Aufrufe
vor 6 Jahren

RISIKO MANAGER 13.2015

  • Text
  • Unternehmen
  • Risiken
  • Banken
  • Risikomanagement
  • Risiko
  • Deutsche
  • Regulierung
  • Mitglied
  • Studie
  • Deutschen
RISIKO MANAGER ist die führende Fachzeitschrift für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen.

8 Ausgabe 13/2015 wie

8 Ausgabe 13/2015 wie Geschäftskundenbereich. Nachfolgend einige Beispiele aus den vergangenen Monaten: Hacker dringen demnach in die Computersysteme von Kreditkartendienstleistern ein, klauen Kreditkartennummern samt PIN-Codes, um anschließend rund 45 Mio. US-$ zu erbeuten. Bei einem Großangriff auf die US-amerikanische Bank JPMorgan Chase stahlen Hacker rund 83 Millionen Nutzerdaten von Privathaushalten und Unternehmen. Oder Diebe gelangen an die Daten zum Online-Banking samt Mobilfunkdaten, um Kasse zu machen. Die Spielarten digitaler Bankräuber sind vielfältig, und die Dunkelziffer bei solch professionell angelegten Diebeszügen dürfte viel höher sein. Experten gehen von bis zu 90 Prozent bei der Internetkriminalität aus. Und die BaFin spricht davon, dass die unterschiedlichen Bezahlverfahren „derzeit mit verschiedenen Risiken für die Kunden, die Händler und die Kreditinstitute der Kunden verbunden“ seien. Explizit geht die BaFin in ihrem Schreiben zur „Zahlungsdiensterichtlinie II: Risiken und schwerwiegende Folgen für Nutzer und Kreditinstitute“ auf mögliche Angriffe ein und nennt neben „Man-in-the-Middle- Angriffen“ auch Social-Engineering- und Phishing-Angriffe als Risiken für das Online-Banking. Ein Man-in-the-Middle-Angriff zeichnet sich dadurch aus, dass der Angreifer zwischen den beiden Kommunikationspartnern (Kunde – Dritter ZDL/ Händler steht. Und die BaFin kommt zu dem Schluss, dass erheblicher Nachbesserungsbedarf bestünde: „Ein besserer, sicherer Online-Zahlungsverkehr liegt im Interesse der europäischen Kunden, Händler und letztlich auch der Zahlungsdienstleister. Er wird jedoch scheitern, wenn technische Fragen nicht stringent gelöst werden.“ Das Ende des Bargelds? In Schweden gibt es bereits Pilotprojekte, bei denen beispielsweise Bustickets oder Einkäufe nur noch selten mit Bargeld bezahlt werden. Vielmehr kommen Kreditkarten oder Smartphones zum Einsatz. Die FAZ berichtete bereits im Jahr 2012 davon, dass das Bargeld verschwinden solle. Dies fordern nach Aussage der Zeitung „Technopropheten in Wirtschaft und Politik“, denn Bargeld sei altmodisch und unpraktisch. Dies macht für die Befürworter Sinn, ist Bargeld doch der letzte Hort anonymisierter Bezahlverfahren. Bargeld bedeutet Freiheit für die Bürger und einen Kontrollverlust für Unternehmen und den Staat. Während Kunden relativ sicher – weil unbehelligt – kaufen können, ist das Thema Bargeld Unternehmen, Banken und Finanzbehörden ein Dorn in den Augen. Die Gründe? Sie haben keine Transparenz über das, was der Kunde tut. Was er, wann, wie und wo kauft (Stichwort: gläserner Kunde). Für Finanzinstitute ist das Handling von Bargeld, Sparschweinen und -strümpfen ein kostspieliges Unterfangen. Die digitalisierte Finanzwelt ohne Bargeld verspricht den Banken und dem Handel zudem erleichterte Abrechnungsmöglichkeiten sowie Kosten einzusparen. Nach Ansicht der FAZ solle der ökonomische Weltnabel in absehbarer Zeit nicht mehr der Noten- und Münzenverkehr sein, sondern der EFT (Electronic Funds Transfer) durchs finanzielle EDI (Electronic Data Interface). Und Finanzämter fürchten versteckte und unversteuerte Gelder des Steuerkunden, was mit einer bargeldlosen Welt unwahrscheinlicher wird – zumindest für den Normalbürger. Im Grunde werden Handel und Zahlvorgänge einfacher. Das ist zunächst gut und eröffnet den Märkten neue Chancen. Allerdings hat die schöne neue Bezahlwelt auch ihre Schattenseiten. Ältere Menschen können die neuen Techniken nicht bedienen, und wer kein mobiles Endgerät oder Kreditkarte besitzt, kann nicht einkaufen. Kritiker sehen darin einen entmündigten Bürger, der nicht mehr selbst wählen kann, auf welche Art und Weise er einkaufen und bezahlen möchte. Ganz zu schweigen von den Einfallstoren für Hacker-Angriffe. Musste ein Bankräuber früher ein hohes Risiko eingehen, um eine Bank auszuspähen, zu überfallen und mit der Beute zu türmen, ist dies heute ein Kinderspiel. Im digitalen Zeitalter arbeiten professionelle Diebe im Verborgenen. Von einem beliebigen Drittstaat aus werden Hacker- Attacken auf Großbanken oder Webshops durchgeführt. Das perfide: Die Betroffenen merken es in vielen Fällen nicht direkt – so leise und unauffällig sind die Angriffe. So kommt die BaFin in einem Fachbeitrag zu „IT-Sicherheit: Erwartungen der Bankenaufsicht“ zu dem Schluss, dass die IT-Sicherheit immer wichtiger werde, da Bedrohungen zunehmen [vgl. Kokert/Held 2013]. „Insbesondere gehen Hacker bei ihren Angriffen immer professioneller vor. Dieser Trend wird sich angesichts der Gewinne, die sich organisierte Kriminelle mittels Betrug, Wirtschaftsspionage oder Sabotage verschaffen können, aller Voraussicht nach weiter verstärken. Massive Hacker-Angriffe auf große amerikanische Institute und auf Unternehmen anderer Branchen wie Flugzeugbau und Stahlindustrie vermitteln einen Eindruck, was auch deutschen Instituten widerfahren könnte, wenn sie nicht frühzeitig gegensteuern.“ [Kokert/Held 2013, S. 26] Ein Blick auf die Cyber-Risikolandkarte 2015 Einen Vorgeschmack auf mögliche Bedrohungsszenarien liefert der Kaspersky Security Bulletin 2014/2015, veröffentlicht im Dezember 2014 [Kaspersky 2014]. Die Sicherheitsexperten gehen davon aus, dass eine neue Stufe in der Evolution cyberkrimineller Aktivitäten bevorsteht. So wird erwartet, dass APT-Taktiken (Advanced Persistent Threats) und -Techniken stärker in finanziell motivierten, kriminellen Aktivitäten genutzt werden. Bei Advanced Persistent Threats handelt es sich um komplexe, zielgerichtete und effektive Angriffe auf kritische IT-Infrastrukturen und vertrauliche Daten von Behörden, Banken sowie Groß- und Mittelstandsunternehmen. In diesem Kontext wird auch von Cyber-Bedrohung oder -Attacke gesprochen. „Advanced“ steht hierbei für fortgeschritten, da APTs sich auf bestimmte, selektierte Opfer, Personen oder Institutionen konzentrieren. APTs sind damit mit einem herkömmlichen Angriff mit Schadsoftware (auf eine nicht klar definierte Zielgruppe) nicht vergleichbar. „Persistent“ steht für andauernd, da APTs den ersten infizierten Rechner nur als Sprungbrett in das lokale Netz der betroffenen IT-Struktur nutzen, bis das primäre Ziel, beispielsweise ein Rechner mit sensiblen Forschungsund Entwicklungsdaten, zum intensiven Ausspionieren oder Sabotieren, gekapert ist. „Threat“ steht im Kontext APT für „Bedrohung“, das heißt eine potenzielle Gefahr, die durch eine Schwachstelle ausgelöst wird. Die Cyber-Risiko-Experten von Kaspersky Labs registrieren immer mehr Vorfälle mit Schadprogrammen, die in Banken eindringen und dabei Methoden nutzen, die aus einem APT-Lehrbuch stammen könnten. Sind die Angreifer einmal im Netzwerk der Bank, ziehen sie genug Informationen ab, um Geld auf mehrere Arten direkt von der Bank stehlen zu können:

9 • Sie befehlen Geldautomaten per Fernbedienung, Geld auszuspucken; • sie führen SWIFT-Überweisungen von verschiedenen Kundenkonten aus durch; • sie manipulieren Online-Banking-Systeme, um im Hintergrund Überweisungen durchführen zu können. Insbesondere Angriffe auf Geldautomaten scheinen im vergangenen Jahr explosionsartig angestiegen zu sein. Da die meisten dieser Systeme unter Windows XP laufen und physikalisch schlecht gesichert sind, macht sie das automatisch sehr angreifbar und zum begehrenswerten Ziel für Cyber-Kriminelle. Auch im Jahr 2015 erwartet Kaspersky Lab eine Weiterentwicklung der APT-Angriffe auf Geldautomaten. Mit diesen verfeinerten Techniken wollen die Cyber-Kriminellen besser an das „Gehirn“ der Automaten herankommen. In der folgenden Phase werden die Angreifer dann die Netzwerke der Banken kompromittieren und diesen Zugriff nutzen, um Geldautomaten in Echtzeit zu manipulieren. Doch nicht nur die Manipulation von Geldautomaten steht auf der Liste der Cyber-Kriminellen. Da die Beliebtheit virtueller Zahlungssysteme in vielen Ländern rasant steigt, konzentrieren sich viele Hacker auch auf Angriffe in diesem Segment. Dies kann auf Apple Pay ausgeweitet werden, das NFC (Near Field Communication) für drahtlose Transaktionen nutzt. Dieser Bereich ist eine Fundgrube für Sicherheitsforscher. Apple Pay ist zwar auf Sicherheit ausgelegt, doch Cyber-Experten sind sich sicher, dass Hacker Wege suchen und finden werden, diese Hürden zu umgehen [Kaspersky 2014]. Der Wettlauf zwischen den Cyber-Kriminellen und den IT-Sicherheitsprofis erinnert einen an den klassischen Hase- und Igel-Wettlauf. Das Ergebnis kennen wir: Beim 74. Rennen bricht der Hase erschöpft zusammen und stirbt. Top-Risiken, auf die Unternehmen am schlechtesten vorbereitet sind Basierend auf einer aktuellen Studie der Allianz Versicherung, summieren sich die durch einen Datensicherheitsvorfall verursachten Schäden im Durchschnitt auf 720.000 US-$ [vgl. Allianz 2015, S. 6]. Die von gezielten Attacken verursachten Schäden können bis zu 2,54 Mio. US-$ erreichen [vgl. Allianz 2015, S. 6]. Die Studie zeigt deutlich die zunehmende Bedeutung von Cyber-Risiken für die Top-Risiken, auf die Unternehmen am schlechtesten vorbereitet sind TERRORISMUS POLITISCHE RISIKEN/UNRUHEN NATURKATASTROPHEN BETRIEBS- UND LIEFERKETTENUNTERBRECHUNG CYBER-RISIKEN gesamte Risikolandkarte [vgl. t Abb. 02]. Mit rund 30 Prozent Anteil dominieren Cyber-Risiken über alle anderen Risikoarten, auf die Unternehmen schlecht vorbereitet sind. Obwohl das Bewusstsein für Cyber-Risiken zunimmt, werden deren vielfältige Auswirkungen weiterhin unterschätzt. Dies ist auch der Hauptgrund (73 Prozent) dafür, dass Unternehmen noch keine besseren Vorkehrungen zur Bekämpfung von Cyber-Risiken getroffen haben. Als weitere Ursachen nennen die Befragten Budgetbeschränkungen (59 Prozent der Nennungen) und das fehlende Verständnis für die Komplexität dieser Risiken (54 Prozent). Paradoxerweise geben in der gleichen Studie fast drei von vier Befragten (73 Prozent) an, Cyber-Risiken würden noch immer unterschätzt. 59 Prozent klagen über zu wenig Budget für präventive Maßnahmen, und 54 Prozent geben an, das Risiko sei noch nicht im Detail analysiert. Im Bereich der Schadensprävention setzt überraschenderweise die Mehrzahl der Unternehmen auf technische Lösungen (Hard- sowie Software und Überwachungstools). Rund 75 Prozent der befragten Experten favorisieren technische Lösungen. Bessere Prozesse sowie eine stärkere Sensibilisierung der Mitarbeiter spielen nur eine untergeordnete Rolle. Andere Studien zeigen hingegen auf, dass viele Ursachen im Bereich Informationssicherheit und Cyber-Rrisiken auf „Innentäter“ zurückgeführt werden können 6% 7% 16% 18% [vgl. BITKOM 2015]. t Abb. 03 basiert auf einer im Jahr 2015 veröffentlichten Studie der BITKOM und zeigt, dass vor allem aktuelle oder ehemalige Mitarbeiter als Täter in Erscheinung treten. Gut die Hälfte (52 Prozent) der betroffenen Unternehmen gibt diesen Personenkreis an. Die zweite große Tätergruppe mit 39 Prozent umfasst das unternehmerische Umfeld, bestehend aus Wettbewerbern, Lieferanten, Dienstleistern und Kunden. Dieser Täterkreis verfügt über Insiderkenntnisse, die kriminelle Aktionen erleichtern. Elf Prozent sind Opfer organisierter Bandenkriminalität geworden, und drei Prozent standen im Visier ausländischer Geheimdienste. In diesem Zusammenhang lohnt sich bei der Analyse der Ergebnisse auch ein Blick auf die Unterschiede auf der Risikolandkarte für die Betreiber Kritischer Infrastrukturen (KRITIS). Von den KRITIS- Unternehmen nennen 22 Prozent organisierte Banden als Täter im Vergleich zu neun Prozent der Nicht-KRITIS-Unternehmen. Und neun Prozent der Betreiber Kritischer Infrastrukturen identifizieren ausländische Geheimdienste als Täter, bei den sonstigen Branchen sind dies nur zwei Prozent. Der Mensch im Mittelpunkt t Abb. 02 29% Quelle: Allianz Global Corporate & Specialty. Die Prozentwerte geben den Anteil aller relevanten Antworten wieder (292). Mehrfachnennungen berücksichtigt. Um den vielfältigen Gefahren im Bankenumfeld zu begegnen, reichen Aufsicht, Gesetze und Prozesse alleine nicht aus. Es

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.