Expertenkommentar zum aktuellen Angriff auf die IT von Banken weltweit
(firmenpresse) - Wien, 15. Februar 2015. Der Großangriff auf Banken weltweit zeigt deren Verwundbarkeit trotz weitreichenden IT-Sicherheitsvorkehrungen.
„Ein Angreifer muss nur ein einziges Einfallstor im Netzwerk finden, um sehr viel Schaden anzurichten. Banken versuchen mit großem Aufwand, alle Einfallstore zu verriegeln. Abwehr ist vor dem Hintergrund der schnellen Entwicklungen und der hohen Motivation der Angreifer jedoch eine aussichtslose Strategie. Ein gut ausgebildeter Angreifer wird einen Weg in das Netzwerk finden“ so Christian Polster, CSO von RadarServices, Europas führendem Anbieter für vorausschauende IT-Sicherheitsüberprüfung und IT-Risikomanagement als Managed Service.
Der Angriff
Hacker schleusten Malware in die Banken ein, wahrscheinlich durch E-Mail Anhänge. PCs von Bankangestellten, die Kernbankensysteme administrierten, Geldüberweisungen durchführten oder Bankautomaten remote verwalteten, wurden mit einer Überwachungssoftware infiziert, die alle Tätigkeiten auf diesen PCs als Video und Screenshots aufzeichnete. Die täglichen Abläufe und Routinen der Bank wurden ausgespäht. Angreifer nahmen die Rollen der Bankmitarbeiter ein und transferierten Geld auf eigens erstelle Konten oder ließen es an Bankautomaten weltweit ausgeben.
Die Herausforderung für die IT-Sicherheitsteams in Banken
Die IT-Sicherheitsverantwortlichen müssen umdenken. Gefahrenabwehrmaßnahmen können immer lückenhaft sein. Der Fokus der Sicherheitsmaßnahmen muss hin zur zeitnahen Aufdeckung eines erfolgreichen Angriffs gelegt werden.
„Interne Unternehmenssysteme können nicht ausgespäht werden, ohne dass Daten aus dem Unternehmen nach außen übertragen werden. Daher ist es notwendig genau diese verdächtigen Datenströme laufend zu analysieren und zu überwachen. Ein normales Verhalten im Netzwerk muss von abnormalem jederzeit differenziert werden“, so Polster weiter.
Wie sich Banken konkret schützen können
Das A und O ist eine kontinuierliche Gesamtüberwachung der IT-Infrastruktur der Bank, vor allem in Bezug auf Einfallstore für Schadsoftware und Kommunikationskanäle über Unternehmensgrenzen hinweg.
Eingehende E-Mails müssen vor dem Eintritt in die Bank auf Schadprogramme untersucht werden. Dies geschieht durch eine schnelle, automatisierte und isolierte Ausführung der E-Mails in „Sandboxen“. Neueste Sandbox-Technologien erkennen nicht nur persistente Bedrohungen (APTs) und Zero-Day-Exploits, sondern auch komplexe Malware, die sich der Erkennung durch traditionelle Sandboxen entzieht.
Sollte über andere Wege Schadcode in die Bank eingeschleust werden, versucht dieser Code früher oder später mit externen Zielen im Internet zu kommunizieren. Dies fällt bei einem umfangreichen Security Monitoring aller Systeme, des Datenverkehrs und der Zugriffe auf sensible Systeme und Dateien auf. Datentransfer von internen zu externen IPs, zu denen keine Geschäftsbeziehung besteht, muss umgehend festgestellt und von Experten analysiert werden. Dies erfordert den Einsatz von Intrusion Detection Systemen (IDS) und anderen Werkzeugen sowie die Unterstützung durch Experten, die diese richtig konfigurieren, an aktuelle Gegebenheiten anpassen und deren Erkenntnisse analysieren.
Schlussendlich sollten Logs der einzelnen Systeme laufend analysiert und korreliert werden. Angreifer versuchen ihre Bewegungen im Netzwerk so normal wie möglich aussehen zu lassen. Dennoch könnten zum Beispiel Logins von einem Benutzer auf mehreren Systemen von unterschiedlichen IPs zur gleichen Zeit verdächtig sein. Alle Logs von Servern, Netzwerkgeräten, Applikationen und anderen zentralen Einrichtungen müssen daher zentral analysiert und mit den Erkenntnissen aus den IDS korreliert werden.
Das komplette Set dieser hochspezialisierten Analysen wird ressourcenschonend von Managed Security Services Anbietern erbracht. Die Besonderheit der Dienstleistungen von RadarServices liegt darin, dass Daten dabei nie das Kundenunternehmen verlassen, womit die Vertraulichkeit und Sicherheit jederzeit gewährleistet ist.
„Wir sehen keine Möglichkeit, Angriffe auf Banken zu verhindern. Aber eine drastische Schadensminimierung durch eine umfassende und effektive IT-Sicherheitsüberwachung und -Risikoerkennung gemeinsam mit einem strukturierten Behebungsprozess macht die Aufgabe lösbar. Je mehr Banken ihren Fokus auf das zeitnahe Erkennen von tatsächlichen IT-Risiken statt auf die Abwehr „fiktiver“ Gefahren richten, desto effizienter und zielgerichteter setzen sie ihre Ressourcen ein und desto mehr Schaden begrenzen sie im Angriffsfall“ so Polster abschließend.
RadarServices ist Europas führender Anbieter für vorausschauende IT-Sicherheitsüberprüfung und IT-Risikomanagement als Managed Service. Die Services kombinieren die automatisierte Erkennung von IT-Sicherheitsproblemen und -Risiken und die Analyse und Bewertung durch Experten. Daten verlassen dabei niemals das Kundenunternehmen. Interne Personalressourcen werden nicht zusätzlich belastet.
RadarServices hat seinen Hauptsitz in Österreich und Büros und Repräsentanzen in Deutschland, Polen, Russland und den Vereinigten Arabischen Emiraten. Zu den Kunden gehören Banken, Versicherungen, Industrieunternehmen, Betreiber kritischer Infrastrukturen und öffentliche Institutionen weltweit.