ein Sleeper-Code kann zeit- oder eventgesteuert gestartet und aktiviert werden, und erst dann wird er bei Bedarf remote dirigiert. Assessments zur Cyber-Defense bei Banken zeigen: Interne Bedrohungen durch kompromittierte Systeme und Anwendungen werden kaum erkannt und identifiziert, können aufgrund fehlender Daten dann schwierig analysiert werden und entsprechend gibt es so gut wie keine Incident-Response.

Die Schutzmaßnahmen im internen Netz sind lückenhaft. Bewegungen von Angreifern, „lateral movement“ werden im internen Netz nicht erkannt. Folgeangriffe und Wechsel der Angriffsebenen, vom Netz in die Datenbanken und Anwendungen und umgekehrt werden nicht identifiziert. Bei den meisten Banken fehlen die richtigen Daten und die passenden Tools, um solche gefährlichen Angriffe analysieren zu können. Abgesehen davon gibt es nur sehr vereinzelt Einrichtungen zum internen Netzwerk-Security-Monitoring auf Flow- oder gar auf Packet-Ebene.

Viele Banken setzen bereits auf Deep-Packet-Inspection als IPS-Module oder ATP-Systeme im Perimeter und besitzen damit Möglichkeiten zur Erkennung für Angriffe von außen. Innerhalb der Banken werden für die Incident-Detection und für die Korrelation der Events oft sogenannte SIEM-Systeme eingesetzt. Allerdings werden in diese SIEM-Systeme meist nur die „sicherheitsrelevanten“ Log-Daten einbezogen, wovon es im internen Netz nur wenige gibt. Die Konfiguration und Datengrundlage solcher SIEM-Systeme ermöglicht nur unwesentliche Security-Incidents und manchmal ein schadhaftes User-Endsystem zu erkennen. Manche Banken integrieren nicht einmal die Log-Daten der Directories und Berechtigungssysteme als sicherheitsrelevant. Es muss leider auch davon ausgegangen werden, dass ernstzunehmende Angreifer die Business-Monitoring-Systeme manipulieren, damit Unregelmäßigkeiten in den Transaktionen oder Basis-Daten nicht mehr erkannt werden.

Da zu wenig Security-Systeme in den internen Systemen eingesetzt werden, sind die Möglichkeiten zur Incident-Response stark begrenzt. Prozesse für kritische Incidents stehen zwar auf dem Papier, aber technische Einrichtungen und ausgebildetes Personal gibt es dafür nicht. In den wenigsten Bankinstituten gibt es Cyber-Defense-Teams, die ausreichend Zeit und Know-how aufbringen können. Wenn es spezialisierte CERT Teams gibt, sind diese oft mit der Erkennung von Schwachstellen und mit kompromittierten User-Endsystemen beschäftigt, aber nicht mit dem Monitoring von Bank-Software und -Prozessen.

Die meisten Banken gehen davon aus, dass Cyber Security ein Problem der IT ist. Sie sehen sich als Banker, die nichts über die IT-Technik und die möglichen Folgen für ihr Geschäft wissen müssen. Die IT wird bei der Identifikation der kritischen Prozesse und Systeme alleine gelassen – mit wenig Zeit und geringem Budget. Dabei ist Sicherheit längst nicht nur ein Job für den CISO oder das CERT Team, sondern für die gesamte CxO-Linie und jeden Mitarbeiter. Stattdessen werden Risiko-Akzeptanz-Erklärungen abgezeichnet, ohne über mögliche Folgen nachzudenken – die IT-Security stört nur.

Und die Wirtschaftsprüfer? Sie scheinen sich mit den aktuellen Zuständen zufrieden zu geben, trotz „WannaCry“ und „Petya“. Auch die ab 2018 geltende EU-DSGVO und PSD2-Vorschriften werden wirklichkeitsnahe Prüfungen im Bereich der Cyber-Defense nicht unbedingt verbessern. Die Grenze von Fahrlässigkeit aus Unkenntnis zum Vorsatz aus Desinteresse wird dann überschritten, wenn bewusst Risiken in Kauf genommen werden. Die Bankspezialisten sind gefordert, die Konsequenzen für bestimme Fälle, in denen professionell die Basis-Zinssätze, Berechnungsfaktoren oder Routinen manipuliert wurden, zu durchdenken. Gemeinsam mit Sicherheitsexperten müssen Präventions- und Detektionsverfahren verbessert werden, um integrativ in die IT-Systeme und in den Bank-Prozessen verankert zu sein. Die Frage ist nicht mehr, wie man zukünftige Angriffe schnell finden und abschalten kann, sondern auch welche Systeme bereits gehackt worden sind.

Im Übrigen können Cyber-Crisis-Exercises, bei denen solche Angriffs- und Manipulations-Szenarien mit dem Krisenstab durchgespielt werden, einen durchschlagenden Erfolg hinsichtlich Einsicht in die Notwendigkeiten von IT-Sicherheit erzielen.

NTT DATA und NTT Security unterstützen gerne mit Sicherheitsberatung, Assessments, Managed Security Services und technischen Lösungen, die auf Ihre Bedürfnisse zugeschnitten sind.