Banking 2.0 – mehr Digitalisierung erfordert mehr IT-Sicherheit

Die hässliche Schwester der Digitalisierung: Eine zunehmende Vernetzung lässt auch die Anforderungen an die IT-Sicherheit steigen. Gerade im Banking.

Ende April räumte das internationale Zahlungssystem Swift ein, von Hackern angegriffen worden zu sein. Hintergrund war der Angriff auf die Zentralbank von Bangladesch, bei der Kriminelle Anfang Februar 81 Millionen Dollar erbeuteten.

Mitte Mai kam es zu einer weiteren Attacke. Betroffen war dieses Mal eine Geschäftsbank, die Ursache laut Swift eine Schwachstelle in der Kundensoftware.

Die Zahl der Cyber-Attacken wächst: Das ist keine neue Erkenntnis, genauso wenig wie die Tatsache, dass insbesondere der Finanzsektor immer wieder betroffen ist. Während die Branche die Bedrohung in der Vergangenheit für mehr oder weniger händelbar hielt, hat sich diese Wahrnehmung in den letzten Monaten deutlich verschoben. Zu diesem Ergebnis kommt die Umfrage „Banking Banana Skins 2015“ von PwC und dem Centre for the Study of Financial Innovation (CSFI). Demnach sehen Banken in Angriffen von Kriminellen inzwischen die zweitgrößte Gefahr für ihr Geschäftsmodell – an erster Stelle liegt die Angst vor einem globalen Wirtschaftseinbruch.

Mehr Datenaustausch = mehr Angriffspunkte

Ein entscheidender Knackpunkt: Durch das Internet der Dinge und digitale Lösungen steigen die Anforderungen an die IT-Sicherheit. Die Systeme vieler Banken sind veraltet, gleichzeitig experimentieren diese mit einer Vielzahl neuer Technologien (ob eigenentwickelt oder in Kooperation mit FinTechs, spielt dabei keine Rolle). Die Anzahl der Angriffspunkte nimmt zu – nicht zuletzt, weil die digitale Vernetzung Attacken aus einer neuen Richtung ermöglicht: über die Kundenbeziehungen. Die Gefahr steigt, dass sich Hacker über Unternehmen mit geringeren Sicherheitsstandards Zugang zu sensiblen (Bank-)Daten verschaffen.

Die Tücken der Technik (und der Anwender)

Wo liegen die konkreten Stolpersteine und Herausforderungen bei der IT-Sicherheit im Banking? Nachfolgend werde ich einige zentrale Punkte anreißen – ohne Anspruch auf Vollständigkeit:

1. Sicherheit beginnt bei der Entwicklung

Neue Technologien bergen Chancen, aber auch Risiken. Denn die Sicherheit von Software beginnt bei ihrer Entwicklung. Vielen Unternehmen (und damit sind nicht nur Start-ups gemeint) fehlen diesbezüglich aber noch völlig das Know-how und/oder die notwendige Sensibilität. Folglich wachsen die potenziellen Angriffspunkte.

2. Browsertechnologie

Ein Knackpunkt ist eine sichere Browsertechnologie. Klingt selbstverständlich, ist in der Realität aber oft nicht gegeben: Noch immer unterstützen viele Server die veraltete Verschlüsselungstechnologie SSLv2, die nur theoretisch als ausgestorben gilt. Forscher haben einen Weg entdeckt, verschlüsselte SSL/TLS-Verbindungen zu knacken und nutzen dazu genau dieses steinalte Protokoll. Rund ein Drittel aller Server, die verschlüsselt erreichbar sind, sind noch über SSLv2 angreifbar – darunter etliche Prominente wie Flickr, Yahoo, AVM, VMware und diverse Behördenseiten.

3. Mobile Herausforderungen

Flexibel Bankgeschäfte erledigen – mit dem Smartphone und einer App ist das heute einfach möglich. Dabei ist bequem allerdings nicht unbedingt sicher. Darauf hat mein Kollege Thomas Köcher hier im Blog kürzlich bereits hingewiesen. An dieser Stelle möchte ich die Stolpersteine nochmals kurz zusammenfassen: Verfügt die App über eine zuverlässige Passwortsperre und Datenverschlüsselung, verwendet sie ohne jegliche Zwischenschicht den Bankenstandard HBCI und verhindert sie eine Überweisung mittels smsTAN? Außerdem spielt das Smartphone an sich eine zentrale Rolle: die neuste Version des Betriebssystems, eine Bildschirmsperre und der Verzicht auf einen Jailbreak oder Rootzugriff gehören hier zu den notwendigen Basics.

4. Mit jedem Administrator und Nutzer steigt das Risiko

Die Zahl der Administratoren und Nutzer im Finanzsektor ist groß und steigt immer weiter: eigene Admins für Windows-Umgebungen und virtuelle Plattformen, SAP-Superuser oder DBAs für die Datenbanksysteme sind nur einige Beispiele. Was, wenn Passwörter durchsickern oder Anwender das Unternehmen verlassen? Hier gilt es, die Architekturen so zu gestalten, dass eine größtmögliche Sicherheit gewährleistet ist. So muss z.B. jeder Anwender für seine Sitzungen zur Rechenschaft gezogen werden können.

Auf der anderen Seite nehmen – trotz aller Aufklärungsversuche – erfolgreiche Phishing-Attacken zu, mit denen Bankdaten von Kunden ausgespäht und Kontodaten abgegriffen werden. Allerdings stolpern nicht nur Endnutzer über diesen Trick: Im Rahmen eines hausinternen Tests hat die US-Investmentbank J.P. Morgan Ende 2015 an ihre Mitarbeiter Phishing-Mails verschickt, um zu sehen, wie viele auf diese hereinfallen. Ungefähr jeder Fünfte hat die Fake-E-Mail geöffnet und hätte, wenn die Mail echt gewesen wäre, den eigenen Computer infiziert. Die Bank gibt jährlich ca. 500 Millionen Euro für Cyber-Sicherheit aus – doch die größten Investitionen taugen nichts, wenn die Mitarbeiter nicht sensibilisiert werden.

IT-Sicherheit im Banking erfordert Abschied vom Gießkannenprinzip

Ob Banken oder FinTechs – die Branche hebt auf neue, digitale Geschäftsmodelle ab. Damit einhergehend muss eine Anpassung der Sicherheitsarchitekturen erfolgen und zwar im Sinne einer durchgängigen Strategie für alle Kanäle. Dazu gehört auch, die IT-Sicherheitsvorkehrungen nicht nach dem Gießkannenprinzip zu verteilen, sondern die Schutzmaßnahmen auf die kritischen Assets zu fokussieren. Darüber hinaus müssen Kontrollsysteme implementiert werden, die ein Echtzeit-Reporting ermöglichen. Hier steht die Branche noch ganz am Anfang. Zumal auch von staatlicher Seite deutlicher Nachholbedarf besteht: Auch ein Jahr nach seinem Inkrafttreten ist das IT-Sicherheitsgesetz für die Finanz- und Versicherungsbranche noch immer nicht präzisiert.

Bildquelle: Shutterstock

 .

Schreibe einen Kommentar

Ähnliche Artikel