Wie lassen sich Cyber-Attacken im Open Banking wirkungsvoll abwehren?

• Durch die Öffnung ihrer Ökosysteme im Rahmen des offenen Bankwesens schaffen die Banken einen Mehrwert für ihre Kunden

• Gleichzeitig ziehen sie Hacker an

• Der Schutz der Vermögenswerte muss für die Banken oberste Priorität haben

• Offenes Bankwesen erfordert eine starke Cyber-Sicherheit, die auf einem mehrschichtigen Verteidigungssystem basiert

Am „FinTech Forum 2019“ der FuW vom 14. März trafen sich die Experten der Schweizer Banking-Branche, um über die digitale Transformation im Finanzwesen zu diskutieren. Passend zum Motto „Beyond Banking“ durften wir die Cyber-Security-Aspekte im Open Banking beleuchten.

Cyber Crime im Open Banking kann mit einer mittelalterlichen Burg verglichen werden: Der Angreifer versucht nicht nur, durch das Haupttor ins Innere einzudringen. Im Gegenteil, er kommt von mehreren Seiten gleichzeitig, er sucht die offenen Fenster, er baut sich Tunnels, er attackiert aus der Luft. Bis dato waren Banken standfeste Burgen, das Einnehmen war fast unmöglich. Im Rahmen von Open Banking öffnen Banken nun ihre Systeme und teilen Daten mit Drittanbietern – die Burgen öffnen das Tor für Angreifer.

Cyber-Risiken im Open Banking

Das Öffnen von Ökosystemen kennen wir bereits: Amerikanische Social-Media-Dienste wie Facebook und WhatsApp sind vorausgeschritten und gewähren seit längerer Zeit Einblicke in ihre APIs. Sie schaffen so Mehrwerte für ihre User, etwa neue Möglichkeiten, mehr Komfort und das Verbinden von Dienstleistungen. Allerdings haben Banken deutlich mehr schützenswerte Assets als Social-Media-Dienste.

“Cyber Crime is the greatest threat to every company in the world” – Ginni Rometty, CEO und Präsidentin von IBM

Ein Bericht der Cyber-Security-Firmen Carbon Black und Optiv Security vom März 2019 zeigt auf, dass Cyber-Attacken gegen Banken und Finanzinstitute erneut zugenommen haben: 67% der befragten Institute bestätigten eine Intensivierung von Cyber-Attacken in den vergangenen zwölf Monaten. Gleichzeitig geben die Angreifer weniger schnell auf: Bei 32% der Institute, die angegriffen wurden, liessen sich die Hacker durch Abwehrmassnahmen nicht abschrecken. Im Gegenteil, die Angreifer antworteten mit Gegenmassnahmen und versuchten, die Banken zu belagern.

Assets als Magnet für Cyber Crime

Transaktionsdaten im Open Banking verraten einiges über eine Person. Hackt sich jemand in das System, so kennt er meine Identität. Er sieht, wer ich bin: Ob und wann ich geheiratet habe, wie viel ich verdiene und wann ich meinen Arbeitgeber gewechselt habe. Er hat detaillierten Einblick in mein Vermögen. Der Angreifer kann meinen medizinischen Gesundheitsstatus erkennen – er sieht, wann ich beim Arzt war, welche Medikamente ich bei welchem Apotheker kaufe und wie oft ich diese benötige. Ernähre ich mich gesund? Wo kaufe ich ein? Mache ich Sport? Wie ist mein Transportverhalten? Wohin fahre ich in den Urlaub? Wie gross ist mein CO2-Fussabdruck?

Banken verfügen über eine geballte Konzentration an Assets. Sie wissen viel über ihre Kunden und sollten diese Daten im positiven Sinne nutzbar machen. Fallen die Daten im Rahmen von Cyber-Attacken in falsche Hände, ist nicht nur der Nutzen weg, sondern auch der Ruf der Bank langfristig ruiniert. Der Reputationsschaden wäre irreversibel.

Der moderne Bankräuber ist ein Hacker

Der Bankräuber von früher, der den Tresor von Hand geöffnet hat, hat mit dem modernen Bankräuber nichts mehr gleich. Der Räuber von heute sitzt mit seinem Laptop auf einer Yacht, einem Sofa oder in einem Garten und hackt sich von dort aus bequem und unermüdlich in die Systeme von Banken. Er ist auf der Suche nach

• Geld, egal ob in Form von Dollar, Franken, Euro oder Kryptowährungen,
• Identitäten, die er im Darknet verkaufen oder für Social-Engineering-Angriffe verwenden kann,
• Daten, die er vielerorts monetarisieren kann,
• Störungsmöglichkeiten der Verfügbarkeit der Bank, um das operative Geschäft durch Denial-of-Service-Angriffe zu behindern und die Bank oder die Kunden und Partner später zu erpressen.

Hacker probieren, von allen Seiten ins System einzudringen: Sie werden es etwa beim bankinternen Netzwerk, den Schnittstellen zu den Partnern im gleichen Ökosystem, den Endgeräten der Kunden und der Internetinfrastruktur probieren. 32% der Finanzinstitute, die für den Bericht von Carbon Black und Optiv Security befragt wurden, erlebten das sogenannte «Island Hopping» im vergangenen Jahr. Durch Open Banking steht das Tor zur Burg offen, wenn auch nur einen kleinen Spalt. Wie können Banken ihre Assets trotzdem wirkungsvoll schützen?

Wirkungsvolle Cyber Security im Open Banking

Sich lediglich gegen Cyber-Attacken zu versichern, ist der falsche Ansatz. Der Nahrungsmittelkonzern Mondelez hatte sich in den USA mit einer Deckungssumme von 100 Millionen Dollar gegen Ausfälle der IT-Systeme versichert. Trotzdem weigert sich der Versicherer, Zurich, den Schaden zu übernehmen, der Mondelez aufgrund einer «NotPetya»-Cyber-Attacke zu beklagen hat. Die Begründung: Die Attacke wäre eine „feindliche und kriegerische Handlung“. Mondelez hat nun Klage gegen Zurich eingereicht. Der Fall könnte zum Präzedenzfall für Versicherungen von Cyber-Attacken werden.

Eine wirkungsvollere Cyber Security erreichen Banken durch ein Multi-Layer-Defense-System, bestehend aus diversen Komponenten:

• Sensibilisierung: Bei Kunden, Mitarbeitenden, der IT und Partnern sollte Awareness für Cyber Crime geschaffen werden.
• Ausbildung: Nicht nur die IT, auch Kunden und Mitarbeitende sollten in Bezug auf Cyber Security geschult werden.
• Risikomanagement: Assets, Threats und Prozesse sollten analysiert und ein entsprechendes Risikomanagement eingesetzt werden.
• Krisenmanagement und Recovery: Eine funktionierende Vorfallbewältigung sollte geplant, implementiert und getestet werden.
• Pentesting: Sowohl die IT wie auch die Prozesse sollten Penetrationstests ausgesetzt werden, um so mögliche Schwachstellen zu ermitteln.

Eine funktionierende Cyber Security im Open Banking wird nur erreicht, wenn alle Teilnehmende des Ökosystems ihren Beitrag leisten: Vom Kunden und Berater über die API-Partner bis hin zu Mitarbeitenden und der IT. Zentraler Dreh- und Angelpunkt dabei ist die nötige Awareness.

Warum nicht heute mit der Security-Ausbildung der eigenen Mitarbeitenden beginnen? Gern helfen wir Ihnen beim Aufbau einer nachhaltigen Awareness-Strategie.