Matrix Technology AG
Blog > Spam, Malware, DDos-Angriffe: Corona-Krise zwingt Banken und Versicherungen noch stärker zum Handeln
Regulatorik & Compliance

Spam, Malware, DDos-Angriffe: Corona-Krise zwingt Banken und Versicherungen noch stärker zum Handeln

Nicole Schröpfer

Nicole Schröpfer

Head of Marketing & Communication

https://www.linkedin.com/in/nicole-schroepfer/
https://www.xing.com/profile/Nicole_Schroepfer

Nicole Schröpfer ist als Head of Marketing & Communication für den Markenauftritt des Unternehmens zuständig und dabei stets in enger Abstimmung mit den Fachkollegen.

Alle Beiträge des Autors

Die Digitalisierung im Banken- und Versicherungssektor war bereits in den vergangenen Jahren in aller Munde. So recht voran schien es jedoch bei den wenigsten Instituten zu gehen. Seit Beginn der Corona-Krise im Frühjahr hat sich dies stark geändert: Viele Institute waren gezwungen, Arbeitskonzepte für mobiles Arbeiten kurzfristig zusammenzustellen, Hardware musste angeschafft und Prozesse digitalisiert werden. Immerhin waren auch Bankfilialen aufgrund des Lockdowns geschlossen ebenso wie Vor-Ort-Beratungsstellen der deutschen Versicherungen. Um diese Phase erfolgreich zu überstehen, waren digitale Lösungen notwendig, um das operative Geschäft am Leben zu halten.

So gut die plötzliche Digitalisierung auf lange Sicht für die Branche wohl sein mag, hat das Ganze natürlich auch seine Schattenseiten und bringt neue Herausforderungen mit sich: Mehr digitale Lösungen bedeuten eben auch mehr Angriffsfläche für Cyber-Angriffe. Somit rückt jetzt das Thema Cyber-Sicherheit noch stärker in den Fokus als vorher. Der Aufbau einer resilienten IT-Infrastruktur und die Ausarbeitung von Konzepten und Strategien, um Cyber-Angriffe zu mitigieren, sollten jetzt oberste Priorität haben.  

DDos-Angriffe nehmen zu und erreichen neues Level

Zum Jahresanfang 2020 wurden zahlreiche Unternehmen das Ziel von DDoS-Angriffen (Distributed Denial of Service). DDoS-Angriffe sind eine spezielle Art der Cyberkriminalität, bei der eine Überlastung der IT-Infrastruktur mutwillig herbeigeführt wird. Die Folge ist, dass angefragte Online-Dienste nicht mehr beziehungsweise nur noch stark eingeschränkt erreichbar sind. In den meisten Fällen ist das Ziel solcher Angriffe, Lösegelder zu erpressen.

DDoS-Angriffe wurden bisher vor allem auf dem Transportlayer 4 durchgeführt. Seit diesem Jahr neu sind Angriffe auf die Anwendungen des Layer 7. Dabei werden prinzipiell legale Funktionen oder Anwendungsschnittstellen so massiv genutzt oder gezielt angegriffen, dass der Service ausfällt. Beispiele dafür sind http-GET-Anfragen oder Formulardownloads.

Die meisten Unternehmen sind inzwischen gegen Angriffe auf Layer 4 gut geschützt. Die Erkennung und Abwehr eines Angriffs auf Layer 7 ist jedoch viel komplexer und aufwändiger. Aus Sicht der Angreifer wiederum sind Layer-7-Angriffe ebenfalls komplexer und teurer. Layer-4-Angriffe mit Hilfe von Botnetzen kann man heute schon als „Service“ im Internet kaufen.

IT-Services

Finsurance IT-Services für Banken und Verischerungen

Die matrix kennt als eines der wenigen mittelständischen Unternehmen in Deutschland die Anforderungen, denen sich IT-Verantwortliche der Banken- und Versicherungsbranche tagtäglich stellen müssen. Gerne unterstützen und begleiten wir Ihr Institut, sich den Herausforderungen der Branche zu stellen - von der IT- und Cloud-Strategie bis hin zur Betriebsübernahme Ihrer Systeme.  

Jetzt kontaktieren

Nutzung von Cloud-basierten Abwehrmechanismen zum Schutz vor DDoS-Angriffen

Doch welche Optionen haben Unternehmen, sich gegen solche komplexen Cyber-Angriffe zu schützen? IT-Unternehmen wie beispielsweise Cloudflare und Akami bieten Cloud-basierte Abwehrmechanismen gegen Layer-7-Angriffe an, die auf umfangreicher „Threat Intelligence“ beruhen, die die Anbieter angesammelt haben und stetig ausbauen. Dabei wird der gesamte Datenstrom zwischen den Enduser-Browsern und dem Service über die Cloud des Anbieters der DDoS-Abwehrlösung umgeleitet und dort auf Angriffsmuster analysiert. Im Falle einer Angriffserkennung wird der maliziöse Traffic sofort abgeleitet und so der Service geschützt. Da solche Lösungen mit Hilfe von Threat Intelligence ständig verbessert werden müssen, sind sie nicht schnell „On Premise“ implementierbar.

Auch wenn die genannten Lösungen Institute gut vor Layer-7-Angriffen schützen, haben sie jedoch einen großen Nachteil: Datenstromanalysen auf Layer 7 können nur unverschlüsselt durchgeführt werden. Das bedeutet, dass die Verbindung der Enduser-Browser zu Cloudflare zwar verschlüsselt ist. Dort wird sie aber entschlüsselt, analysiert und erst danach wieder verschlüsselt an das Unternehmen weitergeleitet. Die Datenstromanalyse von Kundendaten, die normalerweise unter die DSGVO fallen, findet also temporär unter dem amerikanischen Cloud Act statt. Eine problematische Situation für das Image von Banken und Versicherungen, aber auch aus gesetzlicher Sicht.

Leseempfehlung: Checkliste IAM

Checkliste: Identitäts- und Berechtigungsmanagement

Dem Identitäts- und Berechtigungsmanagement kommt eine besondere Stellung zu, da es eines der Kernthemen von BaFin-Prüfung ist und hier oftmals noch Mängel auftreten. In unserer Checkliste haben wir auf Basis des C5-Katalogs die wichtigsten Aspekte, die Sie beim Identitäts- und Berechtigungsmanagement unbedingt beachten sollten, zusammengefasst.

Jetzt alle Anforderungen im Blick behalten →

Eine wirklich befriedigende Lösung für diesen Zielkonflikt gibt es nicht bzw. erst dann, wenn europäische Hersteller ein ähnliches Niveau bei der Threat Intelligence erreicht haben. Bis dahin wird jede Lösung immer ein Kompromiss zwischen bestmöglicher Sicherheit und Compliance sein. Die Restrisiken müssen akzeptiert werden.

Zum Teil schwerwiegende Mängel in der IT-Sicherheit von Banken festgestellt

In der August-Ausgabe des BaFin Journals gab Raimund Röseler, Exekutivdirektor Bankenaufsicht einen Einblick in die Thematik Cyber-Sicherheit bei Banken. Dabei stellte er fest, dass im Rahmen von Prüfungen zum Teil immer noch erhebliche Mängel in der IT-Sicherheit festgestellt werden mussten. Bei den wenigsten handelt es sich hier jedoch um böswillige, durch Hacker erfolgreich durchgeführte Angriffe. Prüfungen kleinerer und mittlerer Institute zeigten die größten Defizite im Informations- und Berechtigungsmanagement sowie im Informationssicherheits- und Auslagerungsmanagement.

Auch hier zeigt sich wieder, dass es von zentraler Bedeutung ist, dass Institute Ihre Daten kennen, wissen, wo Sie gespeichert werden und wer auf diese zugreifen kann.

Cyber Security: Erfüllung der Anforderungen durch IT-Dienstleistern noch stärker auf dem Prüfstand

Doch nicht nur bei den Instituten kommt es zu Beanstandungen, sondern auch bei den IT-Dienstleistern, wie Herr Röseler später im Interview aufzeigt. Das größte Problem: die fehlenden Kontroll- und Sanktionsmöglichkeiten gegenüber den Dienstleistern, die Röseler deshalb zukünftig fordert. Das wiederrum würde die jetzt schon hohen Ansprüche an IT-Auslagerungen, insbesondere in puncto Cyber Security noch verschärfen. Und der intensiven Auseinandersetzung mit dem passenden IT-Dienstleister wird noch stärker von Bedeutung sein: Egal, ob ein passender Partner für die Public Cloud-Vorhaben gesucht wird, ein klassisches IT-Outsourcing das Ziel ist oder der Weg des Instituts in die Hybrid Cloud führen soll. Wohl nur wenige Dienstleister erfüllen alle Anforderungen hinsichtlich IT-Sicherheit, und Datenschutz sowie Risikomanagement und Compliance.  

Infolgedessen muss jedes Unternehmen seine Anforderungen und Prioritäten auf Basis seiner Strategie klar herausarbeiten und sich dann für den oder die Dienstleister entscheiden, die diese bestmöglich erfüllen.

IT-Services

Keine Neuigkeiten mehr verpassen!

Melden Sie sich jetzt für unseren Newsletter InsighT an, und profitieren Sie von:

Vielfältigen Fachbeiträgen zu den Themen Cloud, IT-Outsourcing, Regulatorik …
- Wertvolle Tipps für Ihre Cyber-Security
- Hilfestellungen zu den neusten Veröffentlichungen der Aufsichtsbehörden
- Kostenlose Webinare, Checklisten, Whitepaper ...

Jetzt monatlich die neusten Fachbeiträge erhalten

Das könnte Sie auch interessieren

IT-Sicherheit

IT-Risikomanagement – steigende Anforderungen für Banken und Versicherungen

Neben wachsender Risiken durch externe Bedrohungen, sind Institute oft mit veralteten, nicht angemessenen IT-Strukturen konfrontiert. Aufsichtsbehörden haben dies erkannt und begonnen, den Begriff "Risiko" für die IT zu spezifizieren und gezielt Maßnahmen einzufordern.

01.06.2022

Wolfgang Mokosch

Regulatorik & Compliance

Schwachstellenmanagement Teil 1: Begriffe, regulatorische Vorgaben und Arten von IT-Schwachstellen

Die frühzeitige Erkennung von Schwachstellen sollte für alle Unternehmen oberste Priorität haben. Lesen Sie im ersten Teil des Beitrags, was unter dem Begriff Schwachstellenmanagement zu verstehen ist, welche regulatorischen Vorgaben in diesem Kontext gelten und welche Arten von Schwachstellen Sie kennen sollten.

23.01.2022

Jürgen Brombacher