Aufrufe
vor 1 Jahr

KINOTE 01.2022

  • Text
  • Wwwbankverlagde
  • Digitale
  • Conversational
  • Optimierung
  • Beispielsweise
  • Mining
  • Modelle
  • Intelligenz
  • Einsatz
  • Banken
  • Unternehmen
Um einen Wandel der Finanzbranche erfolgreich zu meistern, müssen Kreditinstitute sowohl Chancen als auch Herausforderungen der Künstlichen Intelligenz (KI) erkennen. Unter der neuen Marke KINOTE der Bank-Verlag GmbH finden Sie Meldungen, Studien und Fachartikel zum Themenkomplex KI. Wir beantworten Ihre Fragen rund um KI. Wir berichten über Trends, neue Technologien, Forschungsergebnisse und daraus entstehende Möglichkeiten, die KI Ihrem Unternehmen bietet.

38 01 | 2022 Ethical

38 01 | 2022 Ethical Hacking – Eine Bank entern „Wer spielt nicht gern Spion?“ Die Sorge vor Cyber-Angriffen ist im Finanzsektor so groß wie nie zuvor, und die Befürchtungen sind mehr als berechtigt. Noch im Februar warnte die Europäische Zentralbank vor einer Zunahme von Hacker-Angriffen aus Russland, wenig später verzeichnete die Ukraine Cyber- Attacken auf zwei ihrer Banken. KINOTE hat mit dem Ethical Hacker und Citadelo-Board- Mitglied Martin Hanic darüber gesprochen, wie der Einsatz eines Red Teams abläuft und wie vulnerabel Banken für Hacker-Angriffe tatsächlich sind.

01 | 2022 39 KINOTE: Herr Hanic, können Sie zuerst bitte erläutern, was man unter dem sogenannten Red Teaming eigentlich versteht? Martin Hanic: Red Teaming ist eine besondere Art der Bedrohungssimulation, die Unternehmen dabei hilft, ihre Sicherheitsstrategie zu testen und zu verbessern. Beim Red Teaming agiert eine unabhängige Gruppe qualifizierter Sicherheitsexperten mit Angreifer-Know-how. Sie liefern eine Antwort auf die Frage: Hält das komplexe Sicherheitssystem einem realistischen Szenario stand? Gegner des Red Teams ist das Blue Team, mit internen IT-Experten der Organisation, die für die Sicherheit der IT-Systeme verantwortlich sind und Cyber-Angriffe abwehren sollen. Können Sie uns verraten, welche Banken Sie bereits „geentert“ haben und wie solch ein Red Teaming abläuft? Ich werde natürlich keine Namen nennen. Wir einigen uns mit dem Sicherheitsteam des Auftraggebers zunächst auf eine umfassende, aber klare Definition des Anwendungsbereichs. Eine einfache Definition von No-Go-Techniken und eine nach Prioritäten geordnete Liste von Zielen, beginnend mit der Domänenverwaltung, gefolgt von einer Liste interner Systeme und Dokumentenspeicher, die als sensibel gelten. Was sind dann Ihre nächsten Schritte? Üblicherweise beginnen wir mit OSINT, Open Source Intelligence, ein Begriff aus der Welt der Nachrichtendienste, denn: Wissen ist Macht. Dabei sammeln wir Informationen aus frei verfügbaren, offenen Quellen, die wir analysieren, um weitere verwertbare Erkenntnisse über das Angriffsziel zu gewinnen. Mit den Informationen auf der Website der Bank selbst kommen wir natürlich nicht weit, aber es gibt verschiedene öffentliche Quellen, einschließlich sozialer Medien. Die Zuordnung von Kontakten zu Arbeitsplätzen oder Arbeitsabteilungen ist schwierig. Noch schwieriger ist es, passende Telefonnummern zu finden. Aber es ist uns schon gelungen, eine Reihe von Präsentationen der Personalabteilung, darunter auch einige interne, bei einem lokalen File-Sharing-Dienst abzurufen. Dies erwies sich als Goldgrube, da wir da auch eine Liste von Kontakten für den Großteil einer bestimmten Abteilung gefunden haben. Als „Nebenprodukt“ stießen wir auch auf Vertragsentwürfe mit Anmerkungen, die uns weitere Kontakte liefern. Wie gelangen Sie an Informationen über die im Unternehmen verwendete Technologie? Um eine Vorstellung davon zu bekommen, welche Geräte, Anwendungen bzw. Software im Unternehmen zum Einsatz kommen, suchen wir nach öffentlich zugänglichen Beschaffungsinformationen wie Ausschreibungen usw. und natürlich nach Referenzen von Lieferanten. So können wir uns ein gutes Bild davon machen, was uns bei unserem Angriffsziel erwartet. Was gehört zu Ihren Lieblingsbeschäftigungen beim Red Teaming? Ich liebe es, vor Ort Spion zu spielen! Im Gebäude umherzulaufen, um nach anderen Eingängen, Raucherzonen und Kameras zu suchen, in der Lobby auf einen Freund zu warten, der vermeintlich immer zu spät kommt, aus dem Café auf der anderen Straßenseite die Stoßzeiten zu beobachten, wann Menschengruppen kommen und gehen, zu erfahren, wer welche Waren oder Dienstleistungen liefert und wie die Sicherheitsvorkehrungen aussehen, den Angestellten beim Kaffee oder beim Mittagessen im nahegelegenen Restaurant zuzuhören, während man die Wifi-Handshakes ihrer Geräte abfängt … Das ist das Beste am Red Teaming.

die bank