Cookie-Bestimmungen

Unsere Website verwendet Cookies. Durch die Nutzung der Website und durch Ihre Zustimmung zu den Nutzungsbedingungen stimmen Sie dem Gebrauch von Cookies zu Cookie-Bestimmungen.

Vorheriger Artikel (35/57)
Der Kampf gegen Cyberkriminalität betrifft jeden
Der Kampf gegen Cyberkriminalität betrifft jeden
Back

Der Kampf gegen Cyberkriminalität betrifft jeden

24/06/2015

Author : Stéphane Lubenec, Chief Information Officer at BNP Paribas Securities Services

Die Bedrohung durch organisierte kriminelle Banden ist inzwischen so groß geworden, dass die Systemsicherheit nicht mehr alleine der IT-Abteilung überlassen werden kann – auch der Vorstand muss einbezogen werden.

vignette-blogueur-Lubenec.jpgIm Januar erließ die US-Regierung Sanktionen gegen Nordkorea, weil sie das Land beschuldigte, einen Hacker-Angriff auf Sony Pictures gestartet zu haben. Dies war ein dramatischer Beleg für die Macht und Reichweite der Cyberkriminalität. Im April gab US-Präsident Obama seinem Finanzministerium neue Vollmachten zum Erlass von Sanktionen gegen Hacker, die den Cyberspace nutzen, um „die nationale Sicherheit, Außenpolitik, wirtschaftliche Entwicklung oder finanzielle Stabilität der Vereinigten Staaten" zu bedrohen.

Die Cyberkriminalität ist zum aktuellen Schauplatz der Landesverteidigung geworden. Wie der Diebstahl und Missbrauch der Pensionsdaten mehrerer Millionen Menschen in Großbritannien zeigt, wächst die Gefahr für die Finanzdienstleistungsbranche exponentiell. Dies gilt ganz besonders im Zeitalter des „Internets der Dinge", in dem die zunehmende Konnektivität von Geräten, Systemen und Dienstleistungen (z. B. Herzüberwachungsimplantate, Automobile mit eingebauten Sensoren und intelligente Thermostatsysteme) immer neue Möglichkeiten bietet, um Einzelpersonen und Unternehmen online anzugreifen.

Da Big Data-Analysen neue, zunehmend wertvolle Informationen aus Datensammlungen extrahieren, steigt auch der Reputationsschaden beim Einbruch in Systeme: Denn jede verbesserte Chance, die Daten der Marketingabteilung bringen, ergibt auch eine für organisierte kriminelle Banden, die die Informationen für ihre Zwecke nutzen und komplexe Betrügereien in beispiellosem Umfang durchführen. Finanzdienstleistungen sind besonders gefährdet: Die Kriminellen nehmen Pensionssysteme, Banken und Versicherungsanbieter ins Visier, da diese ergiebige Quellen für persönliche Daten sind.

Ein zunehmend beliebter Weg für Cyber-Angriffe sind die firmeneigenen Netzsicherheitsanbieter: Sie wurden für den Angriff auf drei südkoreanische Banken im Jahr 2013 benutzt. Zunächst brachten die Eindringlinge das Kennwort für den Patch-Management-Server eines Sicherheitsanbieters in ihren Besitz und verteilten ihre Malware getarnt als reguläres Software-Update. Das gefälschte Update verhielt sich auf den Festplatten der infizierten Computer ruhig, bis es wie eine Zeitbombe losging und die Geräte tausender Bankmitarbeiter stilllegte.

Häufig werden externe Angriffe mit Hilfe von Zertifizierungsprotokollen durchgeführt. Dabei handelt es sich um zweifaktorielle Identifizierungssysteme für Kunden und Mitarbeiter, bei denen mobile Geräte, wie etwa Security-Token, nach der Pin-Eingabe eines Benutzers einen temporären numerischen Code generieren. Dieser wird verschlüsselt erzeugt und hat nur eine kurze Gültigkeit, kann aber geklont oder umprogrammiert werden. Die führende US-Netzsicherheitsfirma RSA wurde 2011 Opfer eines erfolgreichen Hacker-Angriffs über einen Trojaner dieser Art. Die Branche reagierte schockiert, da man erkannte, dass Systeme möglicherweise vor allem von den Parteien angreifbar sind, die sie schützen sollen.

Daher muss effektive Sicherheit über das Unternehmen hinaus auf Auftragnehmer, Zulieferer, Partner und Kunden ausgedehnt werden. Des Weiteren sollten alle Glieder in der Kette eine genaue Kenntnis des Vorgehens von Angreifern haben.

Präventionsmaßnahmen alleine reichen aber nicht aus. Früher oder später werden die Systeme eines Unternehmens gehackt – für diesen Fall muss ein Notfallplan vorliegen. Eine effektive Reaktion funktioniert am besten, wenn Unternehmen untereinander und mit der Regierung zusammenarbeiten. Ähnliche Unternehmen laden zu ähnlichen Angriffen ein. Daher liegt es nahe, sich über Angriffe und Präventionsmaßnahmen, die koordiniert werden können, auszutauschen. Das spart Zeit und Geld. Für Firmen, deren Geschäftsmodell darauf beruht, cleverer zu sein als die Mitbewerber, kann diese Tatsache allerdings schwer zu akzeptieren sein.

Die Finanzdienstleistungsbranche hat äußerst komplexe Gegenmaßnahmen ergriffen, in deren Rahmen die Infrastruktursicherheit bewertet und Risiken gesenkt werden: 2013 nahmen alle britischen Großbanken an einem umfassenden Test teil, bei dem geprüft wurde, wie gut sie einem ausgedehnten Online-Angriff auf die Zahlungs- und Marktsysteme Stand halten könnten.

Scott Borg, Chef der US Cyber Consequences Unit, warnte jüngst, dass der nächste Schritt der Cyberkriminalität nicht Geringeres bringen würde als die Manipulation der internationalen Finanzmärkte. Somit ist Datensicherheit jetzt eines der drängendsten Themen für Finanzdienstleistungsfirmen.

Der Leiter der Bank of England, Andrew Gracie, schloss sich Borgs Prognose in einer Rede, die er kürzlich auf einer Sicherheitskonferenz hielt, an. Er erklärte, Finanzinstitute sollten sich auf Angriffe auf höchster Ebene vorbereiten. Auch Regierungen könnten derartige Aktionen unterstützen: „Angesichts der Bedeutung dieser Unternehmen für die Stabilität des Finanzsystems brauchen wir eine Widerstandsfähigkeit, die über die grundlegende Cyber-Hygiene hinausgeht. Vielmehr muss sichergestellt sein, dass die Unternehmen in der Lage sind, den komplexen, anhaltenden Bedrohungen Stand zu halten, die einige staatliche Angreifer auszeichnen."

Die Botschaft an die Branche ist klar: Internetsicherheit kann nicht mehr der IT-Abteilung alleine anvertraut werden – auch der Vorstand muss einbezogen werden. Da die Gefahr für einzelne Finanzdienstleister eng mit einer systematischen Bedrohung der Marktstabilität verknüpft ist, werden die Unternehmen auch von den nationalen Regierungen verstärkt unter Druck gesetzt, ihre Hausaufgaben zu machen – oder die Konsequenzen zu tragen, wie Gracie offenbarte: „Wir werden eine risikosensible, datenbasierte Perspektive im Hinblick auf effiziente Praktiken bei der Internetsicherheit einnehmen und bei unangemessener Vorbereitung der Firmen Maßnahmen ergreifen."

 

Wie organisiert sich unsere Bank: Das Abwehrsystem bei BNP Paribas

Das IT-Sicherheitsteam in Paris ist international und multikulturell zusammengesetzt und verfügt über Sicherheitskorrespondenten in den wichtigsten Regionen sowie an weiteren Standorten wie Luxemburg, London, Mailand, Sydney und Madrid. Das Team

  • ...legt die Datenschutzrichtlinien fest und fördert das Bewusstsein der Mitarbeiterinnen und Mitarbeiter.
  • ...sorgt dafür, dass in Einklang mit den geschäftlichen Anforderungen und der Sicherheitsstrategie (Unternehmensgruppe und Securities Services) ein geeignetes Sicherheitsniveau hergestellt und aufrechterhalten wird, um auf alle Datenschutzrisiken zu reagieren und die lokalen Gesetze und Vorschriften einzuhalten.
  • ...verwaltet die Kennwörter und Zugangsdaten der Benutzer und sorgt für Einhaltung der Zugangsverfahren. Zudem führt es Second-Level-Kontrollen durch und formalisiert dies auf speziellen Dashboards.
  • ...führt Risikobewertungen der IT-Systemsicherheit durch und stellt sicher, dass geschäftliche Anforderungen an die IT-Sicherheit erkannt werden und entsprechend reagiert wird sowie dass Projekte in Einklang mit den Anforderungen und Richtlinien stehen.
  • ...unterstützt Benutzer bei Anfragen hinsichtlich der IT-Sicherheit.
  • ...untersucht IT-Sicherheitsvorfälle und stellt effektive Reaktionspläne bereit.

Folgen Sie uns