In Sachen IT-Sicherheit gilt der Bankensektor als Vorreiter. Traditionell wird hier mehr in Sicherheitsmaßnahmen investiert als in den meisten anderen Branchen. Aus gutem Grund: Finanzunternehmen sind nach wie vor ein überaus beliebtes Ziel von Angreifern, die es auf finanziellen Gewinn abgesehen haben.

André Nash vom Bundesverband deutscher Banken warnt eindringlich, dass Cyberangriffe das größte operationelle Risiko für das Finanzsystem darstellen. Dennoch sehen wir trotz aller Sensibilisierung und hoher Investitionen ein großes Datenrisiko auch in diesem Bereich. So geben die Ergebnisse des Datenrisiko-Reports für den Finanzsektor von Varonis Systems Anlass zu Sorge und zeigen einen dringenden Handlungsbedarf [1]. Jeder Mitarbeiter hat demnach durchschnittlich Zugriff auf knapp 11 Millionen Dateien, in größeren Unternehmen sogar auf rund 20 Millionen. In knapp zwei Dritteln (64 %) der Unternehmen können zudem alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen.

Zugriffsrechte. Der Report deckt dabei vier wesentliche Problemfelder auf. So ermöglichen zu weit gefasste Berechtigungen den Zugriff von zu vielen Mitarbeitern auf sensible Dateien und Ordner, wodurch nicht zuletzt auch das Ransomware-Risiko deutlich steigt. Im Durchschnitt hat ein Mitarbeiter Zugriff auf 13 Prozent der gesamten Dateien des Unternehmens. Dies bedeutet, dass selbst Mitarbeiter in den kleinsten Banken und Finanzunternehmen die Möglichkeit haben, über eine halbe Million Dateien einzusehen, zu kopieren, zu verschieben, zu ändern und zu löschen. Und knapp 20 Prozent dieser Dateien beinhalten sensible Mitarbeiter- und Kundendaten. Wird nun ein Mitarbeiterkonto etwa durch Phishing kompromittiert, verfügen die Angreifer damit über Zugriff auf genau diese Daten und können diese entweder entwenden oder im Rahmen eines Ransomware-Angriffs verschlüsseln – mit jeweils verheerenden Folgen.

Gleichzeitig stellen exzessive Zugriffsrechte Compliance-Verletzungen dar: Vorschriften wie die EU-Datenschutzgrundverordnung (DSGVO) oder Sarbanes-Oxley (SOX) fordern strenge Kontrollen für sensible Informationen. Entsprechende Verstöße sind nicht nur kostspielig, sondern auch reputationsschädigend. Gerade in Branchen wie der Banken- und Versicherungswirtschaft, die vom Vertrauen ihrer Kunden leben, kann dies enorme Auswirkungen haben.

Ungenutzte Daten. Ebenfalls problematisch in Hinblick auf die Regulatorien sind veraltete und nicht mehr genutzte Dateien. Im Finanzdienstleistungsbereich stellen diese durchschnittlich mehr als zwei Drittel der gespeicherten Dateien (69 %) dar. Diese veralteten, nicht mehr genutzten Dateien erhalten oft sensible Informationen, etwa über Mitarbeiter, Kunden oder Projekte und unterliegen entsprechenden Aufbewahrungs- und Löschanforderungen. Auch hier drohen bei Verstößen empfindliche Strafen. Und auch wenn die Daten für die Unternehmen nicht mehr sehr wichtig erscheinen, könnten sie für Angreifer äußerst interessant und wertvoll sein. Es ist letztlich auch eine Frage der Logik: Je weniger Daten potenziell entwendet werden können, desto geringer wird das Risiko beziehungsweise desto sicherer ist das System.

Quelle: Varonis Systems

Passwörter. 59 Prozent der Unternehmen verfügen über mehr als 500 unbefristete Nutzer-Passwörter. Fällt ein solches nicht ablaufendes Passwort in die Hände von Cyberkriminellen, erhalten diese ausreichend Zeit für ihre Angriffe – zumal die Entdeckung eines Datenvorfalls im Finanzbereich durchschnittlich 233 Tage dauert. Dies sind knapp acht Monate, um den Ruf, den Umsatz und das Vertrauen der Kunden schwer zu schädigen.

Veraltete Nutzerkonten. Eine besondere Gefahr für die Datensicherheit stellen sogenannte »Ghost User« dar, also veraltete, nicht mehr benötigte, aber nicht deaktivierte Nutzerkonten. Diese erlauben ehemaligen Mitarbeitern und Partnern Zugang zu Informationen und eignen sich ideal für Cyberkriminelle, da ihre Nutzung in aller Regel nicht weiter auffällt. Zum einen gibt es keinen aktiven Nutzer, der sich über vermeintlich von ihm selber durchgeführte Aktionen wundern würde, zum anderen sind es legitime Konten mit bestimmten Berechtigungen. Für Kriminelle sind sie perfekt, um sich in aller Ruhe und ohne Aufmerksamkeit zu erregen in den Unternehmen umzuschauen und diese von innen heraus kennenzulernen. Und je nach Zugriffsrechten können hierbei bereits auch schon Daten unauffällig entwendet werden.

Quelle: Varonis Systems

Gut 64 Prozent der Finanzunternehmen verfügen über mehr als 1.000 solcher Konten. Kombiniert man dies mit den bereits geschilderten umfassenden Zugriffsrechten und nicht ablaufenden Passwörtern, erkennt man schnell das Potenzial für Cyberkriminelle. Diese richten ihr Augenmerk in erster Linie auf Mitarbeiter, die das Unternehmen kürzlich verlassen haben. Schon mit mittelmäßigen Social-Engineering-Fähigkeiten sind diese leicht zu identifizieren. Alles, was es hierzu braucht, ist etwas Zeit für die Recherche, etwa auf Linkedin oder Xing. Und dieser moderate Aufwand lohnt sich: Das Format und die Struktur von Nutzerkonten lassen sich oft erschließen und unsichere Passwörter sind nach wie vor auch hier leider häufig die Regel.

Dringender Handlungsbedarf. Trotz aller Anstrengungen im Bereich der IT-Sicherheit stehen die Finanzdienstleister weiterhin vor großen Herausforderungen. Sie und ihre Daten sind steigenden Risiken ausgesetzt, die es jetzt zu adressieren gilt. Durch die Durchsetzung eines Least-Privilege-Modells, bei dem jeder Mitarbeiter nur den Zugriff erhält, den er für seine Arbeit auch tatsächlich benötigt, können diese aber bereits in einem ersten Schritt wesentlich reduziert werden. Bedenkt man, dass die manuelle Lokalisierung und Entfernung der zu weit gefassten Zugriffsrechte rund sechs bis acht Stunden pro Ordner dauert, ist schnell klar, dass man hier ohne Automatisierung nicht weit kommt.

Jedes Finanz- und Versicherungsunternehmen muss sich dieser dringenden Aufgabe stellen, auch und gerade die kleineren, die oftmals denken, sie seien zu klein und uninteressant für Angreifer.

Michael Scheffler,
Country Manager DACH
von Varonis Systems

[1] https://info.varonis.com/hubfs/docs/research_reports/2021-Financial-Data-Risk-Report.pdf

Illustration: © Leonid studio/shutterstock.com

3072 Artikel zu „Finanz Sicherheit“

NEWS | IT-SECURITY | LÖSUNGEN

Mehr Sicherheit im Finanzsektor – Jetzt und zukünftig

9. Mai 2021

Die Branche der Banken und Finanzdienstleister steht unter Dauerbeschuss. Sei es durch gezielte Cyberangriffe, nationalstaatlich gesponsert, durch Gruppen von ambitionierten Angreifern oder einzelne Kriminelle. Das verwundert nicht, haben doch diese Ziele in punkto Risiken, Reputation und Wert am meisten zu bieten. Allerdings gehören sie auch zu der Art von Zielen, die gemeinhin am besten…

Michael Scheffler, Country Manager DACH von Varonis Systems

[1] https://info.varonis.com/hubfs/docs/research_reports/2021-Financial-Data-Risk-Report.pdf

3072 Artikel zu „Finanz Sicherheit“

Michael Scheffler,
Country Manager DACH
von Varonis Systems