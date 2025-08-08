Exklusiv

Neben der öffentlichen Verwaltung (19 %) zählen laut dem aktuellen Lagebericht des BSI Banken- und Finanzdienstleistungen mit 9 % zu den am stärksten von IT-Sicherheitsvorfällen betroffenen Branchen in der Europäischen Union [1].

Kommt es zu einer Datenschutzverletzung bei Banken geraten Kunden in Panik – und das zu Recht: Unbefugte Transaktionen leeren Konten, Kreditkartenbelastungen häufen sich und in mehreren Bankensystemen lösen diese Betrugsalarme aus. Während das Sicherheitsteam versucht, das Ausmaß des Schadens zu erfassen, sind die Angreifer bereits mehrere Schritte voraus.

Wie kann es so weit kommen?

Um das volle Ausmaß zu verstehen, lohnt sich ein Blick zurück – von den verheerenden Folgen bis zu den übersehenen Warnsignalen in den Netzwerken. Dabei zeigt sich: Klassische Logdateien – eine gängige Datenquelle im Bereich Network Detection and Response (NDR) – bieten oft nur begrenzte Einblicke. Paketdaten hingegen könnten entscheidende Details liefern, um Angriffe rechtzeitig zu erkennen und abzuwehren.

Die ersten Anzeichen: Vertrauensverlust auf Kundenseite

Jeder Dritte in Deutschland war laut einer PwC-Studie bereits Opfer eines Betrugs oder Betrugsversuchs bei Onlinezahlungen [2]. Kreditkartenbetrug (73 %) landet dabei auf Platz drei, knapp hinter den Betrugsmethoden Identitätsdiebstahl (74 %) und Phishing (75 %). Kunden suchen daraufhin Unterstützung bei ihren Bankinstituten. Die Folgen sind überlastete Callcenter, Aufsichtsbehörden, die Erklärungen fordern und ein rapider Vertrauensverlust bei den Kunden.

In dieser kritischen Phase zeigen gängige Logdateien lediglich gehäufte Anmeldeversuche und Transaktionsanfragen – sie liefern jedoch keinen Kontext darüber, wie Authentifizierungen umgangen und Bankensitzungen manipuliert wurden.

Paketdaten hingegen könnten aufdecken, welche Techniken der Sitzungsübernahme (Session Hijacking) verwendet wurden, wie API-Aufrufe verändert wurden und wie manipulierte Bankdatenverkehrsmuster ausgesehen hätten – noch bevor Gelder verloren gehen.

Unbefugte Transaktionen und finanzieller Schaden als Folge

Nachdem Angreifer Zugang zu den Konten erlangt haben, nutzen sie gestohlene Zugangsdaten und Session Tokens, um Überweisungen und betrügerische Zahlungen zu initiieren. Dabei reagieren Betrugserkennungssysteme erst, nachdem der finanzielle Schaden in hohen Summen bereits eingetreten ist.

Protokolldaten melden zwar Hochrisikotransaktionen und ungewöhnliche Zahlungsvorgänge, doch sie sind nicht in der Lage zu unterscheiden, ob es sich um autorisierte Aktivitäten oder um manipulierte Sitzungen handelt. Paketdaten hätten hier Manipulationsmethoden wie Man-in-the-Middle-Angriffe (MITM) – bei denen ein Angreifer die Kommunikation zwischen zwei Parteien abfängt und diese manipuliert, ohne dass die Beteiligten es bemerken – oder API-Injection sichtbar gemacht, bei der Hacker manipulierte Daten in eine API einschleusen, um unbefugten Zugriff auf Systeme zu erhalten.

Die Kontoübernahme: Der stille Einstieg

Die Angreifer verschaffen sich zunächst Zugriff durch Phishing, Credential Stuffing –gestohlene Benutzername-Passwort-Kombinationen, die auf verschiedenen Websites ausprobiert werden – oder manipulierte Passwortzurücksetzungen. Nach der Kompromittierung der Konten eskalieren Angreifer Berechtigungen und deaktivieren Sicherheitsbenachrichtigungen, um unentdeckt zu agieren.

Protokolle erfassen zwar fehlgeschlagene Anmeldeversuche und IP-Adressänderungen, können jedoch nicht zuverlässig zwischen legitimen und kompromittierten Sitzungen unterscheiden.

Paketdaten hätten hier Anomalien in der Sitzungserstellung sowie Methoden zur Umgehung von Multi-Faktor-Authentifizierung aufgezeigt – eine Möglichkeit, Übernahmen in Echtzeit zu stoppen.

Schwachstelle im System als Auslöser

Das Ursprungsproblem liegt häufig in einer IT-Sicherheitslücke der Online-Banking-Plattform. Durch eine fehlerhaft konfigurierte API können Angreifer Authentifizierungskontrollen umgehen und sich ohne gestohlene Zugangsdaten Zugriff verschaffen.

Dieser Vorgang wird durch Protokolldaten dokumentiert, aber gibt keine Auskunft über deren Legitimität. Paketdaten hingegen hätten unautorisierte API-Aufrufe, manipulierte Session-Tokens und die eigentlichen Payloads sichtbar gemacht – entscheidend, um Schwachstellen schnell zu identifizieren und zu schließen.

Fazit

Finanzinstitute sind und bleiben attraktive Ziele für Betrüger, Kontoübernahmen und ausgeklügelte Cyberangriffe. Die entscheidende Frage lautet nicht mehr, ob ein Angriff erfolgt, sondern ob er rechtzeitig erkannt und gestoppt werden kann.

Die Fähigkeit, tiefgreifende Echtzeiteinblicke in Netzwerkverkehr und Anomalien zu gewinnen, wird künftig darüber entscheiden, welche Banken als vertrauenswürdig bestehen bleiben und welche in der nächsten Angriffswelle massive Vertrauensverluste erleiden werden. Paketdaten liefern dabei den entscheidenden Informationsvorsprung, den Logdateien allein nicht bieten können.

Christian Syrbe, Chief Solutions Architect bei NETSCOUT

