Geldinstitute > Security

29.08.2017 von hs

BSI nimmt Finanzbranche in die Pflicht

Ransomware wie WannaCry und jüngst Petya haben es auf drastische Weise gezeigt: Die Bedrohung durch Cyber-Attacken ist für die Betreiber kritischer Infrastrukturen (KRITIS) längst real.

Sicherheit war und ist ein bedrohtes Gut – auch WannaCry und Konsorten weisen darauf hin Copyright: Sputnik GmbH

WannaCry infizierte britische Krankenhäuser und die Deutsche Bahn, Petya infiltrierte vor wenigen Tagen Banken in Russland und der Ukraine. Mit der im Mai beschlossenen Ausweitung des 2015 in Kraft getretenen IT-Sicherheitsgesetzes ergreift das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt zusätzliche Gegenmaßnahmen und nimmt insgesamt 918 weitere KRITIS-Einrichtungen in die Pflicht. Davon betroffen sind insbesondere Geldinstitute aber auch Versicherungsunternehmen. 

Bereits Anfang 2016 haben leitende Kräfte in Banken bei einer weltweiten Umfrage der Wirtschaftsprüfungs- und Beratungsgesellschaft pwc ihre Angst vor ­Cyber-Attacken geäußert. Sie bezeichneten sie demnach sogar als zweitgrößte Bedrohung für ihr Geschäftsmodell. Ende Juni 2017 wurde aus dieser Angst Realität: Kaum sechs Wochen nach der globalen Attacke von WannaCry schaffte es die Ransomware Petya, Banken in Russland und der Ukraine zu infizieren. Der Schaden des Angriffs ist noch längst nicht absehbar. Hacker-Angriffe sind auch für deutsche Geldinstitute nichts Neues: 2015 übernahmen Kriminelle beispielsweise die Kontrolle über Geldautomaten, indem sie die Abdeckungen der Automaten entfernten und per USB-Stick Mal­ware auf die Systeme spielten. Dass die deutsche Politik und zuständige Behörden die wachsende Bedrohung ernstnehmen, zeigt neben der im Mai beschlossenen Ausweitung des IT-Sicherheitsgesetzes auch die jüngste Überlegung der Bundesbank: Vorstand Andreas Dombret äußerte gegenüber dem Focus, dass er prüfen lassen wolle, ob nicht sogar staatlich verordnete Angriffssimulationen ein ­Instrument zum Aufzeigen von Sicherheitslücken sein könnten. 

ISMS hilft bei der Umsetzung der gesetzlichen Vorgaben 

Das ursprünglich 2015 in Kraft getretene IT-Sicherheitsgesetz gibt mittlerweile einen obligatorischen Mindeststandard für Informationssicherheit vor, den Betreiber sogenannter KRITIS erfüllen müssen. KRITIS, das sind kritische ­Infrastrukturen, die für das gesellschaftliche Zusammenleben von besonderer Bedeutung sind – seien es Energieversorger und Krankenhäuser oder seit Mai auch das Finanz- und Versicherungs­wesen. Von der Ausweitung des Gesetzes betroffene Unternehmen müssen die Umsetzung der Norm bis spätestens Juni 2019 mit einer Zertifizierung nach­weisen. Außerdem hat die Einrichtung einer Kontaktstelle für die Meldung von ­Sicherheitsvorfällen an das BSI bis ­Dezember 2017 zu erfolgen. Die Imp­lementierung eines sogenannten Informationssicherheitsmanagementsystems (kurz: ISMS) gemäß der internationalen Norm DIN ISO/IEC 27001 hilft dabei, diese gesetzlichen Vorgaben rechtssicher zu erfüllen.

Der Fahrplan zum wirkungsvollen ISMS: Am Anfang steht die Bestandsaufnahme. Dabei empfiehlt es sich, zunächst die technischen Voraussetzungen auf Herz und Nieren zu prüfen. Wertvolle Erkenntnisse über den Ist-Zustand liefert z. B. das sogenannte Penetrationstesting durch ethische Hacker, die Angriffe von außen lediglich simulieren und ein Protokoll über Sicherheitslücken an ihre Auftrag­geber übermitteln. Die folgende Risikoanalyse betrachtet die Assets, also die Unternehmenswerte, die bei einem Angriff gefährdet sein können. Im dritten Schritt gilt es, Maßnahmen zur Optimierung der Informationssicherheit zu prüfen. Neben der rein technischen Seite sollten zudem personelle Maßnahmen auf der Agenda stehen, zu denen Schulungen, Audits und eine Managementbewertung gehören. 

 

Typologie der Bedrohung

Keine andere Branche ist für Cyber-Attacken ähnlich lukrativ wie das Finanz­wesen, da die Angreifer statt bloßer ­Daten direkt erhebliche Geldbeträge erbeuten können. Grund genug, als Ziel für permanente Cyberattacken jeglicher Form zu dienen. Stark auf dem Vormarsch ist aktuell wie oben beschrieben sogenannte Ransomware – das Kidnapping der Neuzeit: Von außen wird virtuell einge­brochen, die Daten auf dem Rechner­ verschlüsselt und gegen Zahlung eines Lösegeldes wieder freigegeben – vielleicht. So nutzte WannaCry eine längst bekannte Microsoft-Sicherheitslücke. Betroffen waren vorrangig große und global auf­gestellte Unternehmen und Behörden. Die Verbreitung fand dabei nicht wie ­gewöhnlich via Mail sondern durch in­fizierte Rechner statt. 

Ebenfalls verheerende Ausmaße können DoS-Attacken (Denial of Service) besitzen. Mittels gezielter Angriffe auf die Zielserver werden diese durch Überlastung zum Absturz gebracht. In der Realität würde es bedeuten, dass Geldinstitute in ihrem Betrieb massiv behindert wären. Der Zugang zu Konten und Vorgängen könnte zeitweise so stark beeinträchtigt sein, dass gesamte Workflows zum Er­liegen kämen.

Nicht zuletzt Pishing-Emails wird schon einmal jeder von uns in seinem Postfach gefunden haben. Ein nigerianischer Bankangestellter macht dem Empfänger Versprechungen auf ein unangetastetes Erbe, das auf einem Konto liegen soll. Für die Zahlung eines nicht unbedeutenden Betrages wird die umgehende Überweisung in Aussicht gestellt. In den 90ern wurden diese Mails noch postalisch oder via Fax versendet. Der finanzielle Schaden für die Unternehmen sollte sich hierbei in Grenzen halten, da die Mails oft bereits auf den ersten Blick ­unseriös genug erscheinen, um den Empfänger nicht in die Versuchung eines Klicks zu bringen. 

Es ist davon auszugehen, dass sich die Anzahl der genannten Attacken in Zukunft massiv erhöht. Bereits heute vergeht kein Tag, an dem die IT-Abteilungen keine Cyber-Angriffe zu verzeichnen ­haben. Die Herausforderungen liegen ­dabei nicht nur in der Umsetzung der ­gesetzlichen und unternehmerischen Anforderung, sondern auch und vor allem in der Sicherung der Unternehmenswerte – sei  es in Form von Geldbeträgen oder digitalen Daten und Informationen. Dafür müssen technische und organisatorische Maßnahmen im Unternehmen etabliert, schützenswerte Assets identifiziert, potenzielle Risiken bekannt sowie die Meldekette im Falle eines Sicherheitsereignisses installiert sein. Gerade der letzte Punkt, die Etablierung eines umfangreichen Incident-Managements für die in- und externe Kommunikation von Sicherheitsvorfällen, wird zu häufig außer Acht gelassen. Warum soll ich diesen misslichen Vorfall auch noch kommunizieren? Einigeln bringt in einer solchen Situation gar nichts! Hierbei gilt: Die Kommunikation eines eingetretenen Vorfalls kann helfen, weiteren Schaden zu vermeiden.

Den Faktor Mensch miteinbeziehen

Zudem spielt auch der Faktor Mensch bei der Etablierung eines ISMS samt der entsprechenden personellen Maßnahmen eine entscheidende Rolle. Ein offiziell Verantwortlicher für Informationssicherheit kann dabei helfen, der womöglich verheerenden Sorglosigkeit der Mitarbeiter zu begegnen. Die bloße Schaffung der Stelle garantiert aber keine Besserung, denn der Sicherheitsverantwortliche benötigt zugleich die Chance, seine Aufgaben mit der gebotenen Ernsthaftigkeit umsetzen zu können. Das macht es nötig, dass er Einsicht in die Abläufe sowie Weisungsbefugnis erhält, um die erforderlichen Standards zu etablieren. Doch es bedarf auch der Überzeugung und des Bewusstseins der übrigen Mitarbeiter. Die – neudeutsch – Awareness für die ­Risiken muss bei allen Angestellten des Geldinstitutes samt der Leitungsebene ausgeprägt sein.