Aufrufe
vor 5 Jahren

die bank 04 // 2018

  • Text
  • Banken
  • Unternehmen
  • Digitalisierung
  • Digitale
  • Anforderungen
  • Deutschen
  • Frauen
  • Institute
  • Insbesondere
  • Banking
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG

DIGITALISIERUNG CYBERSECURITY Wie Hacker arbeiten Im Jahr 2007 erbeuteten Wachleute einer irakischen Bank in einem echten Bankraub über 280 Mio. US-$. Noch mehr Beute hatten Hacker im Rahmen eines digitalen Bankraubs in Bangladesch im Februar 2016 im Visier. Sie versuchten, fast eine Milliarde Dollar „per Kabel“ zu stehlen. Wie sich bei der Untersuchung zeigte, waren die Cyber-Sicherheitsvorkehrungen der Bank unzureichend gewesen. Unser Autor erläutert einige der Tricks, mit denen Hacker arbeiten und wie sich Banken schützen können. 54 04 // 2018

DIGITALISIERUNG Als 1984 der Chaos Computer Club mit dem sogenannten BTX- Hack zeigte, dass dieses System nicht sicher sei und einer deutschen Bank einen finanziellen Schaden zufügte – den der Club aber freiwillig beglich – war das Thema Hacking noch etwas Neues. Heute sieht das anders aus, fast wöchentlich kann man der Presse dazu Artikel entnehmen. Immer wieder sind dabei auch Banken betroffen. Meldungen über erfolgreiche Hacking-Angriffe sind mittlerweile Alltag geworden. Doch wie arbeiten Hacker eigentlich? Sind sie wirklich so gut, oder sind nicht eher die Sicherheitsvorkehrungen der Betroffenen ungenügend? Dies wird im Folgenden an einigen Beispielen gezeigt. Informationsbeschaffung aus dem Netz Im Jahr 2014 gelang es zwei 14-Jährigen in der Schulpause (!) in die Geldautomaten der Bank of Montreal einzubrechen und diese zu manipulieren: Auf den Kontoauszügen stand gedruckt, dass der Geldautomat unsicher sei, da er gehackt wurde. Dann präsentierten sie dieses Resultat den ungläubigen Bankangestellten. Wie sich herausstellte, war der Hack nicht besonders schwer gewesen, da die Jungs das Masterpasswort für die Geldautomaten im Internet gefunden hatten – nur durch eine Googles Suche. Die Bank stellte umgehend die Passworte für die Geldautomaten um. Zudem stellte die Bank den Jungs eine Entschuldigung für die überzogene Pause in der Schule aus, da sie als „Security Berater“ für die Bank gearbeitet hätten. Giftige E-Mails Im Sommer 2017 fielen viele Firmen sogenannten Verschlüsselungstrojanern wie Wannacry oder NotPetaya zum Opfer. Diese wurden über E-Mails mit Anhängen, z. B. angeblichen Rechnungen, in die Unternehmen eingeschleust. Sobald ein Mitarbeiter den Mailanhang mit einem Doppelklick öffnete, nutzte die Malware eine seit Monaten bekannte (und vom Hersteller inzwischen gefixte) Sicherheitslücke in Windows aus, um Daten auf den firmeneigenen Computern zu verschlüsseln und unlesbar zu machen. Der Schaden, der hier mit einem unbedachten Mausklick – in Verbindung mit schlechtem Update-Management seitens der Firmen-IT – angerichtet wurde, war teilweise sehr verheerend. So belief sich der Schaden allein bei der dänischen Reederei Maersk weltweit auf bis zu 300 Mio. US-$. Virtuelle Frau Vor einigen Jahren zeigte ein Sicherheitsforscher bei einer Hackerkonferenz erstaunliche Ergebnisse, die seine „Mitarbeiterin“ Robin Sage (25) gefunden habe. 300 Personen in den USA hatten dieser auf Fotos sehr attraktiven Frau über soziale Medien wie Twitter und Facebook Geheimnisse anvertraut, von Bankverbindungen bis hin zu internen Abläufen beim US-Militär. Kein Geheimnis war zu diskret, um es nicht Robin anzuvertrauen. Robin erhielt sogar Jobangebote von Google und einem US-Rüstungskonzern. Leider gab es Robin nicht in echt. Sie war eine Kunstfigur, die der Sicherheitsforscher zum Zweck der Spionage erschaffen hatte. Die Bilder stammten aus dem Internet und gehörten zu einer Erotikdarstellerin, die nichts von dem Experiment wusste. Ein wirklich gelungener und einfacher Angriff. Freundlicher Weihnachtsmann Ein Sicherheitsunternehmen, das im Auftrag von Firmen sogenannte Penetrationstests durchführt, um zu testen, ob es in die Firmennetzwerke der Auftraggeber eindringen kann, verteilte vor einiger Zeit USB- Sticks und Süßigkeiten in den Betriebsstätten. Diese USB-Sticks waren speziell präpariert und verbanden sich – sobald sie einmal in einen Firmen-PC gesteckt worden waren – direkt mit dem Hacker-PC des Penetrationstesters. Besonders faszinierend ist hierbei, dass selbst nach dem Erteilen eines Hausverbots für den freundlichen, aber verdächtigen Weihnachtsmann durch misstrauisch gewordene Pförtner die USB- Sticks nicht wieder eingesammelt wurden, sodass nichtsahnende Mitarbeiter sie trotzdem an die Firmen PCs anstecken konnten. Altes Betriebssystem Generell nutzen Hacker oft langbekannte Angriffe auf alte Betriebssysteme. Das Wissen hierzu sowie Hackertools, die das ausnutzen können, finden sich im Netz. In Deutschland lag noch im Januar 2017 der Anteil an Win XP bei ca. 9 Prozent. Das bedeutet, dass zu diesem Zeitpunkt etwa jeder elfte Rechner ein Betriebssystem hatte, das seit dreieinhalb Jahren schon nicht mehr mit Sicherheitsupdates versorgt wurde. 04 // 2018 55

die bank