IT-Sicherheit
Finanzbranche im Fokus von Cyberattacken
 

Für Banken und Finanzdienstleister ist es von hoher Relevanz, ihre Abwehrfähigkeit gegenüber Cyberangriffen zu optimieren. Das Testprogramm TIBER-DE hilft dabei, Schwachstellen aufzudecken. Welche Gefahren lauern konkret? Und kann KI dabei helfen, die Gefahren einzudämmen?

Der hohe Vernetzungsgrad und die voranschreitende Digitalisierung machen den Finanzsektor extrem verwundbar für Cyberattacken. Erfolgreiche Angriffe auf eine Bank oder einen Finanzdienstleister haben das Potenzial, weit über das geschädigte Unternehmen hinauszugehen, was aus der starken Verflechtung der Finanzbranche mit der übrigen Wirtschaft resultiert. Daher ist es für die Institute von hoher Relevanz, ihre Abwehrfähigkeit gegenüber Cyberattacken laufend zu optimieren und untersuchen zu lassen. Zu diesem Zweck beschlossen das Bundesfinanzministerium (BMF) und die Deutsche Bundesbank jüngst ein Cyberabwehrprogramm mit dem Namen TIBER-DE. Deutschland setzt damit das vom Europäischen System der Zentralbanken (ESZB) entworfene „Rahmenwerk für bedrohungsgeleitete ethische Penetrationstests“ um. Die deutsche Version des Cyberabwehrtests wurde zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erarbeitet.

Das TIBER Cyberteam ist bei der Bundesbank angesiedelt. Im Rahmen des Projekts starten sogenannte ethische Hacker in Abstimmung mit der Notenbank und den teilnehmenden Firmen Testangriffe auf die Finanzbranche, um Lücken in der Abwehr offenzulegen und Verbesserungsbedarf zu identifizieren. Bei den ethischen Hackern handelt es sich um IT-Experten, die die Rolle von Angreifern einnehmen mit dem Ziel, bestimmte Schwachstellen in den technischen Systemen der Institute aufzudecken. Dr. Miriam Sinn, Leiterin der Gruppe Überwachung des Zahlungsverkehrs bei der Bundesbank (siehe Foto unten), erinnerte bei der Fachtagung „Informationssicherheit 2020“ im Bank-Verlag in Köln daran, dass es sich bei TIBER-DE nicht um ein aufsichtliches Instrument handele. Die Aufsicht werde jedoch zu bestimmten Zeitpunkten während des Prüfvorgangs eingebunden.

Eine Gruppe simulierter Angreifer

Das Testverfahren funktioniert laut Bundesbank und Bafin im Detail wie folgt: Das sogenannte Red Team ist eine Gruppe simulierter Angreifer. Dieser Personenkreis versucht, in eine Infrastruktur einzudringen, um die Sicherungs- bzw. Abwehrmaßnahmen der attackierten Firma zu überprüfen. In Bezug auf Cybersicherheit besteht das Red Team der Bafin zufolge aus Sicherheitsspezialisten, die versuchen wie ein Hacker und mit den Vorgehensweisen eines Hackers in vorher bestimmte Systeme einzudringen. Beim Blue Team hingegen handelt es sich laut Bundesbank um die Cyberabwehr der Firma, die über die Durchführung des Tests nicht informiert wird.

Was sind zentrale Eigenschaften des TIBER-DE-Tests? Dr. Miriam Sinn erklärte vor den zahlreichen Vertretern aus der Finanzbranche, dass es sich um ein für die Institute freiwilliges Verfahren handele. Zwang stünde konträr zum Geist des Projekts. Ein Unternehmen können einen TIBER-DE-Test weder bestehen noch durch ihn durchfallen. Vielmehr gehe es darum, als Unternehmen an der Prüfung wachsen zu wollen.

Wesentliche Charakteristika des Verfahrens seien Zusammenarbeit, Evidenz, Lernen, Verbesserung sowie Einbeziehung des Unternehmensvorstands. Laut Bundesbank werden die Finanzaufsichtsbehörden über signifikante Ergebnisse der Prüfung und die geplanten Behebungsmaßnahmen informiert.

Unsicherheitsfaktor Mensch

Beim Schutz vor Cyberangriffen geht es nicht nur um Computersysteme und Netzwerke. Ein wesentlicher Faktor ist auch der Mensch mit all seinen Stärken und Schwächen. Beim Social Engineering nutzen Kriminelle den „Faktor Mensch" als schwächstes Glied der Sicherheitskette aus, um ihre kriminellen Intentionen in die Tat umzusetzen. Letztlich sei der Mensch der größte Unsicherheitsfaktor im Unternehmen, erläuterte Alexandros Manakos, Head of Cybersecurity bei der Großbank HSBC Deutschland (siehe Foto unten) auf der Fachtagung. Social Engineering (soziale Manipulation) nennt man zwischenmenschliche Beeinflussungen mit der Absicht, Personen zu bestimmten Verhaltensweisen zu animieren. Menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität würden ausgenutzt, um Personen zu manipulieren, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Website. Der Angreifer verleite das Opfer auf diese Weise etwa dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren.

Eine bekannte Variante des Social Engineering ist das Vishing („Voice Phishing“, abgeleitet vom englischen Begriff für abfischen, fishing). Dabei wird laut BSI per Telefonanruf versucht, den Angerufenen zu täuschen. Ein klassisches Beispiel sei der vorgebliche Systemadministrator, der den Mitarbeiter kontaktiert, da dieser angeblich zur Behebung eines Systemfehlers oder Sicherheitsproblems das Passwort des Benutzers oder der Benutzerin benötigt.

Vishing-Anrufe erfolgreich abwehren

Gegen derartige Anrufe könne man sich mit gezielten Fragen wehren, so Manakos. Zum einen sollte man nach dem Namen und der Rufnummer des Gesprächspartners fragen. Oft sei die Nummer unterdrückt oder es werde eine falsche Nummer angezeigt. Zum anderen sollte man nach dem Grund des Anrufs fragen und Hilfe anbieten. Das effektivste Mittel sei jedoch die Vereinbarung eines Callback, entweder über die Nummer auf dem Display oder über eine andere Nummer, die man erfragt. An diesem Punkt würden die meisten Betrüger wieder auflegen, so der Experte. Mit diesen Fragen könne man bis bis zu 95 Prozent der Vishing-Anrufe erfolgreich abwehren.

Seit Jahren greifen Unternehmen weltweit immer stärker auf Künstliche Intelligenz (KI) zurück, um betriebliche Abläufe zu optimieren. Kann KI auch dazu beitragen kann, Cyberattacken abzuwehren? Einem flächendeckenden Einsatz der Technologie stehen laut einer Studie der KI- und Cybersecurity-Firma BlackBerry Cylance von 2018 wohl noch einige Hürden im Weg. Demnach sehen die befragten rund 260 Cybersicherheitsexperten mehrere Risiken, die mit dem Einsatz von KI in der Cybersicherheit verbunden sein könnten: Zum einem bestehe die Gefahr, sich zu stark auf nur einen einzigen Algorithmus zu verlassen. Zum anderen könnte es zu Missverständnissen hinsichtlich der Begrenzungen eines Algorithmus kommen. Auch der Einsatz falscher Algorithmen sei möglich.

Qualität der Ergebnisse einer KI schwer überprüfbar

Rafael Uetz, wissenschaftlicher Mitarbeiter der Abteilung „Cyber Analysis & Defense" des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie FKIE in Bonn, fügte auf der Veranstaltung in Köln hinzu, dass die Qualität der Ergebnisse einer KI im Rahmen der Cyberabwehr extrem schwer zu überprüfen sei. Zudem könnten Angreifer die KI unter Umständen umgehen. Diese sei zwar eine sinnvolle Ergänzung zur Erkennung und Abwehr von Cyberangriffen. Die Technologie könne jedoch weder Experten noch grundlegende Sicherheitsmaßnahmen ersetzen, resümierte der Experte.

Dr. Miriam Sinn, Leiterin der Gruppe Überwachung des Zahlungsverkehrs bei der Bundesbank.
Alexandros Manakos, Head of Cybersecurity bei HSBC Deutschland.

Lesen Sie hier einen ausführlichen Beitrag über das Thema KI auf der Fachtagung "Informationssicherheit 2020".  

 

 

Kontakt  
Diesen Artikel ...  
Artikelinformationen 
Artikel veröffentlicht am:
06.02.2020
Quelle(n):

iStock.com/baona
Bernd Schaller

Autor/in 
Dogan Michael Ulusoy
Webkiosk 

Die Zeitschrift

Ausgabe 01/2020

Jetzt online lesen »

 

 

Newsletter

die bank | Newsletter

Abonnieren Sie den kostenlosen redaktionellen Newsletter der Fachzeitschrift „die bank“.
Der Newsletter erscheint mindestens einmal im Monat und informiert Sie über aktuelle Beiträge und News.

 Anmeldung

 Newsletter-Archiv