Geldinstitute > Security

Wie schützt man den internationalen Zahlungsverkehr gegen Cyber-Angriffe?

Inzwischen vergeht kaum ein Monat ohne große Cyber-Attacken mit Millionen betroffener Kunden. Besonders groß ist der Schaden bei erfolgreichen Angriffen auf Finanzdienstleister. Grund genug zu analysieren, wie der Finanzsektor sich auf die wachsende Herausforderung durch Cyber-Angriffe einstellt und eine seiner zentralen Infrastrukturen schützt: den internationalen Zahlungsverkehr.

Die drei Komponenten des SWIFT Customer Security Programme (CSP) verstärken sich gegenseitig

Wohl keine Bedrohung hat sich in der jüngeren Vergangenheit so sehr verschärft wie die Gefahr von Cyber-Angriffen. Der Leiter des britischen Nachrichtendienstes GCHQ, Jeremy Fleming, hat bei seinem Amtsantritt im vergangenen Jahr der Abwehr von ­Cyber-Angriffen dieselbe Bedeutung bei­gemessen wie dem Kampf gegen den ­Terrorismus. Auch Deutschland hat seine Abwehraktivitäten intensiviert: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde jüngst um 180 Stellen verstärkt. Das BSI schätzt die Gefährdungslage als „weiterhin auf hohem Niveau an­gespannt“ ein und listet im aktuellen Lagebericht allein zehn weltweit aktive Cyber-Spionage-Gruppen auf, die spezifische ­Angriffe auf den Finanzsektor ausführen. 

Neue Angriffsflächen über digitale Schnittstellen

Als Grundlage für den Schutz dagegen gilt zunächst einmal „Know your Enemy“. Und dieser Gegner ist heute wesentlich besser organisiert als noch vor wenigen Jahren. Kriminelle Hacker verfügen über vielfältige Ressourcen, agieren wie global tätige Unternehmen und wenden zunehmend Techniken an, die bisher nur aus Spionage-Angriffen bekannt waren. 

Dazu zählt das auf ausgewählte Mitar­beiter zugeschnittene „Social Engineering“ ebenso wie das „Lateral Movement“, also das Ausbreiten im internen Netz mit erbeuteten Zugangsdaten und Nutzer­rechten. Gleichzeitig vergrößern sich die Angriffsflächen durch die zunehmende Öffnung der Bankennetzwerke zum Internet. Nicht nur die Kunde-Bank-Schnittstelle bietet Einfallstore für Attacken. In der neuen Welt des „Open Banking“ werden Banken immer mehr zu digitalen ­Ökosystemen, die es externen Anbietern über Anwendungsprogrammierschnittstellen (APIs) erlauben, Bankkunden neue ­digitale Dienste anzubieten. Dieser Trend wird sich noch beschleunigen. So kann das „Internet of Things“ (IoT) – die Vernetzung von physischen und virtuellen ­Gegenständen, die miteinander kommunizieren – nur auf Grundlage eines „Internet of Payments“ funktionieren. Kurz: Die Schnittstellen zwischen unserem digitalen Alltag und dem Zahlungsverkehr wachsen exponentiell.

Integriertes Abwehr-, Präventions- und Reaktionskonzept

Diese Entwicklung ist unumkehrbar. Sie ist vom Gesetzgeber gewollt und wird von ­Regulierungen wie der zweiten Zahlungsverkehrsrichtlinie der EU (PSD2) noch verstärkt. Diese birgt enormes Potenzial für Effizienzsteigerung und Wertschöpfung. Aber Digitalisierung kann nur erfolgreich sein, wenn der wirtschaftliche Grund­mechanismus – Zahlung gegen Lieferung bzw. Leistung – schnell, reibungsfrei, komfortabel und vor allem sicher funktioniert. Das hat die Anforderungen an Zahlungsverkehrsspezialisten sowie den Innovations- und Effizienzdruck auf die entsprechenden Systeme dramatisch erhöht.

Eine genossenschaftlich organisierte Marktinfrastruktur für den internationalen Zahlungsverkehr wie SWIFT ist in besonderem Maße von diesen Veränderungen ­betroffen. Gleichzeitig besteht ihre wichtige Rolle darin, die mehr als 11.000 Teilnehmerinstitutionen ihrer Community durch das Setzen von globalen Standards bei der Bewältigung der neuen Anforderungen zu unterstützen – auch und gerade im Bereich der Cyber Security. Selbst wenn die Sicherheit des SWIFT-Netzwerks nicht durch­brochen werden konnte, gab der Cyber-Bankraub bei der Zentralbank von Bangladesh vor zwei Jahren den Anlass, das gesamte Informationssicherheitskonzept unter dem Namen „SWIFT Customer Security Programme“ (CSP) neu und noch umfassender auszurichten.

Anstelle der Fokussierung auf einzelne, ­isolierte Sicherheitsmechanismen umfasst das CSP ein integriertes, mehrstufiges Gefahrenabwehr-, Präventions- und Reaktionskonzept. Die Mitgliedsinstitute sind auf der ersten Stufe gefordert, ihre eigene IT-Umgebung abzusichern und zu schützen („Secure and Protect“). Auf der zweiten Stufe werden sie angeleitet, Angriffe im Rahmen ihrer Geschäftsbeziehungen frühzeitig zu erkennen und zu verhindern („Prevent and Detect“). Dabei werden sie durch entsprechende Produkte und Services aktiv unterstützt. Auf der dritten Stufe sollen sie Informationen zu Cyber-Bedrohungen und -Angriffen teilen sowie sich auf neue ­Bedrohungen vorbereiten („Share and ­Prepare“). Alle drei Komponenten des Programms verstärken sich wechselseitig.

Obligatorische CSP-­Compliance und Kontrollen

Das CSP gibt nicht nur Empfehlungen. Die Umsetzung der zentralen Punkte des ­Programms ist für alle SWIFT-Mitglieder obligatorisch („Mandatory Controls“) und muss bis Ende des Jahres 2018 nachgewiesen werden. Mittlerweile haben mehr als 90  Prozent unserer Kunden ihre Selbstattestierung abgeschlossen. Damit werden bereits 99 Prozent der gesamten FIN-­Meldungen über das SWIFT-Netzwerk abgedeckt. Auch aufgrund intensiver Hilfe­stellung durch die Genossenschaft ist davon auszugehen, dass jeweils 100 Prozent ­erreicht werden.

Der Erfolg des CSP ist nicht zuletzt dem stetig wachsenden Interesse der SWIFT-Mitglieder an ihrer eigenen Sicherheit zu verdanken – und ihrem immer tieferen Verständnis dafür, dass die eigene Sicherheit auch von ihren Gegenparteien und der Integrität des Gesamtsystems abhängt. Die Zahl der Anfragen nach den „Security Attestations“, den Attestierungsinformationen zu Gegenparteien, wächst weltweit. Viele Banken haben zudem unabhängig vom CSP Vorgaben zur Gewährleistung der Sicherheit bei ihren Gegenparteien eingerichtet. 

Trotz dieser Maßnahmen werden Hacker-Attacken nicht merklich nachlassen. So lange Angreifer die Hoffnung auf Geld haben, werden sie nicht aufhören. Die Unternehmensberatung Accenture geht aktuell bei größeren Finanzinstituten von 85 schwerwiegenden Cyber-Angriffen pro Bank und Jahr aus. Auch die Angreifer investieren in substantielle finanzielle und personelle Ressourcen. Auf die so genannte „Deception Technology“, mit der falsche Server und Konten simuliert werden, um Hacker in die Falle zu locken, haben sie sich bereits eingestellt. Das wird mit anderen Maßnahmen ebenso passieren.

Eine echte gemeinsame Sicherheitskultur schaffen

Da sich die Gefahrenlage täglich verändert, muss auch das CSP regelmäßig hinterfragt und weiterentwickelt werden. Daher gibt es im CSP neben der Pflicht („Mandatory Controls“) auch die Kür („Advisory Controls“). Bedeutung und Angemessenheit der jeweiligen Kontrollen werden regelmäßig überprüft. Je nach Gefahrenlage bzw. antizipierten künftigen Gefahren können im Rahmen des CSP empfohlene Kontrollen dann verpflichtend werden. Umgekehrt können auch obligatorische Kontrollen wieder entfallen. Das CSP folgt also einer Release-Logik und kann dadurch flexibel auf die jeweilige tatsächliche Gefährdungslage reagieren.

Überzeugungsarbeit muss weiterhin bei der dritten Komponente des CSP geleistet ­werden, dem Informationsaustausch. Viele Banken scheuen noch den zügigen Austausch von Informationen, gerade auch bei Störfällen. Sei es aufgrund vermuteter Wettbewerbsnachteile, weil eine interne Freigabe nicht erfolgt oder weil die Angreifer wichtige Teile der Infrastruktur zerstört haben. Je schneller aber solche Informationen mitgeteilt werden, desto zügiger kann die gesamte Community vor Bedrohungen wie Schadprogrammen oder Tätergruppen, sogenannten „Indicators of Compromise“, gewarnt werden. Jenseits aller Maßnahmen muss es mehr denn je darum gehen, eine echte gemeinsame Sicherheitskultur zu schaffen. Nicht die Einzelmaßnahme, sondern diese Kultur bildet den wirksamsten Schutz vor Cyber-Angriffen.