Spam, Malware, DDos-Angriffe: Corona-Krise zwingt Banken und Versicherungen noch stärker zum Handeln
Die Digitalisierung im Banken- und Versicherungssektor war bereits in den vergangenen Jahren in aller Munde. So recht voran schien es jedoch bei den wenigsten Instituten zu gehen. Seit Beginn der Corona-Krise im Frühjahr hat sich dies stark geändert: Viele Institute waren gezwungen, Arbeitskonzepte für mobiles Arbeiten kurzfristig zusammenzustellen, Hardware musste angeschafft und Prozesse digitalisiert werden. Immerhin waren auch Bankfilialen aufgrund des Lockdowns geschlossen ebenso wie Vor-Ort-Beratungsstellen der deutschen Versicherungen. Um diese Phase erfolgreich zu überstehen, waren digitale Lösungen notwendig, um das operative Geschäft am Leben zu halten.
So gut die plötzliche Digitalisierung auf lange Sicht für die Branche wohl sein mag, hat das Ganze natürlich auch seine Schattenseiten und bringt neue Herausforderungen mit sich: Mehr digitale Lösungen bedeuten eben auch mehr Angriffsfläche für Cyber-Angriffe. Somit rückt jetzt das Thema Cyber-Sicherheit noch stärker in den Fokus als vorher. Der Aufbau einer resilienten IT-Infrastruktur und die Ausarbeitung von Konzepten und Strategien, um Cyber-Angriffe zu mitigieren, sollten jetzt oberste Priorität haben.
DDos-Angriffe nehmen zu und erreichen neues Level
Zum Jahresanfang 2020 wurden zahlreiche Unternehmen das Ziel von DDoS-Angriffen (Distributed Denial of Service). DDoS-Angriffe sind eine spezielle Art der Cyberkriminalität, bei der eine Überlastung der IT-Infrastruktur mutwillig herbeigeführt wird. Die Folge ist, dass angefragte Online-Dienste nicht mehr beziehungsweise nur noch stark eingeschränkt erreichbar sind. In den meisten Fällen ist das Ziel solcher Angriffe, Lösegelder zu erpressen.
DDoS-Angriffe wurden bisher vor allem auf dem Transportlayer 4 durchgeführt. Seit diesem Jahr neu sind Angriffe auf die Anwendungen des Layer 7. Dabei werden prinzipiell legale Funktionen oder Anwendungsschnittstellen so massiv genutzt oder gezielt angegriffen, dass der Service ausfällt. Beispiele dafür sind http-GET-Anfragen oder Formulardownloads.
Die meisten Unternehmen sind inzwischen gegen Angriffe auf Layer 4 gut geschützt. Die Erkennung und Abwehr eines Angriffs auf Layer 7 ist jedoch viel komplexer und aufwändiger. Aus Sicht der Angreifer wiederum sind Layer-7-Angriffe ebenfalls komplexer und teurer. Layer-4-Angriffe mit Hilfe von Botnetzen kann man heute schon als „Service“ im Internet kaufen.
Nutzung von Cloud-basierten Abwehrmechanismen zum Schutz vor DDoS-Angriffen
Doch welche Optionen haben Unternehmen, sich gegen solche komplexen Cyber-Angriffe zu schützen? IT-Unternehmen wie beispielsweise Cloudflare und Akami bieten Cloud-basierte Abwehrmechanismen gegen Layer-7-Angriffe an, die auf umfangreicher „Threat Intelligence“ beruhen, die die Anbieter angesammelt haben und stetig ausbauen. Dabei wird der gesamte Datenstrom zwischen den Enduser-Browsern und dem Service über die Cloud des Anbieters der DDoS-Abwehrlösung umgeleitet und dort auf Angriffsmuster analysiert. Im Falle einer Angriffserkennung wird der maliziöse Traffic sofort abgeleitet und so der Service geschützt. Da solche Lösungen mit Hilfe von Threat Intelligence ständig verbessert werden müssen, sind sie nicht schnell „On Premise“ implementierbar.
Auch wenn die genannten Lösungen Institute gut vor Layer-7-Angriffen schützen, haben sie jedoch einen großen Nachteil: Datenstromanalysen auf Layer 7 können nur unverschlüsselt durchgeführt werden. Das bedeutet, dass die Verbindung der Enduser-Browser zu Cloudflare zwar verschlüsselt ist. Dort wird sie aber entschlüsselt, analysiert und erst danach wieder verschlüsselt an das Unternehmen weitergeleitet. Die Datenstromanalyse von Kundendaten, die normalerweise unter die DSGVO fallen, findet also temporär unter dem amerikanischen Cloud Act statt. Eine problematische Situation für das Image von Banken und Versicherungen, aber auch aus gesetzlicher Sicht.
Eine wirklich befriedigende Lösung für diesen Zielkonflikt gibt es nicht bzw. erst dann, wenn europäische Hersteller ein ähnliches Niveau bei der Threat Intelligence erreicht haben. Bis dahin wird jede Lösung immer ein Kompromiss zwischen bestmöglicher Sicherheit und Compliance sein. Die Restrisiken müssen akzeptiert werden.
Zum Teil schwerwiegende Mängel in der IT-Sicherheit von Banken festgestellt
In der August-Ausgabe des BaFin Journals gab Raimund Röseler, Exekutivdirektor Bankenaufsicht einen Einblick in die Thematik Cyber-Sicherheit bei Banken. Dabei stellte er fest, dass im Rahmen von Prüfungen zum Teil immer noch erhebliche Mängel in der IT-Sicherheit festgestellt werden mussten. Bei den wenigsten handelt es sich hier jedoch um böswillige, durch Hacker erfolgreich durchgeführte Angriffe. Prüfungen kleinerer und mittlerer Institute zeigten die größten Defizite im Informations- und Berechtigungsmanagement sowie im Informationssicherheits- und Auslagerungsmanagement.
Auch hier zeigt sich wieder, dass es von zentraler Bedeutung ist, dass Institute Ihre Daten kennen, wissen, wo Sie gespeichert werden und wer auf diese zugreifen kann.
Cyber Security: Erfüllung der Anforderungen durch IT-Dienstleistern noch stärker auf dem Prüfstand
Doch nicht nur bei den Instituten kommt es zu Beanstandungen, sondern auch bei den IT-Dienstleistern, wie Herr Röseler später im Interview aufzeigt. Das größte Problem: die fehlenden Kontroll- und Sanktionsmöglichkeiten gegenüber den Dienstleistern, die Röseler deshalb zukünftig fordert. Das wiederrum würde die jetzt schon hohen Ansprüche an IT-Auslagerungen, insbesondere in puncto Cyber Security noch verschärfen. Und der intensiven Auseinandersetzung mit dem passenden IT-Dienstleister wird noch stärker von Bedeutung sein: Egal, ob ein passender Partner für die Public Cloud-Vorhaben gesucht wird, ein klassisches IT-Outsourcing das Ziel ist oder der Weg des Instituts in die Hybrid Cloud führen soll. Wohl nur wenige Dienstleister erfüllen alle Anforderungen hinsichtlich IT-Sicherheit, und Datenschutz sowie Risikomanagement und Compliance.
Infolgedessen muss jedes Unternehmen seine Anforderungen und Prioritäten auf Basis seiner Strategie klar herausarbeiten und sich dann für den oder die Dienstleister entscheiden, die diese bestmöglich erfüllen.