Finanzinstitute: IT hinkt bei Betrugsbekämpfung hinterher

Eine aktuelle Studie des CERT Insider Threat Center der Carnegie Mellon Universität, Institut für Software Engineering, zeigt, dass die IT und DLP Systeme in Finanzinstituten den traditionellen Methoden zur Betrugsbekämpfung hinterherhinken. [...]

Die Studie offenbart grobe Differenzen zwischen betrügerischen Handlungen und den damit einhergehenden finanziellen Verlusten, je nachdem ob sie durch Manager oder Mitarbeiter verursacht wurden. Die CERT Studie „Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector“ untersuchte 80 Betrugsfälle auf ähnliche Verhaltensmuster bei Vergehen, die durch Insider in Finanzinstituten begangen wurden. Dabei wurden betrügerische Handlungen in nur 6 Prozent der Fälle von einem Data Loss Prevention (DLP) System oder anderen IT Anwendungen verhindert. In den meisten Fällen (41 Prozent) wurden die Betrugsversuche durch Zufall oder aufgrund von Stichproben aufgedeckt. Sogar in den Ereignisberichten nach einem Datendiebstahl wurden in nur 20 Prozent der Fälle IT Ressourcen, wie Ereignis- oder Zugriffsprotokolle, zu Rate gezogen. IT- und Datensicherheitsexperte Martin Penzes von Safetica Österreich meint dazu: „Würden interne Informationssicherheitssysteme in den Betrieben häufiger zum Einsatz kommen, würde das die Datenverluste drastisch eindämmen. Es ist aber davon auszugehen, dass solche Systeme in Österreich noch seltener eingesetzt werden als in den USA.“

Das Problem liegt nicht lediglich im Erkennen von bösartigen Aktivitäten, vielmehr liegt die Wurzel des Mangels oftmals an unzureichender Dateizugriffskontrolle in den Finanzinstituten. „Wenn sich eine Organisation fragt auf welche Daten Mitarbeiter zugreifen können oder wo sich im Unternehmen kritische Vermögenswerte befinden, während ein Mitarbeiter mit den Daten im Gepäck die Firma verlässt, ist es zu spät.“
meint einer der Autoren der Studie.

Bei der Mehrheit der geprüften Betrugsfälle hat ein Insider sein Zugriffsrecht in irgendeiner Form missbraucht. Solche Vorfälle werden oft unbeabsichtigter Weise durch schwache Informationssicherheitssysteme innerhalb einer Organisation gefördert. Mit einer durchschnittlichen Schadenssumme von 153.185 Euro pro Betrugsfall und im Mittel 33 Monaten bis eine bösartige Handlung aufgedeckt werden konnte, haben durch Manager verursachte betrügerische Aktivitäten einen beinahe doppelt so hohen Schaden verursacht, und in etwa zwei Mal so lange gedauert, wie Pflichtverletzungen die durch Mitarbeiter auf niedrigeren Positionen verursacht wurden. Informationen über die persönliche Identität „Personally identifiable information (PII)“ sind dabei das Hauptziel von internen Attacken, speziell von jüngeren, nicht dem Management angehörenden, Mitarbeitern.

„Gewissenhafte Zugriffskontrolle zu wertvollen Unternehmensinformationen ist daher essentiell, deshalb sollten Organisationen den Verlust über die Kontrolle der Ressourcen im Unternehmen auf lange Sicht vermeiden“, meinen die Autoren der Studie. (pi)


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*