Geldinstitute > Security

20.02.2017 von hs

Cybercrime der neuen Generation - Banken müssen umdenken

Sicherheitsvorfälle wie der SWIFT-Hack haben in der ­Branche für große Unruhe gesorgt – und das zu Recht, findet Jeremiah Grossman. ­Der Chief of ­Security Strategy von SentinelOne erläutert im Interview, warum herkömmliche Sicherheitstechnologien immer öfter versagen und Banken in Sachen Endgeräteschutz 2017 endlich neue Wege einschlagen müssen.

Berichte über groß angelegte Cyber-­Angriffe und gefährliche Sicherheits­lücken im Finanzsektor legen den ­Anschein nahe, dass es um die Cyber­sicherheit unserer Banken nicht mehr gut bestellt ist. Entspricht das der Realität? 

 

Grossman: Banken und Kreditinstitute waren schon immer Zielscheibe für Betrüger und Cyberkriminelle und werden es höchstwahrscheinlich immer sein. Das liegt in erster Linie daran, dass es bei Banken kritische Informationen abzugreifen gibt, die für Angreifer von wertvollem Nutzen sind. Neben klassischen personenbezogenen Daten wie Namen, Adressen oder Kreditkartendaten machen auch ­sensible Informationen zu Aktien, Wertpapieren und anderen Finanztiteln Banken zu einem lohnenswerten Angriffsziel. 


In der Tat gab es in den letzten Jahren ­einige spektakuläre Cyber-Angriffe auf Geldinstitute, die den Schluss nahe legen, der Bankensektor müsse seine Sicherheitsvorkehrungen im Bereich Cyber­security stärker ausweiten. Der Datendiebstahl bei JP Morgan und der SWIFT-Hack im vergangenen Sommer sind hier gute Beispiele. Wir sollten aber nicht vergessen, dass die wachsende und sich professionalisierende Cyberkriminalität ein generelles Problem ist. Der Sicherheitsvorfall bei Yahoo vor einigen Monaten, bei dem fast eine Milliarde Nutzerdaten gestohlen wurden, hat gezeigt, dass sich nicht nur Finanzinstitute eingehender mit der heutigen Bedrohungslandschaft beschäftigen müssen. Die Realität ist doch folgende: Egal ob Finanzinstitute, Einzelhändler, staatliche Organisationen oder andere Branchen – jedes Unternehmen, das Geschäfte über das Internet abwickelt, muss heutzutage erheblich in Cybersicher­heit investieren und bestehende Sicherheitsmaßnahmen immer wieder über­denken. Genau wie Internetkriminelle sich nicht auf einen Angriffstyp beschränken, sondern ihre Methoden fortlaufend weiterentwickeln, dürfen auch Unternehmen nicht müde werden, ihre Schutzmaßnahmen regelmäßig zu evaluieren und der Aktualität der Cyberbedrohungen anzupassen. Nur so haben sie die Chance, den neuesten Angriffsarten Herr zu werden. 

 

Mit welchen Cyberbedrohungen sehen sich Banken heutzutage konfrontiert?

 

Cyber-Angriffe auf Finanzinstitute beschränken sich längst nicht mehr nur auf Phishing-Attacken, bei denen ahnungs­lose Nutzer auf bösartige Webseiten gelinkt werden, die ihre Zugangsdaten ­ausspähen. Die wohl größte Bedrohung geht heute von hochentwickelter Schadsoftware – und noch spezieller – von ­Ransomware aus. Ransomware ist gerade deshalb so heimtückisch, weil sie ganze Systeme zum Stillstand bringen und den Zugriff auf wichtige Daten unterbinden kann. Im Falle von Banken könnte das Kundenkonten oder andere kritische ­Informationen betreffen. Für die Entschlüsselung ihrer Daten werden die ­Ransomware-Opfer dann zur Kasse geben. Wer das geforderte Lösegeld nicht bezahlt, läuft Gefahr, seine Daten für ­immer zu verlieren. 


Dass der Finanzsektor ein beliebtes Ziel für Ransomware ist, hat eine von uns in Auftrag gegebene Studie bereits offenbart. 45 Prozent der befragten Finanz­institute gaben an, in den letzten zwölf Monaten Opfer von Cyber-Erpressern geworden zu sein. Da viele Opfer bisher nicht oder nur schlecht auf Ransomware-Angriffe und alle damit verbundenen Komplikationen vorbereitet sind, bleibt ihnen meist nichts anderes übrig, als der Lösegeldforderung nachzukommen. Für ­Hacker hat sich Ransomware zu einer höchst lukrativen Angriffsmethode entwickelt, was auch den exponentiellen Anstieg von Angriffen mit Erpresser-Trojanern im letzten Jahr erklärt. Denn während Ransomware-Opfer im Jahr 2015 insgesamt rund 24 Millionen Dollar bezahlt haben, belief sich der Schaden allein im ersten Quartal 2016 bereits auf 209 Millionen Dollar.

 

Traditionelle Verteidigungstechnologien wie Antivirus sind immer noch flächendeckend im Einsatz ......

 

Traditionelle Antiviren-Software ist der hochentwickelten Bedrohungslandschaft unserer Zeit längst nicht mehr gewachsen. Das liegt in erster Linie daran, dass diese Programme mit statischen Signaturen ­arbeiten und deshalb ausschließlich bekannte Bedrohungen abwehren können. Dieses Manko haben Cyberkriminelle ­natürlich inzwischen für ihre Zwecke ausgenutzt und hochintelligente polymorphe Mal­ware entwickelt, die sich selbst versch­leiert und ständig weiterentwickelt oder raffiniert in vermeintlich seriösen Programmen versteckt wird. 


Besonders tückisch sind zum Beispiel ­sogenannte File-Binder, d. h. Programme, die mehrere Dateien zu einer einzigen ­verschmelzen und Schadprogramme so in gängigen Dateien verstecken können. Öffnet ein Opfer diese manipulierte aber nach außen hin seriös wirkende Datei, wird im Hintergrund parallel das infizierte Programm ausgeführt. In diesem Fall kann eine herkömmliche AV-Lösung eine Infizierung also nicht verhindern. Eine weitere Bedrohung geht von umgebungsintelligenter Malware aus, die in der Lage ist, natürliche Umgebungen von virtualisierten Versuchsumgebungen, sog. Sandboxen, zu unterscheiden. Sobald diese Malware eine unnatürliche Umgebung wahrnimmt, stellt sie ihr schadhaftes Verhalten blitzschnell ein und kann die eigene Entdeckung und Eliminierung auf diese Weise verhindern. Unmittelbar nach Entfernen aus der Sandbox, also sobald die Malware echte menschliche Handlungen erkennt, setzt sie ihre bösartigen Machenschaften jedoch fort. 


Schädliche Aktivitäten wie diese können von herkömmlichen Antivirus-Technologien schlicht und einfach nicht erkannt und gestoppt werden. Aus diesem Grund ersetzen immer mehr Unternehmen ihre Standard-AV-Lösungen mit Endgeräteschutz-Technologien der nächsten ­Generation.

 

  

Was zeichnet Endgeräteschutz der nächsten Generation aus? 

 

Kurz gesagt, lassen diese Next Generation-Sicherheitslösungen die statische signatur-basierte Erkennung hinter sich und verfolgen einen Sicherheitsansatz, der ­innovative Technologien wie dynamische Verhaltensanalyse und maschinelles Lernen vereint. Anstatt ausschließlich den Perimeter eines Endgerätes im Blick zu haben, d. h. die Dateien, die auf dem Desktop ein- und ausgehen, werden hier sämtliche Prozesse und Aktivitäten, die sich auf dem Endgerät abspielen, beobachtet – und zwar ununterbrochen und in Echtzeit. Erkennt das System schädliches Verhalten, sei es das unautorisierte Erstellen, Löschen oder Verschlüsseln bestimmter Dateien, kann es dieses automatisch blockieren indem z.  B. ein Prozess beendet oder das betroffene Endgerät sofort vom Netzwerk isoliert wird. 


Da schadhafter Code anhand seines Ausführungsverhaltens identifiziert wird und auch als harmlos eingestufte Aktivitäten weiterhin überwacht werden, lassen sich also anders als bei AV und Co. auch vollkommen neue und verschleierte Malware-Stämme bekämpfen. Ein weiterer Vorteil des modernen Endgerät-Schutzes ist seine Intelligenz, schadhafte Modifikationen zu reparieren. Wurden Dateien manipuliert oder gelöscht bzw. Konfigurationseinstellungen oder Systemdateien geändert, kann die Software den ursprünglichen Ausführungszustand problemlos wiederherstellen.

 

 

Worauf sollten insbesondere Banken bei der Auswahl neuer Sicherheitstechno­logien achten?

 

Bei der Auswahl der richtigen Sicherheitslösung müssen Finanzinstitute mehr als nur die reine Schutzleistung im Blick haben. Ein wichtiger Punkt ist hier unter anderem die Performance-Belastung, denn Ressourcen und Bandweiten-­intensive Technologien können schnell zu ­einer eklatanten Performance-Minderung führen. So können Host-basierte Intrusion-Prevention-Systeme, Antivirus oder andere Security-Lösungen den Haupt­prozessor um bis zu 50 Prozent auslasten.  Für Banken sind Aspekte wie Server-­Effektivität und Hochverfügbarkeit der Daten jedoch unternehmenskritisch. Testergebnisse unabhängiger Sicherheitslabore können hier wichtige Hinweise geben. 


Ein anderer Aspekt, der nicht vernachlässigt werden sollte, ist die Kompati­bilität der Sicherheitslösung mit verschiedenen Betriebssystemen und deren Versionen. Das ist für die Bankenindustrie besonders wichtig, da gerade auf vielen Geldautomaten ältere Windows-Versionen laufen, die nicht mehr aktualisiert werden können und für die wirksame Security daher umso wichtiger ist. Der letzte Punkt, auf den ich hinweisen möchte, betrifft den Datenschutz. Kunden legen ihre sensiblen Daten in die Hände ihrer Banken und vertrauen darauf, dass diese dort absolut sicher sind. Umso wichtiger ist es, dass die Geld­institute eine Sicherheitslösung nutzen, die einen Schutz der Kundendaten ­wirklich gewährleisten kann.