Blue Frost Security
Security Beyond Compliance
Sprechen Sie mit unserem Team

Finanzdienstleistungen

“Why do you rob banks? Because that is where the money is” - William Sutton, Bankräuber

Banken waren schon immer ein attraktives Ziel für Angreifer. An ihrer Attraktivität als Ziel hat sich auch im 21. Jahrhundert wenig geändert, jedoch sind die Methoden des Bankraubs heute andere.

In Zeiten von Online- und Mobile-Banking muss der Angreifer sich nicht mehr mit Wachpersonal, Panzertüren und Polizei abplagen. Der digitale Bankraub kann mit erheblich weniger Risiko für Leib und Leben umgesetzt werden. Aufgrund der immer fortschreitenden Vernetzung bieten Banken heutzutage eine Vielzahl von möglichen Zielen.

Ein inzwischen allseits bekanntes Problem ist der Angriff auf die schwächsten Glieder des Finanzsystems:
Die Endkunden. Seit Jahren überziehen organisierte Banden Privatkunden mit immer neuen Wellen an Banking-Trojanern und Phishing E-Mails um an Zugangsdaten für Online- und Mobile-Banking zu gelangen.

Dementsprechend sah sich Finanzsektor gezwungen auf die Gefährdung seiner Kunden einzugehen. Zahlreiche TAN-Verfahren wurden über die Jahre eingeführt, um es Tätern zu erschweren Transaktionen durchzuführen, die den Kunden schaden.

Eine weitere, in Deutschland noch wenig verbreitete, Variante des “digitalen Bankraubs” ist das so genannte Jackpotting. Hierbei manipulieren die Täter die Software auf Geldautomaten, um anschließend Barauszahlungen auszulösen.

Die hohen Anforderungen an die Verfügbarkeit, der von Banken angebotenen digitalen Dienstleistungen eröffnen Tätern eine weitere mögliche Einkommensquelle: Erpressung. Denial of Service Attacken gegen die extern sichtbare Infrastruktur sind ein Problem mit dem gerade Online-Banken in der Vergangenheit häufiger zu kämpfen hatten. Eine weitere Erscheinungsform ist die Verwendung von Ransomware, welche auf die Verfügbarkeit der internen Systeme abzielt.

In der jüngeren Vergangenheit nahmen besonders spezialisierte Angreifer auch die Banken selbst und deren Mitarbeiter ins Visier: Mit Hilfe von Schadsoftware oder Social-Engineering Angriffen verschafften sie sich Zugang zu kritischen Systemen und Informationen wie etwa der Anbindung an das SWIFT System.

Aufgrund ihrer Wichtigkeit für das Funktionieren unserer Gesellschaft sind viele der von Banken erbrachten Leistungen und die damit verbundenen Systeme inzwischen als kritische Infrastruktur (BSI KritisV §7) eingestuft.

Gerade deshalb nimmt die Finanzbranche in Deutschland eine Vorreiterrolle in Sachen IT-Sicherheit ein.

Dennoch sind in diesem Feld viele alte Strukturen zu finden, die über einen so langen Zeitraum aufgebaut wurden, dass sie unersetzbar geworden sind. Zudem steigt die Zahl der zu erfüllenden regulativen Anforderungen, was einerseits die Trägheit erhöht und andererseits das Weiterführen veralteter Systeme begünstigt.

Neue regulatorische Anforderungen wie etwa die zweite Zahlungsdienstrichtlinie (PSD2) stellen die Finanzbranche vor neue Herausforderungen. Einerseits fordert die PSD2 die Bereitstellung neuer Schnittstellen und sorgt somit für eine größere Angriffsfläche. Andererseits konkretisiert die PSD2 Anforderungen für eine starke Authentifizierung der Kunden.

Bei Blue Frost Security haben wir umfangreiche Untersuchungen in diesem Bereich durchgeführt und unter anderem kritische Schwachstellen in Bankprotokollen, Geldautomaten und Finanzwebanwendungen aufgedeckt. Unser Fachwissen hilft Ihrem Unternehmen, sein Potenzial zu maximieren, indem es das Risiko erfolgreicher Angriffe böswilliger Akteure senkt. Darüber hinaus können wir mit unserem Offensive Threat Intelligence Service neue Bedrohungen verfolgen, denen Ihre Systeme ausgesetzt sind, und diese kontinuierlich testen, um sicherzustellen, dass Ihr Unternehmen jederzeit geschützt ist.