Bitte warten...

IT-Sicherheit: Finanzbranche im Fokus von Cyberattacken

Für Banken und Finanzdienstleister ist es von hoher Relevanz, ihre Abwehrfähigkeit gegenüber Cyberangriffen zu optimieren. Das Testprogramm TIBER-DE hilft dabei, Schwachstellen aufzudecken. Welche Gefahren lauern konkret? Und kann KI dabei helfen, die Gefahren einzudämmen?

iStock.com/baona

Der hohe Vernetzungsgrad und die voranschreitende Digitalisierung machen den Finanzsektor extrem verwundbar für Cyberattacken. Erfolgreiche Angriffe auf eine Bank oder einen Finanzdienstleister haben das Potenzial, weit über die geschädigte Firma hinauszugehen, was aus der starken Verflechtung der Finanzbranche mit der übrigen Wirtschaft resultiert. Daher ist es für die Institute von hoher Relevanz, ihre Abwehrfähigkeit gegenüber Cyberattacken laufend zu optimieren und untersuchen zu lassen. Zu diesem Zweck beschlossen das Bundesfinanzministerium (BMF) und die Deutsche Bundesbank jüngst ein Cyberabwehrprogramm mit dem Namen TIBER-DE. Deutschland setzt damit das vom Europäischen System der Zentralbanken (ESZB) entworfene „Rahmenwerk für bedrohungsgeleitete ethische Penetrationstests“ um. Die deutsche Version des Cyberabwehrtests wurde zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erarbeitet.

 

Das TIBER Cyberteam ist bei der Bundesbank angesiedelt. Im Rahmen des Projekts starten sogenannte ethische Hacker in Abstimmung mit der Notenbank und den teilnehmenden Firmen Testangriffe auf die Finanzbranche, um Lücken in der Abwehr offenzulegen und Verbesserungsbedarf zu identifizieren. Bei den ethischen Hackern handelt es sich um IT-Experten, die die Rolle von Angreifern einnehmen mit dem Ziel, bestimmte Schwachstellen in den technischen Systemen der Institute aufzudecken. Miriam Sinn, Leiterin der Gruppe Überwachung des Zahlungsverkehrs bei der Bundesbank (siehe Foto), erinnerte bei der Fachtagung „Informationssicherheit 2020“ im Bank-Verlag in Köln daran, dass es sich bei TIBER-DE nicht um ein aufsichtliches Instrument handele. Die Aufsicht werde jedoch zu bestimmten Zeitpunkten während des Prüfvorgangs eingebunden.

Eine Gruppe simulierter Angreifer

Das Testverfahren funktioniert laut Bafin im Detail wie folgt: Das sogenannte Red Team ist eine Gruppe simulierter Angreifer. Dieser Personenkreis versucht, in eine Infrastruktur einzudringen, um die Sicherungs- bzw. Abwehrmaßnahmen der attackierten Firma zu überprüfen. In Bezug auf Cybersicherheit besteht das Red Team der Bafin zufolge aus Sicherheitsspezialisten, die versuchen wie ein Hacker und mit den Vorgehensweisen eines Hackers in vorher bestimmte Systeme einzudringen. Beim Blue Team hingegen handelt es sich laut Bundesbank um die Cyberabwehr der Firma, die über die Durchführung des Tests nicht informiert wird.

Was sind zentrale Eigenschaften des TIBER-DE-Tests? Miriam Lau erklärte vor den zahlreichen Vertretern aus der Finanzbranche, dass es sich um ein für die Institute freiwilliges Verfahren handele. Zwang stünde konträr zum Geist des Projekts. Ein Unternehmen können einen TIBER-DE-Test weder bestehen noch durch ihn durchfallen. Vielmehr gehe es darum, als Firma an der Prüfung wachsen zu wollen.

Wesentliche Charakteristika des Verfahrens seien Zusammenarbeit, Evidenz, Lernen, Verbesserung sowie Einbeziehung des Unternehmensvorstands. Laut Bundesbank werden die Finanzaufsichtsbehörden über signifikante Ergebnisse der Prüfung und die geplanten Behebungsmaßnahmen informiert.

Unsicherheitsfaktor Mensch

Beim Schutz vor Cyberangriffen geht es nicht nur um Computersysteme und Netzwerke. Ein wesentlicher Faktor ist auch der Mensch mit all seinen Stärken und Schwächen. Beim Social Engineering nutzen Kriminelle den „Faktor Mensch" als schwächstes Glied der Sicherheitskette aus, um ihre kriminellen Intentionen in die Tat umzusetzen. Letztlich sei der Mensch der größte Unsicherheitsfaktor im Unternehmen, erläuterte Alexandros Manakos, Head of Cybersecurity bei der britischen Großbank HSBC (siehe Foto) auf der Fachtagung. Social Engineering (soziale Manipulation) nennt man zwischenmenschliche Beeinflussungen mit der Absicht, Personen zu bestimmten Verhaltensweisen zu animieren. Menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität würden ausgenutzt, um Personen zu manipulieren, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Website. Der Angreifer verleite das Opfer auf diese Weise etwa dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren.

Eine bekannte Variante des Social Engineering ist das Vishing („Voice Phishing“, abgeleitet vom englischen Begriff für abfischen, fishing). Dabei wird laut BSI per Telefonanruf versucht, den Angerufenen zu täuschen. Ein klassisches Beispiel sei der vorgebliche Systemadministrator, der den Mitarbeiter kontaktiert, da dieser angeblich zur Behebung eines Systemfehlers oder Sicherheitsproblems das Passwort des Benutzers oder der Benutzerin benötigt.

 

(...)

 

Den vollständigen Beitrag lesen Sie auf www.die-bank.de.