, ,

Cybercrime Day 2021 – IT-Security in der Finanzwelt

Der Cybercrime Day feierte am 28. September 2021 sein Sechsjähriges. Der BANKINGCLUB lud nach Frankfurt ein, um Experten die Bühne freizumachen für einen Austausch über IT-Sicherheit. Fakten, Erfahrungen und Lösungsansätze gilt es hier zu teilen im gemeinsamen Kampf gegen Cyberkriminalität. Ein kurzer Überblick über die Highlights und wichtigsten Erkenntnisse des Kongresses.


Cybercrime Day 2021- IT-Sicherheit- Kongress

Der Cybercrime Day hat in den letzten jahren immer mehr an Relevanz und Dringlichkeit gewonnen. Die Welt der Cyberkriminalität unterliegt nicht nur einem unaufhaltsamen Wandel, sondern auch einer dramatischen Optimierung. Die Akteure entwickeln zunehmend differenziertere Taktiken, was ihrem Einsatzaufwand verstärkt entgegenkommt.

Nach den begrüßenden Worten des Geschäftsführers Thorsten Hahn ging Timo Maus von Allianz Global Investors an den Start und zeigte was Cyber Sicherheit für sein Unternehmen bedeutet. „Cyber Security ist keine Stand-Alone-Instanz, sondern eine interdisziplinäre Zusammenarbeit.“ Mithilfe der unterschiedlichen Segmente dieser Zusammenarbeit soll es gelingen, einem risikobasierten Ansatz nachzugehen, welcher potezielle Bedrohungen verhindern soll. Dies integriert den nachhaltigen Aufbau von Ressourcen, die Bedrohungsmodellierung, sowie die Schadensminimierung durch das Erstellen von Reaktionsplänen.

Cybercrimeumsätze toppen Drogenumsätze

Daraufhin kam Dr. André Hopp zu Wort und stellte die Lösung der Deutsche Telekom Security GmbH vor: Mit Data oder Credential Leakage Monitoring nimmt man sich vor, einen „Rund-um-die-Uhr-Schutz von Kunden- und Finanzdaten“ zu gewährleisten. Teil des Serviceangebotes ist außerdem die zusätzliche Darknet-Recherche. Dafür sehen sich die Anti-Fraud-Spezialisten in der Verantwortung, denn „oft wissen Unternehmen nicht einmal, dass sie gehackt wurden.“ Eine kontinuierliche Beobachtung und eine Just-In-Time-Reaktion von einem Expertenteam ist unausweichlich.

Auch Imperva war zu Gast mit Julian Iavarone, der sich für die Mobile Device Security stark macht. Ausgangspunkt ist die digitale Transformation und damit der Weg zur Cloud, der API-Security unentbehrlich macht. Iavarone hob sie als wirkungsvolle Lösung für den Cloud-App-Schutz hervor.

„Cybercrimeumsätze übertreffen Drogenumsätze.“ Mit solchen Maßstäben gelingt es dem Ausmaß der Cyberkriminalität ein Profil zu geben. Wolfgang Straßer von @-yet nennt es den „Cyberwar“, mit einer stetig wachsenden Zahl von Angriffen – rund 88 Prozent der befragten Unternehmen sind betroffen. Es stellt sich also nicht die Frage, ob es einen trifft, sondern wann. Seine Erfahrungen zeigen, dass die Vorbereitungen der Angriffe sauberer und die Strategien raffinierter werden. So häufen sich Attacken meist vor Wochenenden oder Feiertagen, wo IT-Abteilungen dünn besetzt sind.

IT-Sicherheit ist ein Prozess

Das Bewusstsein darüber, dass es sich auf der gegenüberliegenden Seite um ausgereifte Geschäftsleute handelt, die sich um professionelle Arbeitsteilung bemühen, wird immer stärker. Dies ist fatal unter Anbetracht dessen, dass Advanced IT-Sicherheit im Mittelstand nur dürftig verbreitet ist und sich die Mehrheit auf Basic-Security verlässt. Straßer betont: „Prävention beginnt mit der Analyse des Status Quo“, eine effiziente Infrastruktur setzt eine intensive Auseinandersetzung mit der Thematik voraus. Und diese ist keine Einzelmaßnahme, sondern ein anhaltender Prozess.

Auf die Untersuchung der Zusammenarbeit zwischen Banken und Kunden legten wiederum Behaviosec und Nuance besonderen Wert. Vorstellig für die beiden Unternehmen wurden Ingo Deutschmann und Morna Florack, die das Publikum mit der Frage der Kundenauthentifizierung herausforderten. In diesem Zuge wurde preisgegeben, dass mit einem Nutzer nicht nur eine digitale Identität verknüpft ist – stattdessen sind es im Durchschnitt etwa 130.

Natürlich bringt jeder dieser Accounts auch seine Sicherheitsanforderungen mit, was dem kundenseitigen Komfortbedürfnis zur Hürde wird. Folglich verwenden Nutzer immer wieder dieselben Passwörter und bieten Hackern so Angriffsfläche. Für eine Beziehung wie die zwischen Kunde und Bank,  ist persönliche Nähe ein essenzieller Aspekt. Daher verweisen die Referenten auf biometrische Verifizierungsmethoden. Auf diese Weise erfährt Kundenauthentifizierung die sicherste Bettung.

Ransomware findet überall statt

Erfahren wir aktuell tatsächlich „The Golden Age of Ransomware“? Laut Ramin Ghassemi von Cybereason ist dies definitiv zu bejahen. Mit Ransomware konnten im vergangenen Jahr etwa 350 Millionen Dollar Gewinn erzielt werden. Die richtigen Schutzmechanismen zu etablieren ist eine große Herausforderung für Unternehmen – schwer machen es Regulatorik, mangelndes Personal und Budget.

Die zunehmende Etablierung des Homeoffice hat die Risikolage noch verschärft. Möglicherweise ist das Ablenkungspotenzial in den privaten Räumlichkeiten höher, in einigen Fällen mag es auch eine Hingabe zur Bequemlichkeit sein – kurzum, das konventionelle Büroverhalten schlägt sich anders im Risikoprofil nieder. Hinzu kommt, dass verstärkt private Geräte an die Arbeit herangezogen werden, was zusätzliche Risiken birgt.

Mohamed Ibbich, Vertreter der BeyondTrust, beschäftigte sich mit Zugangsprivilegien und den damit verbundenen Gefahren. Er deckte die Zahl der betrieblichen Cyberattacken im Jahre 2020 auf, welche sich bei etwa 94 Prozent positionierten. „Digitaler Wandel braucht Privileged Access Management (PAM).“, stellt er fest. Ziel ist es, zu weit gefasste Privilegien und demzufolge Kontrollverlust zu vermeiden. Protokolle sollen dabei unterstützen, dass jedem Mitarbeiter nur diese Berechtigung zuteilwird, die auch benötigt wird.

Auch bei diesem Kongress wurde nicht auf einen Pecha Kucha-Vortrag verzichtet, der „5 Key Take-Aways für Ransomware Angriff“ in sechs Minuten auf den Punkt gebracht hat. Vorgetragen wurde dieser von Kevin Schwarz von Zscaler, Inc., der „Angriffsfläche als die größte Ursache für Attacken“ definiert. Decken soll diese ein differenziertes Team. Die IT-Abteilung wird dabei oft in das Licht gerückt, jedoch braucht es ebenso den Betriebsrat, die PR- und Kommunikationsabteilung und im Idealfall auch eine Forensik-Abteilung.

Cyber Security braucht mehr Budget

Zac Warren, Senior Director Cybersecurity and Advisory von Tanium erinnerte daran, dass keine Branche vor Cyberkriminalität sicher sei, „alle Branchen in unserer Gesellschaft werden als Ziel gesehen“. Nichtsdestotrotz ist die Finanzbranche ein präferiertes Opfer, so können sich Angreifer in dem Bereich doch in Sicherheit wiegen, dass monetär getriebene Intentionen befriedigt werden. Warren plädiert in diesem Zuge für eine ausgefeilte IT-Hygiene, die jedoch auch nur einer Prämisse durchzusetzen ist: „Cyber Security-Teams müssen für mehr Budget kämpfen.“

Zuletzt trat die Myra Security GmbH vor das Publikum, mit Jan Wilde als Stellvertreter. In seinem Vortrag wurde nochmals die Professionalität der Hackerattacken sichtbar, denn: „Auch die Angreifer müssen ihre Ressourcen planen.“ Und man muss auf Basis der Zahlen feststellen, dass es meist gar nicht so schwierig ist, auch mit wenig Ressourcen hohe Schäden anzurichten.

Dennoch sind diese Ressourcen begrenzt und daher ausgesprochen wertvoll, was den Fokus der Angreifer auf ungeschützte Organisationen lenkt. Daraus ableitend, macht Wilde auf dedizierte Schutzsysteme aufmerksam, da Hacker gewappnete Unternehmen tendenziell meiden und eher noch Wiederholungstäter bei geglückten Attacken werden.

Tipps: Sie möchten mehr zu unseren Events lesen? Dann schauen Sie hier.