Every day is a zero day – wie Banken sich effektiv vor Log4Shell und Co. schützen

Cyberkriminelle und Betrüger machen sich Exploits in der Datenarchitektur von Finanzunternehmen zunutze. Wo die größten Risiken liegen und wie man sich davor schützen kann, erläutert Jan Wilde von Myra Security.


Log4Shell, Exploits

ADVERTORIAL

Im Dezember 2021 hielt Log4Shell die Welt in Atem. „Das Internet brennt“, titelten die Medien. Das Bundesamt für Sicherheit in der Informationstechnik rief die höchste Warnstufe aus. Laut einer EY-Untersuchung waren 93 Prozent aller Enterprise-Cloud-Umgebungen durch Log4Shell verwundbar.
Die Sicherheitslücke erlaubt es, Schadcode auf Webservern einzuschleusen – darunter auch in bekannte Banking Malware wie Dridex oder Meterpreter. Die möglichen Folgen reichen von Datenverlust und Erpressungsversuchen über Dienstausfälle bis hin zur Kompromittierung ganzer Firmennetze und Lieferketten.
Unter Experten gilt Log4Shell als einer der gefährlichsten Exploits der IT-Geschichte. Denn er betrifft mehrere Milliarden Systeme weltweit und kann von Angreifern relativ simpel ausgenutzt werden. Die jüngst entdeckte Sicherheitslücke Spring4Shell erlaubt Angriffe nach demselben Prinzip. Der Finanzsektor muss sich für diese Realität rüsten und auf präventive Maßnahmen setzen.

Bedrohungslage für Finanzsektor spitzt sich zu

Dr. Joachim Wuermeling, Mitglied des Vorstands der Deutschen Bundesbank, beschrieb die Situation zu Log4J treffend: „In Sachen Cyberkriminalität ist es ein Wettlauf gegen die Zeit.“ Doch wie aus der Analyse von EY hervorgeht, waren zehn Tage nach Offenlegung der Lücke immer noch die Hälfte aller Systeme von Unternehmen aus dem Bereich Financial Services ungepatcht. Vor diesem Hintergrund warnte die BaFin davor, dass sich die Bedrohungslage im Cyberraum dauerhaft erhöht habe.
Obwohl viele Banken mittlerweile reagiert haben, wurden bereits über 50 Prozent der Firmennetzwerke im deutschen Finanzsektor unter Ausnutzung von Log4J attackiert, wie das IT-Finanzmagazin im Januar 2021 berichtete. Experten gehen davon aus, dass weltweit fast jedes große Unternehmen betroffen ist, sei es indirekt oder über Partnerunternehmen in der digitalen Lieferkette.

Mangelnde Sichtbarkeit erhöht Gefährdungspotenzial

Die Schwachstelle in diversen Software-Paketen ist im Falle von Log4Shell weit verbreitet. Bis heute können viele Unternehmen nur schwer nachvollziehen, welche Systeme wirklich betroffen sind. Daher muss die methodische Schwachstellenbewertung zwingend alle eigenen Systeme abdecken und angeschlossene Zulieferer einbeziehen. Das braucht Zeit – und die ist knapp.
Bei akuten Exploits wie Log4J zählt jede Minute. Banken brauchen schnelle und pragmatische Lösungen zur Mitigation. Aus Compliance-Gründen ist das oft eine Herausforderung. Im regulierten Finanzbereich ist das Patchen von Software äußerst aufwendig. Änderungen müssen vorab bewertet, genehmigt, koordiniert, sicher umgesetzt und dokumentiert werden. Die BAIT fordern etwa für die Umsetzung Risikoanalysen, Datensicherungen betroffener Systeme, Tests vor dem produktiven Einsatz sowie Rückabwicklungspläne und Wiederherstellungsoptionen bei möglichen Problemen.
Um akute Exploits schnell zu mitigieren, bietet sich daher der präventive Einsatz einer externen Web Application Firewall (WAF) an, die schädliche Anfragen über spezielle Regelsätze blockiert und so den Zugriff auf verwundbare Server erschwert. Im Ernstfall kann über diese Methode in wenigen Minuten das Risiko durch akute Exploits minimiert werden. Die hauseigene IT-Abteilung erhält so die notwendige Zeit, um Patches und Workarounds sauber und regulatorisch konform aufzusetzen.
Solche präventiven Lösungsansätze gehören in die Cybersecurity-Toolbox einer jeden Bank. Denn im Ernstfall geben sie den Ausschlag.

TIPP: Sie möchten mehr zum Thema Cybercrime lesen? Dann können Sie sich hier über neue Arten von Betrugsfällen informieren oder hier erfahren, wie sich Auto- und Hausbanken gegenseitig schützen können.