Ein Interview mit Herrn  Oleg Kolesnikov, VP of Threat Research / Cybersecurity / Red Team bei securonix

 

Herr Kolesnikov, wie schätzen Sie den gegenwärtigen Stand der Cybersicherheit im Banken- und Finanzwesen ein? Und daran anschließend gleich eine zweite Frage. Wie hoch ist das Risiko bei potenziell gefährdeten Mitarbeiterkonten oder seitens eines Innentäters innerhalb der Bank selbst?

Wenn man sich nur die jüngste Serie von Datenschutzverletzungen im Banken- und Finanzwesen ansieht – nehmen wir Cosmos, FastCash, Moneytaker, Lazarus und andere als Beispiel – dann kann man derzeit von einem signifikanten Risiko ausgehen. Einem Risiko, das gleichermaßen leicht zu hackende Konten von Angestellten betrifft wie auch potenzielle Insiderbedrohungen.

Dazu kommen zielgerichtete Spear-Phishing-Angriffe und mehrstufige Malware-Kampagnen. Wir beobachten schon länger den Trend, dass Angreifer inzwischen ein tieferes Verständnis für die IT-Infrastruktur in Banken und für deren einzelne Komponenten entwickelt haben wie etwa das SWIFT-Netz, quasi das Herzstück des Bankennetzwerks, oder ATM-Maschinen. Der Cosmos-Angriff basiert beispielsweise auf einem eigens entwickelten fortschrittlichen ATM-Switch. Über die implantierte Malware waren die Angreifer in der Lage auf die fünfstellige Nummer des kartenausgebenden Instituts im internationalen Kundenzahlungsverkehr PAN (PAN = Primary Account Number) und Kundendaten zuzugreifen. Bei diesem kombinierten SWIFT/ATM-Angriff wurden umgerechnet 13.5 Millionen Dollar bei der größten Genossenschaftsbank Indiens gestohlen.

Wir konnten ebenfalls beobachten, dass Angreifer Malware und Cybersicherheitsmethoden dazu nutzen, Bankenangestellte von ihrer Tätigkeit an Zahlungs-, Clearing- und Abrechnungssystemen abzulenken. Alles Systeme auf die Hacker es abgesehen haben. Ein Beispiel für einen solchen Vorfall war KillDisk, eine destruktive Wiper-Malware, die bei einem SWIFT-basierten Angriff auf die Banco de Chile im letzten Jahr benutzt wurde. Auch die Ryuk/Hermes-Ransomware und der Banking-Trojaner Trickbot haben es nicht mehr nur auf Bankdaten selbst abgesehen, sondern auch auf Passwörter, Cookies, Browser-Verläufe und Autofill-Informationen.

Diese Angriffe haben direkt den Bankkunden im Visier und richten sich gegen den Akquirer/CNP-Prozess. Dazu nutzen die Angreifer Schwachstellen innerhalb der Lieferkette von Kreditkarten. Ein ganz ähnliches Verfahren wie es übrigens auch bei dem schlagzeilenträchtigen Angriff auf die Kundendaten von British Airways verwendet wurde.

Und dann gibt es natürlich noch die von Ihnen bereits angesprochenen Insider-Attacken. Sie stellen ebenfalls ein nicht zu unterschätzendes Risiko dar. Ein Beispiel aus dem Februar des letzten Jahres: der SWIFT-basierte Angriff auf die PNB-Bank, bei dem ein Schaden von rund 1.8 Milliarden Dollar durch betrügerische Transaktionen entstanden ist. Ausgangspunkt: zwei Beschäftigte der Bank, ein Loan Manager und ein weiterer Angestellter arbeiteten mit dem Kreditempfänger (einem angeblichen Komplizen) zusammen um dessen SWIFT-Zugang zu missbrauchen. Innerhalb von nur einem Jahr wurden mehr als 150 betrügerische Transaktionen veranlasst. Technisch möglich wurden die ambitionierten Betrügereien durch eine Lücke innerhalb der internen Kontrollen (CBS). Weder gab es ein automatisiertes Monitoring noch eine Integration zwischen den SWIFT- und den CBS-Protokollen. Mitarbeiter waren gezwungen sämtliche Log-Aktivitäten manuell zu überwachen. Effektiv haben die Angestellten sich also selbst überwacht. Das Ganze ging wie gesagt über einen Zeitraum von über einem Jahr. Die STR/FIR-Berichte wurden erst angefordert als bereits annähernd 2 Milliarden Dollar gestohlen worden waren. In beiden Fällen hätten Cybersicherheitskontrollen einiges dazu beigetragen, den Schaden in Grenzen zu halten. Eine der wichtigsten Komponenten um Risiken zu begrenzen ist die Fähigkeit eine Bankenumgebung umfassend zu überwachen.

Welche Schritte sollte der Banken- und Finanzsektor unternehmen um sich in Zukunft besser gegen Angriffe zu wappnen und das Risiko von Betrug und schwerwiegenden Datenschutzverletzungen zu senken?

Wir haben gerade in jüngster Zeit einige folgenschwere Angriffe auf den Banken- und Finanzsektor beobachtet. Cosmos, FastCASH, Lazarus,
Cobalt, Moneytaker, Lurk und einige weitere mehr. Es gibt wenigstens drei grundlegende Schritte wie Banken die Risiken am besten minimieren. Das gilt gleichermaßen für Insider-Attacken wie für Angriffe bei denen ein unschuldiger Nutzer zum „Patient Zero“ bei einer Phishing- oder Drive-by-Download-Attacke wird.

1. Transparenz bei der Aufdeckung von Sicherheitsvorfällen, „blinde Flecke“ adressieren

Banken und andere Finanzinstitute sollten Tools installieren, welche die erforderlichen Daten sammeln. Nur so lässt sich Transparenz herstellen und Sicherheitslücken abdecken. Beginnen Sie beim potenziell schwächsten Glied innerhalb der Kette. Einer dieser Bereiche in vielen der uns bekannten Fälle ist die mangelnde Sichtbarkeit auf der ATM- und der Netzwerkebene. Ein blinder Fleck, der von Angreifern über die unterschiedlichsten Vektoren angegriffen und ausgenutzt wird (Unstimmigkeiten bei den Switches, als zentraler Ausgangspunkt für eine Malware, Ausnutzen des CBS-Prozesses, LMNR/sMB Relay-Attacken usw.). Ein weiterer Schwachpunkt ist die mangelnde Transparenz

bei mobilen Geräten und bei Backend-/oder Logical Terminal (LT)-Geräten und deren Verhalten. Es fehlt meistenteils die Einsicht in SWIFT SAA/LT-Protokolle. Oftmals ist es nicht möglich, die nötigen Verknüpfungen zwischen einem bestimmten (Cyber-)Verhalten und den Zahlungs-, Clearing- und Abrechnungssystemen und deren vielfältigen Verbindungen (zu FMUs – CHIPS/CHAPS, Euroclear, Eurex, LCH.Ciearnet, SIA, TARGET2, CLS Bank etc.) herzustellen. Das gleiche gilt für die weitreichenden Verknüpfungen der Interbanken-Überweisungssysteme oder den Kunden-Backends. Auch hier fehlt in aller Regel die Einsicht in die Protoll- und Eventdaten. Solche Kunden-Backend-Systeme wurden erst vor einigen Wochen beim Angriff auf die Bank of Mexico ausgenutzt. Bei dieser Cyberattacke wurden allein 15 Millionen Dollar erbeutet.

2. Gegnerische Angriffe simulieren

Um verdächtige Anzeichen und Angriffe möglichst frühzeitig zu erkennen muss man die potenzielle Angriffsfläche kennen, einschließlich möglicher blinder Flecke. Dazu ist es unerlässlich die eigenen Sicherheitsmaßnahmen kontinuierlich zu überprüfen. Red Team-Angriffe mit simulierten Attacken tragen dazu bei die Wirksamkeit der Kontrollen zu validieren und die generelle Sicherheitslage besser als zuvor zu verstehen. Übungen zur Gefahrenabwehr bei der sämtliche Nutzer einbezogen werden dienen dazu die Angriffsfläche zu minimieren. Einen Simulator für Phishing-Angriffe unter Microsoft O365 und weitere Tools finden Sie hier https://techcommunity.microsoft.com/t5/Security-Privacy-and-Compliance/Announcing-the-Public-Preview-of-Attack-Simulator-for-Office-365/ba-p/162412)

Für diesen wichtigen Schritt braucht man weder große IT-Sicherheitsabteilungen noch riesige Budgets. Es gibt etliche automatisierte Tools, mit denen man Datenschutzverletzungen und Angriffe simulieren kann. Darunter kommerzielle, aber auch frei zugängliche Tools (u.a. Attack iQ, Cymulate, Atomic Red Te

3. Konzentrieren Sie sich auf die Früherkennung von Angriffen mittels Automation/Security Analytics Tools

 

Der Bankensektor kämpft wie viele Branchen mit einer dünnen Personaldecke im Bereich IT-Sicherheit und mit fehlenden Budgets. Angesichts dessen ist es sinnvoll automatisierte Tools einzusetzen. SIEM-Lösungen sammeln automatisch alle anfallenden Daten, analysieren sie und lösen entsprechende Maßnahmen aus. Moderne Software nutzt dazu maschinelles Lernen, eine Untergruppe der künstlichen Intelligenz. Solche Lösungen senken den Personal- und Analyseaufwand und übernehmen zahlreiche der anfallenden Routineaufgaben bei Sicherheitsuntersuchungen automatisch. Was noch wichtiger ist: Auf der Basis von maschinellem Lernen sind solche Lösungen in der Lage, ein Verhalten zu erkennen, dass von dem vorher in dieser Umgebung als „normal“ definiertem Verhalten abweicht. Dadurch ist es möglich, anomales Verhalten zu erkennen, die einzelnen Punkte miteinander zu verbinden und so Angriffe schon in einem sehr frühen Stadium zu erkennen. Das wiederum trägt dazu bei, den durch Betrug und Datendiebstahl entstehenden Schaden zu begrenzen.

Am Beispiel des Lazarus-Angriffs: Automatisierte Sicherheitstools hätten hier an verschiedenen Stellen geholfen. Sie hätten beispielsweise die betrügerischen Transaktionen als solche erkannt und mehr noch hätten sie die Transaktionsanomalien mit dem Benutzer in Verbindung bringen können von dessen Konto die Bedrohung ursprünglich ausgegangen war. Auch die für solche Attacken typischen anschließenden Seitwärtsbewegungen im Netzwerk wären ebenso wenig unentdeckt geblieben wie die LSO/RSO Kompromittierung, das Umgehen der Multi-Faktor-Authentifizierung und so weiter. Natürlich kann man solche Tools auch mit den bereits existierenden AML/STR-Sicherheitsprozessen kombinieren und so die Chancen kritischer Risiken weiter vermindern.

Weiterführende Informationen:

securonix

Aufmacherbild / Quelle / Lizenz
Bild von Pete Linforth auf Pixabay

Lizenz:
Copyright für Bild und Text liegt bei securonix