Gäbe es einen Award für die Branchen mit den meisten Hackerangriffen, würde der Finanzsektor wohl mit auf dem Siegertreppchen stehen. Finanzdienstleister sollten auf der Hut sein, um gegen Taktiken, Techniken und Prozeduren der Cyberkriminellen gewappnet zu sein. [...]
Als Angriffsziel sind und bleiben Finanzdienstleister sehr attraktiv: Sie speichern personenbezogene Daten, übernehmen eine wichtige Funktion in der Infrastruktur eines Landes und verfügen über scheinbar hohe finanzielle Mittel. Laut einem IBM-Report werden nur noch das Gesundheitswesen und die Industrie häufiger angegriffen. Die Zahl an Hackerangriffe die Erpressungen oder illegale Transaktionen zur Folge hatten, stieg alleine im Jahr 2015 um 80 Prozent.
Tipps und Lösungen für mehr Cybersicherheit gibt es zur Genüge. Als erster Schritt empfiehlt es sich jedoch immer, ein grundlegendes Verständnis für Bedrohungen und Akteure zu gewinnen. Welche kriminellen Hackergruppen haben es besonders auf welche Dienstleister abgesehen? Welche Ziele verfolgen die Internetkriminellen? Und welche Methoden wenden die Hacker an? Sind diese Fragen geklärt, lassen sich digitale Risiken besser eingrenzen und entsprechende Sicherheitsstrategien aufstellen.
Hacks bei Finanzdienstleistern und die Motivation dahinter
In den vergangenen Jahren verzeichnete eine Vielzahl von Finanzdienstleistern Erpressungen in Form von DDoS-Angriffen (Distributed Denial of Service), die insbesondere den Gruppen „DD4BC“ (DDoS for BitCoins) und „Armada Collective“ zugeschrieben werden. Hinzu kamen Trittbrettfahrer wie „Kadyrovtsy“ und „vimproducts“. DDoS-Attacken zielen üblicherweise darauf, geschäftskritische Websites (zum Beispiel Onlinebanking-Seiten) lahmzulegen und damit die Zahlungsbereitschaft der Opfer zu erhöhen. Eine relativ neue Masche ist es, nicht nur die Unternehmen, sondern auch deren Kunden zu erpressen und damit gleich doppelt abzusahnen. So geschehen bei einem Datenleak der Valartis Bank in Liechtenstein: Hacker kontaktierten die Kunden direkt und boten an, die persönlichen Daten gegen Bezahlung nicht weiter zu verbreiten.
Ähnlich perfide arbeitet auch Ransomware. Spam-Emails, infizierte Email-Anhänge und Exploit Kits (z. B. RIG oder Sundown) gehören nach wie vor zu den Klassikern, über die Malware auf Systeme gelangt. In Zukunft wird es jedoch auch hier nicht nur Nachahmer, sondern auch zielgenauere Verbreitungsmethoden geben. Angetrieben wird diese Entwicklung von dem Erfolg neuer Ransomware-Varianten wie SamSam, das ungepatchte Server-Schwachstellen ausnutzt. Zudem senkt die wachsende Zahl von Ransomware-as-a-Service-Angeboten die Hemmschwelle für Cyberangriffe dieser Art.
Im vergangenen Jahr kam es zudem zu einer relativen großen Zahl von gezielten Netzwerkeinbrüchen – einschließlich Datendiebstahl bei Banken und Finanzdienstleistern. Eine Ende ist auch hier nicht abzusehen: Angriffe auf Banken werden dazu genutzt, betrügerische Transaktionen durchzuführen, sensible Daten aus Unternehmensnetzwerken zu stehlen, Point-of-Sale-Malware einzuschleusen und Bankautomaten zu manipulieren.
Eine spezielle Taktik von Cyberkriminellen stellt Business E-Mail Compromise (BEC) dar. Hacker nutzen dabei zum Beispiel die Abwesenheit von Mitarbeitern oder Geschäftsführern, um an Firmengelder zu gelangen. Dazu verändern die Kriminellen E-Mail-Adressen und Domain-Namen oder verwenden geleakte Login-Daten von Mitarbeiterkonten. Auch wenn die Finanzdienstleistungs-Branche nicht im Fokus von BEC-Angriffen steht, sind Vorfälle wie bei Tillage Commodities Fund und der Pomeroy Investment Corp. ein deutliches Warnzeichen und mahnen zur Wachsamkeit.
Ein Trend geht auch zu Bank-Trojanern, die beispielweise Browser manipulieren und Bankkunden auf gefälschte IP-Adressen lotsen. Loggen sich die Anwender auf dieser Seite, fallen die Zugangs- und Bankdaten automatisch in die Hände der kriminellen Hacker. Bekannt geworden sind in diesem Zusammehang die Namen TrickBot, GozNym und Panda. Sie zeigen eine kontinuierliche Weiterentwicklung und gewinnen mit jeder neuen Version an Komplexität. Lag der Aktivitäts-Fokus der Malware im vergangenen Jahr in erster Linie auf Asien und Australien, kommt sie mit entsprechenden Sprachanpassungen nun auch nach Europa.
Bei Hackerangriffen geht es nicht immer um’s Geld
Nicht immer sind die Motive für Hackerangriffe finanzieller Natur. Im letzten Jahr steckten hinter den Angriffen auch politischer Aktivismus, ideologisch gefärbte Aktionen sowie das nachrichtendienstliche Sammeln von Informationen.
Die Beweggründe für Hacktivismus sind höchst unterschiedlich – von Anti-Korruptions-Kampagnen über religiös und politische Motive bis hin zu Umweltbelangen und vermeintlichen Menschenrechtsverletzungen. DDoS-Angriffe sowie das Verunstalten von Websites (Website Defacement) und Daten-Leaks von Unternehmen und Organisationen gehörten 2016 zu den häufigsten Mitteln der Hacktivisten. Ein bekanntes Beispiel waren die Online-Attacken OpNoDAPL, die sich gegen den umstrittenen Bau der Dakota Access Pipeline (DAPL) in den USA richteten. Auch Banken finden sich häufig auf Angriffslisten, vor allem wenn sie für bestimmte Finanzierungstätigkeiten und Projekte verantwortlich gemacht werden.
Ideologisch motiviert war 2016 auch der Sensations-Leak „Panama Papers“ und die Veröffentlichung von Finanzdaten und Anwalt-Mandanten-Beziehungen von mehr als 210.000 Offshore-Unternehmen. Als Beweggrund für den Datendiebstahl gab Whistleblower „John Doe“ Einkommensungleichheit an. So lange Finanzinstitutionen mit Korruption und gesetzwidrigen Verhalten in Verbindung gebracht werden, so lange bleibt auch die Gefahr eines Insiders bestehen, der sensible Unternehmensdaten preisgibt.
Cyber-Spionage in der Finanzdienstleistungsbranche verläuft dabei weniger öffentlichkeitswirksam. Ziel von Kampagnen wie Patchwork (auch bekannt als Dropping Elephant) und OilRig ist es, Informationen zu sammeln und dabei so verdeckt wie möglich zu agieren. Finanzinstitute rücken ins Visier der Angreifer, um an strategisches oder wirtschaftlich relevantes Insiderwissen zu gelangen – auch von konkurrierenden Staaten. Als beliebteste Tools werden Social Engineering und Spear Phishing genutzt, die kontinuierlich weiter entwickelt werden.
Die Finanzbranche muss in Sachen IT Security weiter aufrüsten
Welche Motive auch immer hinter einem Hackerangriff stecken, die Folgen sind meist weitreichend. Finanzdienstleister, Kunden, Branche und Staat nehmen gleichermaßen Schaden. Banken, Versicherungen und Finanzdienstleister sind daher gut beraten, weiter in Schutzmaßnahmen und Lösungen zur Risikobegrenzung zu investieren. Zu wissen, was die Branche in Zukunft zu erwarten hat, ist dabei ein hilfreicher erster Schritt.
* Daniel Voss unterstützt seit 2001 Unternehmen in ganz Europa, Cybersicherheit aufzubauen und sich so vor potenziellen Bedrohungen zu schützen. Bei Digital Shadows ist Voss im Enterprise Business Development Europe tätig.
Be the first to comment