Die Digitalisierung bietet zahlreiche Möglichkeiten, Dienstleistungen für Kund*innen effizienter und bequemer zu gestalten – das gilt für Banken wie auch für andere Unternehmen. Allerdings steigen auch die Gefahren durch Cyberangriffe. Allein im vergangenen Jahr wurden 117 Millionen neuer Arten an Schadsoftware registriert. Ihre Bank, Ihre Mitarbeitenden und Sie müssen mit immer ausgefeilteren Methoden von Cyberkriminalität rechnen, auf diese vorbereitet sein und sich schützen.
Cyberkriminelle machen sich die Dynamik der Digitalisierung zunutze und haben ihre Angriffsmethoden in den vergangenen Jahren erheblich weiterentwickelt. Ihr Fokus liegt vermehrt auf Banken und deren IT-Dienstleistern. Nicht zuletzt, weil sie sich dort großen finanziellen Profit durch Lösegeldforderungen oder das Erlangen und die Weitergabe von sensiblen Finanzdaten wie Kreditkarteninformationen erhoffen. Folgende vier „Einfallstore“ stufen wir in diesem Zusammenhang als wahrscheinliche und kritische Bedrohungen ein:
1. Denial-of-Service (DoS)- und Distributed-Denial-of-Service (DDoS)-Attacken
DoS- oder DDoS-Attacken zielen darauf ab, die IT-Infrastruktur eines Unternehmens oder einer Organisation lahmzulegen, indem sie das Netzwerk oder die Server mit einem überwältigenden Datenverkehr fluten und so überlasten. Bei einer DoS-Attacke wird lediglich ein System oder Gerät genutzt, während Kriminelle bei DDoS-Attacken mit zahlreichen Systemen oder Geräten arbeiten. DDoS-Angriffe sind die häufigste Art von DoS-Angriffen. In den meisten Fällen wird mittels Nutzung von tausenden Rechnern ein sogenanntes Botnet (auch: Botnetz) erzeugt. Zunächst unauffällig im Hintergrund kapert dieses dann beispielsweise Server, IP-Kameras oder IoT-Geräte und generiert extrem hohen Datenverkehr im Netzwerk. Dieser ist von Expert*innen dann zwar leicht zu erkennen, der Ursprung aber ist aufgrund der Unmengen an genutzten Systemen oder Bots nur schwer nachvollziehbar.
Im Jahr 2021 wurden weltweit fast 10 Millionen DDoS-Angriffe verzeichnet; im Jahr 2022 stieg diese Zahl nochmal um 150 % im Vergleich zum Vorjahr. Keine Überraschung, dass 67 % aller in der in der diesjährigen Lünendonk-Studie befragten Unternehmen DDoS-Angriffe als erhebliches Risiko betrachten. Bei Finanzunternehmen sind es sogar 71 %. Die Konsequenzen sind schwerwiegend, da Kund*innen beispielsweise nicht mehr auf ihre Konten zugreifen können. Reputationsschäden, Vertrauensverlust bei den Kund*innen und erhebliche finanzielle Einbußen sind die Folgen. Jedoch können laut Lünendonk nur 38 % der Finanzinstitute ein zentrales Security Monitoring vorweisen.
Um die sensiblen Daten von Kund*innen zu schützen, sind Investitionen in Abwehr- und Schutzmaßnahmen jedoch immens wichtig, wie ein Blick auf Atruvia zeigt: Wir verzeichnen im Schnitt zwei Milliarden maliziöse Pakete in unseren DDoS-Schutzsystemen – pro Monat. Diese kleineren Angriffe führen zu keinen Ausfällen und werden automatisch gefiltert. Das macht deutlich: Unsere Sicherheitsmaßnahmen wirken. Das zeigen auch die Abwehr- und Detektionszahlen der größeren Angriffe auf Atruvia. Im Jahr 2020 verzeichneten wir acht Angriffe, 2021 stieg die Zahl auf elf, fünf davon kritisch. Im letzten Jahr waren es zwei. Zum großen Teil handelte es sich um Netzwerk- und Volumenangriffe.
Da Angreifer*innen stetig an neuen, gezielten Angriffsvektoren arbeiten, konnten unsere präventiven Schutzmaßnahmen in wenigen Fällen umgangen werden und es kam zu kleineren Beeinträchtigungen in der Verfügbarkeit. Hier haben wir jedoch mit unseren Detektionsmechanismen frühzeitig reagiert und das Ausmaß erheblich eingedämmt. Allen Angriffen konnten wir so konsequent und mit adäquaten Gegenmaßnahmen begegnen und größere Beeinträchtigungen vollständig verhindern.
Um die Verfügbarkeit der Anwendungen für Banken und ihre Kund*innen noch stärker sicherzustellen, bieten wir neben den eigenen Schutzmaßnahmen auch diverse Sicherheitspakete für unsere Banken an.
Ein Einblick in DDoS-Attacken bei Atruvia
Im Juni 2021 kam es bei Atruvia (damals noch Fiducia & GAD) zu massiven DDoS-Angriffen bei gleichzeitig hoher medialer Aufmerksamkeit. Das Ziel: die gezielte Herbeiführung von Nicht-Verfügbarkeiten unserer Services. Den Kriminellen ist es dadurch gelungen, das Online-Banking sowie die Web-Präsenzen der Banken kurzzeitig lahmzulegen. Sensible Bank- und Kundendaten waren bei dieser Attacke zu keinem Zeitpunkt Ziel des Angriffs und nicht gefährdet.
Die Detektions- und Reaktionsgeschwindigkeiten haben deutlich gezeigt, dass unsere DDoS-Abwehr insgesamt bereits sehr wirksam war – und dennoch stetig optimiert werden muss. Kein DDoS-Angriff ist wie der nächste und kann ohne gleichzeitige Beeinträchtigung des gutartigen Datenverkehrs mit 100-prozentiger Genauigkeit erkannt und abgewehrt werden. Das trifft auch auf andere Schutzsysteme zu, weshalb wir diese im laufenden Geschäft stetig anpassen und erweitern.
Der DDoS-Angriff aus 2021 wurde von Atruvia zur Anzeige gebracht. Wir haben das Bundeskriminalamt (BKA) mit unseren Daten bei den Ermittlungen unterstützt und es kam zu zwei Festnahmen. Hier geht es zur Pressemitteilung des BKA.
2. Ransomware
Ransomware ist eine Schadsoftware, die Computer oder Netzwerke infiziert und die dort gespeicherten Daten verschlüsselt oder auf Systeme der Kriminellen überträgt – im Fachjargon auch als „Exfiltration“ bezeichnet. "Ransom” bedeutet Lösegeld – häufig wird Ransomware daher auch als Erpressungstrojaner oder Erpressungssoftware bezeichnet. Wie der Name sagt, verlangen Angreifer*innen bei einer gelungenen Datenverschlüsselung Lösegeld, um die Daten wieder freizugeben.
Um erhöhten Druck auf das betroffene Unternehmen oder die betroffene Bank auszuüben, setzen Ransomware-Gruppen heutzutage auf eine sogenannte Double-Extortion: Neben der klassischen Verschlüsselung werden die Daten zuerst exfiltriert, anschließend drohen die Kriminellen mit deren Veröffentlichung.
Vor einem Angriff recherchieren die Kriminellen häufig zu Geschäftsentwicklung, Umsatz und Finanzabschluss des ins Visier genommenen Unternehmens, um die maximale, aber noch bezahlbare Lösegeldforderung zu wählen. Im Jahr 2022 lag das durchschnittlich gezahlte Lösegeld in Deutschland bei 250.000 Euro. Aufgrund der Vielzahl an sensiblen Daten und finanziellen Transaktionen, die Banken verarbeiten, sind sie ein attraktives Ziel für Ransomware-Angriffe.
Eine infizierte Datei kann etwa per Anlage einer E-Mail in Form einer getarnten Rechnung, Sendungsverfolgung oder ähnlichem eintreffen. Laut Lünendonk-Studie 2023 sind Ransomware und Phishing die Top-Risiken durch professioneller Hackerangriffe. Die befragten Finanzdienstleister sehen das Falleintrittsrisiko, in den kommenden zwei Jahren Opfer eines solchen Angriffs zu werden, bei 64 %.
Neben Lösegelderpressung stehlen Cyberkriminelle die Daten im schlimmsten Fall, um sie im Anschluss für weitere Angriffe zu nutzen, zu veröffentlichen oder an Dritte zu verkaufen. Eine Garantie, dass die Daten nach der Lösegeldzahlung entschlüsselt oder nicht verbreitet werden, gibt es nicht. Es ist daher für Sie und Ihre Bank von entscheidender Bedeutung, robuste Sicherheitsmaßnahmen zu etablieren sowie regelmäßige Backups und Updates durchzuführen. Auch sichere Netzwerkinfrastrukturen zu implementieren ist wichtig. Nicht zuletzt, weil das Einfallstor für Ransomware und Phishing häufig auf Social Engineering beruht.
3. Social Engineering
Bei Social Engineering nutzen Cyberkriminelle die Schwachstelle Mensch, um an vertrauliche Informationen zu gelangen oder betrügerische Handlungen durchzuführen. Auch hier sind unter anderem betrügerische E-Mails Einfallstore, um finanziellen Gewinn zu erzielen oder Bankkund*innen und -mitarbeitende dazu zu bringen, sensible Daten preiszugeben. Gefälschte Anrufe oder Webseiten sind weitere Beispiele. Eine beliebte Betrugsmasche im privaten Kontext ist der Anlagebetrug, bei dem Kund*innen über Werbeanzeigen in den sozialen Medien auf eine vermeintlich seriöse Investitionsplattform gelockt werden, wo sie ihr Geld in Anlagen investieren sollen. Diese Plattform wird allerdings durch Kriminelle betrieben, die mit dem überwiesenen Geld nach einiger Zeit verschwinden. Sie und Ihre IT-Beauftragten sollten Ihre Kund*innen und Mitarbeitenden daher über solche Angriffe aufklären und Vorsicht walten lassen, wenn beispielsweise langjährige Kund*innen hohe Geldsummen für unbekannte Anlageinvestitionen ausgeben oder an unbekannte Empfänger*innen überweisen möchten.
Seit Mitte 2021 verzeichnen wir bei Atruvia eine steigende Anzahl an Phishing- und Fraud-Angriffen auf unsere Banken und die Endkund*innen. Dank unseres Fraud-Detection-Systems liegt die Erkennungsquote allerdings bei über 80 %. Dennoch: Das Bedrohungspotenzial bleibt hoch. Im Jahr 2022 konnten wir betrügerische Transaktionen in Höhe von ca. 119 Millionen Euro abwenden und allein in den vergangenen zwölf Monaten etwa 5.100 Phishing-Seiten entdecken und offline nehmen lassen. Regelmäßige Schulungen zur Sensibilisierung und Erkennung von Social-Engineering-Methoden und -Angriffen helfen dabei, die Gefahr zu minimieren. Wir von Atruvia bieten Ihnen Unterstützung bei der Durchführung solcher Schulungen oder Awareness-Kampagnen, beispielsweise mit einer PhishingSimulation.
4. Supply-Chain-Angriffe
Bei Supply-Chain-Angriffen werden Dritte, etwa Lieferanten oder Partnerunternehmen einer Bank, als Schwachstellen ausgenutzt, um Zugang zu den IT-Systemen zu erlangen. Diese Angriffe können verheerende Folgen haben, da die Kriminellen oft unbemerkt agieren und sensible Daten stehlen oder die Systeme der Bank manipulieren können. Im Jahr 2022 verzeichneten 98 % der Unternehmen im Bereich Operational Technology mindestens einen Supply-Chain-Angriff. Zwei bekannte Beispiele sind die Kompromittierung der Netzwerküberwachungssoftware von SolarWinds im Jahr 2020 mit knapp 18.000 betroffenen Kund*innen, unter anderem Microsoft und das US Department of Defense, und der Fall Kaseya im Jahr 2021 mit 1.500 betroffenen Kund*innen. Beide Angriffe wurden über ein vermeintlich vertrauenswürdiges Update verbreitet.
Sie und Ihre Mitarbeitenden sollten daher Ihre Lieferketten sorgfältig überwachen, regelmäßige Sicherheitsaudits durchführen und sicherstellen, dass auch Ihre Partner hohe Sicherheitsstandards haben, um Supply-Chain-Angriffe zu verhindern. Mit dem im Januar 2023 in Kraft getretenen Lieferkettensorgfaltspflichtengesetz (LkSG) sind diese Sicherheitsmaßnahmen nun in Teilen staatlich reguliert. Sie zählen durch die Pflicht zum Risikomanagement mittelbar zu den erforderlichen Sorgfaltspflichten.
Um auf potenzielle Angriffe gut und schnell reagieren zu können, sollte auf gute Kommunikation mit Ihren Partnern gebaut werden. Zudem ist es wichtig, Pläne zur Reaktion auf etwaige Supply-Chain-Angriffe auszuarbeiten, die beispielsweise das Trennen der Netzwerkverbindung zum Partner, die Deaktivierung externer Accounts oder das Aussetzen von Updates beinhalten. Im Optimalfall müssen Sie und Ihre Mitarbeitenden aber nicht auf solche Angriffe reagieren, sondern haben bereits in umfassende Prävention investiert. Um Ihre Sicherheitssysteme zu testen und solch präventive Maßnahmen zu implementieren, stehen wir Ihnen unter anderem mit Penetrationstests zur Seite. Dabei führen unsere Expert*innen kontrollierte, autorisierte Angriffe auf die Sicherheitssysteme Ihrer Bank durch. Ziel ist es dabei, Schwachstellen aufzudecken und das Risikomanagement regelmäßig zu optimieren.
Schützen Sie sich, Ihre Bank, Ihre Mitarbeitenden und Ihre Kund*innen
Es wird deutlich: Für die Sicherheit im Finanzsektor sind umfassende Cybersecurity-Maßnahmen unerlässlich. Nicht zuletzt, weil Cyberattacken immer professioneller werden und sich mittlerweile zu einem lukrativen Geschäftsmodell entwickelt haben. Cybercrime-as-a-Service (CaaS) lautet das Stichwort: Dabei handelt es sich um Angriffe aus dem Darknet, die auf Bestellung erfolgen. Die Motive sind vielfältig und die Auftraggeber*innen können Privatpersonen, Unternehmen aber auch staatliche Akteure sein. Die Folgen sind weiterhin schwerwiegend, die Nachverfolgung wird schwieriger.
Um Cybergefahren und unterschiedlichen Angriffsmethoden souverän zu begegnen, ist eine ganzheitliche Sicherheitsstrategie mit regelmäßigen Audits, Prüfungen und Updates für Sie und Ihre Bank entscheidend. Diese Strategie sollte eine Kombination aus technischen Maßnahmen wie Firewalls und Verschlüsselungssystemen, Backups, Penetrationstests und Sicherheitsüberprüfungen sowie manuellen Maßnahmen wie Notfallplänen, Schulungen und Sensibilisierungsprogrammen für Sie und Ihre Mitarbeitenden sein. Nur durch die Investition in solch ein umfassendes Sicherheitskonzept können Sie die Daten Ihrer Kund*innen sowie deren Vertrauen und die Reputation Ihrer Bank schützen. Wir von Atruvia sind dabei an Ihrer Seite.
Schützen Sie Ihre Mitarbeitenden und Kund*innen durch gezielte und praxisnahe Sensibilisierung vor Cyberangriffen Angebote anschauen (nur für Kunden)
