Digitale Bedrohungsszenarien stellen für Kreditinstitute eine stetig wachsende Herausforderung dar. Cyberkriminelle wenden zunehmend komplexe neue Methoden zur Kompromittierung von Systemen an und weiten ihre Angriffe geografisch immer stärker aus.
Der Finanzsektor steht zunehmend im Fokus von Cyberkriminellen
Partner des Bank Blogs
Die Bedrohungen durch Cyberkriminalität werden für Wirtschaft und Gesellschaft im Allgemeinen und für Banken und Sparkassen im Besonderen zu einer stetig zunehmenden Herausforderung. Die aktivste Cyberkriminellen-Gruppe war im vergangenen Jahr Lazarus, die ihr Arsenal an Bedrohungswerkzeugen sukzessive erweitert hat. Lazarus‘ Fokus lag dabei auf Banken, FinTech-Unternehmen, Crypto-Börsen, PoS-Terminals und Bankautomaten. In dutzenden Ländern, insbesondere in Asien, Afrika und Südamerika, konnten derartige Angriffe verzeichnet werden. Ende 2017 waren darüber hinaus jüngere FinTech-Unternehmen und Krypto-Börsen aufgrund unausgereifter Sicherheitssysteme einem höheren Risiko ausgesetzt und wurden infolgedessen überdurchschnittlich häufig von Cyberkriminellen angegriffen.
Unter Berücksichtigung der jüngsten Vorkommnisse und Entwicklungen muss der Finanzsektor auch 2019 potenziell mit einer Vielfalt von Attacken und Gefahrenherden rechnen.
Aktuelle Bedrohung durch neue Angriffsmethode
Ganz aktuell müssen sich Banken und Finanzinstitute mit einer neuartigen Cybereinbruchsmethode auseinandersetzen. Bei dieser schmuggeln Bankräuber ein Gerät – beispielsweise einen Laptop oder ein Raspberry Pi (ein Single-Board-Computer der Größe einer Kreditkarte) – in das Gebäude der anvisierten Finanzorganisation und verbinden es anschließend mit dem Unternehmensnetzwerk. Sobald die Verbindung steht, versuchen die Cyberkriminellen sich Remote Zugang auf den Rechner via 3G-Modem oder Reverse-Shell zu verschaffen.
Das Ziel: Daten auf Netzwerkfreigaben, mitgeschnittener Netzwerkverkehr aus dem Bankennetzwerk und generell Informationen aus der Infrastruktur, um anschließend Geld und Daten zu stehlen. Diese dateifreie (sogenannte fileless) Angriffsmethode der Cyberhacker beinhaltet den Einsatz von Remote-Toolkits wie Impacket, winexesvc.exe oder der Windows-eigenen Powershell. Im finalen Schritt wird eine Remote Control Software für den Zugriff auf die eigentlichen Zielsysteme verwendet. Diese Art des digitalen Einbruchs wurde während Incident Response Analysen in mindestens acht Fällen in Osteuropa in den vergangenen zwei Jahren entdeckt. Die geschätzten Verluste lagen in zweistelliger Millionenhöhe.
Sechs Tendenzen für 2019
Im Laufe des Jahres werden eine Aufteilung und Neubildungen der Gruppierungen Cyberkrimineller erwartet, was zu einer Verstärkung der Angriffe und einer größeren geographischen Reichweite führen könnte. Gleichzeitig könnten lokale Gruppen ihre kriminellen Aktivitäten erweitern sowie deren Qualität und Durchschlagskraft steigern. Es ist zudem vorstellbar, dass sich einige Mitglieder der regionalen Gruppen mit ehemaligen Mitgliedern der Win7- oder Cobalt-Bande verbünden, um einen effizienteren und schnelleren Zugang zu regionalen Zielen zu bekommen und neue Angriffs-Tools zu erproben.
Im Jahr 2019 bilden vor allem die folgenden sechs Entwicklungen eine Bedrohung für Banken und Sparkassen:
- Attacken mit Hilfe gestohlener biometrischer Daten
- Neue Angriffe auf Kreditinstitute und Finanzbehörden
- Supply-Chain-Attacken gehen weiter
- Cyberkriminalität umgeht Anti-Fraud-Lösungen
- Angriffe auf das Mobile Banking von Geschäftskunden
- Fortgeschrittene Social-Engineering-Kampagnen
1. Erste Attacken mit Hilfe gestohlener biometrischer Daten
Biometrische Systeme zur Nutzererkennung und -authentifizierung werden aktuell schon von verschiedenen Finanzunternehmen schrittweise eingeführt. Doch auch erste bedeutende Schwachstellen haben sich bereits gezeigt. Diese beiden Tatsachen haben bereits zu ersten Proof-of-Concept-Angriffen auf Finanzdienstleister mit Hilfe gestohlener biometrischer Daten geführt.
2. Neue Angriffe auf Kreditinstitute und Finanzbehörden
Die Aktivität von Cyberkriminellen in den Ländern und Regionen Indien, Pakistan, Südostasien und Zentraleuropa steigt konstant: Dafür verantwortlich sind die unausgereiften Schutzprogramme im dortigen Finanzsektor und die rasche Verbreitung verschiedenster elektronischer Zahlungsmittel in Unternehmen und der Bevölkerung. Dadurch wird die Entstehung eines neuen Epizentrums digitaler Bedrohungen im Finanzsektor in Asien begünstigt – zusätzlich zu den bereits bestehenden Hotspots in Südamerika, auf der koreanischen Halbinsel und in der ehemaligen Sowjetunion.
3. Supply-Chain-Attacken gehen weiter
Attacken auf die Supply Chain, beispielsweise Softwareanbieter für den Finanzbereich oder Dienstleister für die Bankenbranche, haben sich als besonders effektiv herausgestellt. Kleine Unternehmen, die spezialisierte Finanzdienstleitungen für größere Firmen anbieten, sind, neben Anbietern von Geldüberweisungssystemen, Banken und Börsen, am stärksten gefährdet. Derartige Kompromittierungen entsprechender Lieferketten werden voraussichtlich auch 2019 weiter zunehmen.
4. Cyberkriminalität umgeht Anti-Fraud-Lösungen
Auch 2019 sind insbesondere Verbraucher und Geschäfte gefährdet, die bei Finanztransaktionen noch immer keine Zwei-Faktor-Authentifizierung oder Karten ohne Chips verwenden. Mit komplexen Methoden werden Computer- und Browsereinstellungen kopiert, so dass Anti-Fraud-Systeme zum Schutz vor Betrugsaktivitäten umgangen werden können. Dies führt dazu, dass Angriffe auf Terminals am Point-of-Sale wahrscheinlich abnehmen und Attacken sich stattdessen auf Online-Zahlungsplattformen verlagern werden.
5. Angriffe auf das Mobile Banking von Geschäftskunden
Mobile Unternehmensanwendungen gewinnen zunehmend an Popularität. Dies wird vermutlich die ersten entsprechenden Angriffe im Mobile Banking auf ihre Benutzer zur Folge haben. Das vorhandene Instrumentarium der Cyberkriminellen ist reichhaltig und die Verluste, die Unternehmen zugefügt werden können, um ein Vielfaches höher, als wenn Einzelpersonen adressiert werden. Die wahrscheinlichsten Angriffsvektoren sind hierbei Attacken auf Web-API-Ebene und über die Supply Chain.
6. Fortgeschrittene Social-Engineering-Kampagnen
Social-Engineering, also die Manipulation von Menschen zur Durchsetzung krimineller Machenschaften, ist nach wie vor ein entscheidender Faktor bei Angriffen. Cyberkriminelle gehen gezielt einzelne Personen in Unternehmen und Kreditinstituten an und verleiten sie, große Geldsummen zu überweisen. Dabei wird das adressierte Opfer von der Echtheit einer finanziellen Forderung, etwa durch seriös und authentisch anmutende, gefälschte Emails von Geschäftspartnern oder Subunternehmen, überzeugt. Diese Art von Angriff ist bereits als CEO-Fraud bekannt. Dafür ist keine Malware nötig.
Verschiedene Social-Engineering-Taktiken werden 2019zunehmen und etwa in Form von SIM-Swapping zum Einsatz kommen. Unter SIM-Swapping versteht man den Prozess, bei dem die Telefonnummer eines Nutzers auf eine SIM-Karte übertragen wird, die einem Cyberkriminellen gehört. Einmal im Besitz der persönlichen Nummer, können alle Passwörter zurückgesetzt werden und der Zugriff auf dessen Konten deutlich vereinfacht.
