Aufrufe
vor 5 Jahren

die bank 09 // 2015

  • Text
  • Banken
  • Unternehmen
  • Diebank
  • Anforderungen
  • Kennzahlen
  • Bewerber
  • Mitarbeiter
  • Banking
  • Deutschland
  • Deutsche
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó IT & KOMMUNIKATION

ó IT & KOMMUNIKATION Auf die langsame Art STEALTH ATTACKS Entgegen dem allgemeinen Trend stagnierten Anzahl, Dauer und Stärke von Cyber- Angriffen auf Banken zuletzt. Dennoch zählen Finanzdienstleister immer noch zu den beliebtesten Zielen von Hackern. Kopfzerbrechen verursachen derzeit vor allem neue Angriffsmethoden. Es gibt schleichende Angriffe, bei denen die Institute nicht einmal bemerken, dass sie unter Beschuss sind. Die Schäden sind dabei jedoch oft sogar höher als bei herkömmlichen Frontalangriffen. Werner Thalmeier Keywords: Cyber-Kriminalität, Datensicherheit, Netzwerksicherheit Während die Lage für Unternehmen im Bildungs-, Gaming- oder Gesundheitssektor wesentlich brenzliger wurde, war 2014 für Banken ein Jahr, in dem sich die Bedrohungslage durch Cyber-Angriffe zum ersten Mal etwas entspannte. 1 Das sollte jedoch nicht so interpretiert werden, dass sich die Finanzinstitute nun zurücklehnen könnten. Im Gegenteil: Die leichte Entspannung in den vergangenen Monaten ist vor allem relativ zu sehen. 2012 und 2013 waren besonders turbulente Jahre für die Finanzindustrie, als zum Beispiel die „Operation Ababil“ vor allem US-amerikanische Banken in Atem hielt. Auch haben Banken wegen solcher heftiger Angriffe überdurchschnittlich viel in Abwehrmaßnahmen investiert und können nun teilweise die Früchte dieser Arbeit ernten. Im Mittelpunkt der vorherrschenden Angriffstypen stand bislang, die Infrastruktur des attackierten Instituts oder zumindest Teile davon in die Knie zu zwingen, also deren Geschäftsprozesse zum Stillstand zu bringen. So gehen die meisten Unternehmen heute auch davon aus, dass das primäre Ziel eines DDoS- (Distributed Denial of Service) Angriffs vor allem die Verfügbarkeit der Infrastruktur ist. Was die meisten nicht bedenken: Die Gefahrenlage reicht noch viel weiter. Zumal solche breitbandigen Angriffe immer öfter nur der Ablenkung vom eigentlichen Einbruch dienen, der dann unter Umständen über Wochen, Monate oder sogar Jahre unbemerkt bleibt. Im Fall solcher Advanced Persistent Threats (APTs) wiegen sich die betroffenen Unternehmen in der Überzeugung, einen DDoS- Angriff abgewehrt zu haben, während die Angreifer sich auf internen Systemen unerkannt einnisten und weiterhin freien Zugang zu vertraulichen Dokumenten oder Finanzdaten haben. Einer der spektakulärsten Fälle dieser Art geht sicherlich auf das Konto der internationalen Hackergruppe „Carbanak“, die im zweiten Halbjahr 2013 damit begann, Finanzinstitute mit sogenannter Malware zu infizieren. Bis Anfang dieses Jahres waren die Kriminellen Schritt für Schritt in der Lage, bei bis zu 100 Banken in über 20 Ländern rund 1 Mrd. US-$ zu erbeuten – auch von Banken in Deutschland. Dabei haben sich die Täter in die Computernetzwerke der Kreditinstitute gehackt, Informationen gesammelt und dadurch Geld überweisen oder bar auszahlen können. Ein Angriff auf eine Bank hat in der Regel zwischen zwei und vier Monaten gedauert. Solche mehrschichtigen Angriffe haben vor allem geschäftskritische Unternehmensanwendungen und finanzielle Daten zum Ziel. IT-Sicherheitsexperten machen vor allem zwei für die Angreifer erfolgreiche Methoden aus: ein sich langfristiges Einnisten durch die Hintertür sowie schleichende und getarnte Angriffe, sogenannte Stealth Attacks. Durch die Hintertür Jeder Fan von Action-Filmen kennt den Trick: Verbrecherbanden lenken Wachleute mit einem großen Durcheinander ab, während Eindringlinge durch die Hintertür ins Gebäude gelangen und den eigentlichen Coup landen. In der Cyber- Welt stellt in der Regel eine DDoS-Attacke dieses große Durcheinander dar, das dafür sorgt, dass die Abwehrsysteme außer Gefecht gesetzt werden und gegebenenfalls sogar auf „Fail Open“ schalten. Es genügt schon, wenn eine kritische Komponente der installierten Sicherheitslösung – wie eine Firewall oder ein Angriffserkennungssystem (Intrusion Prevention System, IPS) – dem Angriff nicht mehr standhält. Die Angreifer erweitern ihre Attacken dann auf die Applikationsebene, durch einfache SQL-Injections, XSS-Angriffe oder andere Eindringlinge. Diese eingeschleuste Malware (APTs) kann dann unbemerkt mit ihrer Arbeit beginnen. Stealth Attacks gehen den entgegengesetzten Weg. Sie stützen sich auf niedrigschwellige, dafür aber konstante DDoS- Angriffe. Zum Einsatz kommt dabei sehr häufig der sogenannte Login-Brute-Force- Angriff, der auf Login-Seiten abzielt. Er beschäftigt die Anmelde-Systeme, zum Beispiel beim Online-Banking, dauerhaft und zum Schein mit Login-Anfragen und verdrängt dadurch legitime Besucher. Das führt zu einer Überlastung der Anmelde-Server und damit meistens auch der Call Center des betroffenen Finanz- 62 diebank 9.2015

IT & KOMMUNIKATION ó instituts, wo viele frustrierte Kunden anrufen, die sich nicht mehr einloggen können. Insbesondere für Banken führt ein solches Szenario umgehend zu erheblichen Störungen im Geldverkehr. Noch subtiler arbeiten jene Angreifer, die ihre Datenflut noch feiner dosieren, damit alle Systeme, etwa der Login, weiter funktionieren, die Antwortzeiten der Web-Applikation sich jedoch deutlich erhöhen. Das allein kann das Geschäft aufgrund erhöhter Absprungraten erheblich schädigen. Neben solchen Attacken auf Login- Systeme nehmen sich Angreifer vor allem auch Datei-Uploads oder SSL-verschlüsselte Anwendungen vor. Gemeinsam ist all diesen Stealth Attacks, dass sie auf der Anwendungsebene stattfinden und auf HTTP-Paketen basieren, die mit den gültigen Web-Spezifikationen völlig konform sind. Dadurch können sie von üblichen Sicherheitswerkzeugen wie IPS, Firewall oder DoS-/DDoS-Abwehrlösungen, die auf der Messung des Datenvolumens basieren, nicht entdeckt werden. Hinzu kommt, dass diese Abwehrwerkzeuge heute zumeist noch Insellösungen sind. Sie werden mit einzelnen Angriffsarten fertig, nicht jedoch mit den Attacken, die sich mehrerer Methoden auf verschiedenen Ebenen gleichzeitig bedienen. Werkzeugseitig sollte deshalb sichergestellt sein: Sind die Tools in der Lage, auch Stealth Attacks zu entdecken? Und sind die einzelnen Lösungsbausteine so miteinander verzahnt, dass alle relevanten Netzwerkbereiche – eigenes Rechenzentrum, Umgebungssysteme und Cloud – abgedeckt sind und in Echtzeit miteinander kommunizieren? Wer sind die Angreifer? Tools und Technologien sind immer nur das letzte Glied einer längeren Entscheidungskette. Viele Unternehmen müssen sich erst einmal ihre Risiken bewusst machen und sich Klarheit darüber verschaffen, ob sie bereits angegriffen wurden, ohne es gemerkt zu haben. fl Verbrecherbanden lenken Wachleute mit einem großen Durcheinander ab, während Eindringlinge durch die Hintertür ins Gebäude gelangen und den eigentlichen Coup landen. Die folgenden fünf Schritte haben sich dabei bewährt: 1. Potenzielle Angreifer identifizieren: Nicht nur Security-Anbieter warnen regelmäßig vor neuen Attacken, Angreifern und ihren Methoden. Auch unabhängige Verbände wie zum Beispiel der Branchenverband Bitkom oder Behörden wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) bieten umfassende und fortlaufende Informationen und Services an. 2. Schaffen einer Sicherheitszentrale: Die Sicherheitsinfrastruktur einer Bank benötigt eine zentrale Kontroll- und Steuerungsinstanz, die alle IT-Einheiten, wie Netzwerke, Server und Anwendungen, abdeckt. Manche Anbieter stellen eine sog. Software Defined Architecture zur Verfügung, in deren Rahmen die Angriffsabwehr automatisiert abläuft. 3. Einbinden eines Notfallteams: Unabhängig von der jeweiligen Sicherheitsinfrastruktur ist ein Expertenteam unerlässlich, das im Notfall einen Angriff schnell erkennt und effektiv bekämpft. Da ein solches Team rund um die Uhr und an 365 Tagen im Jahr abrufbereit sein muss, rechnet es sich oft, diese Aufgabe an externe Spezialdienstleister zu vergeben. 4. Unternehmenskritische Daten identifizieren und entsprechende Netzwerke separieren: Das Konzept der Netzwerk- Separierung ist relativ alt und zum Beispiel zwingender Bestandteil in den Sicherheitsstandards PCI-DSS V2.0 und PCI-DSS V3.0. Dies stellt sicher, dass die für Kriminelle leichter zugänglichen Informationen keine kritischen sind. Die wirklich heiklen Daten hingegen sind in überdurchschnittlich geschützten Netzwerken abgesichert. 5. Dominoeffekt vermeiden: Wie können sich Lieferanten und Partner auf die eigene Sicherheit auswirken? Zum Beispiel: Wenn der Internet-Provider einer Bank gerade angegriffen wird – welche Auswirkungen hat dies auf das Online Banking oder andere Anwendungen, die Finanztransaktionen abwickeln? Die gegenseitigen Abhängigkeiten zwischen Unternehmen müssen deshalb auch in Sachen IT-Sicherheit analysiert werden. Fazit Die weit verbreiteten DDoS-Attacken stehen noch ganz oben auf der Gefahrenliste der IT-Sicherheits-Verantwortlichen, dicht gefolgt von unautorisierten Zugriffen und Advanced Persistent Threats. 1 Angriffe, die nur noch auf eine Methodik setzen, sind zur Ausnahme geworden. Standard ist heutzutage eine Kombination von mehreren Angriffswegen, die zudem nicht immer gleich am ersten Tag sichtbar werden. Ziel der Angreifer ist es zunehmend, möglichst lange unentdeckt operieren zu können. Dementsprechend müssen Sicherheitsverantwortliche ihre Abwehrsysteme auf mögliche Lücken hin abklopfen. Letztlich müssen die eingesetzten Werkzeuge in der Lage sein, mehrschichtige Angriffe auf unterschiedlichen Ebenen der IT-Infrastruktur entdecken und abwehren zu können. ó Autor: Werner Thalmeier, Director Security Solutions EMEA und Lateinamerika bei Radware. 1 Siehe Global Application & Network Security Report 2014/15 von Radware. 9.2015 diebank 63

die bank