Identitätsdiebstahl: Eine Bedrohung, die schlimmer ist, als Sie denken

Die Finanzdienstleistungsbranche in Asien ist einer der am stärksten regulierten Sektoren und Compliance wird oft als eine Form der Sicherheitsgarantie angepriesen. Compliance ist jedoch nur ein einzelner Aspekt der Sicherheit. Verschiedene Vorschriften decken ein breites Spektrum an Themen ab, die bloße Implementierung von Lösungen oder Geräten zur Einhaltung der Vorschriften genügt jedoch nicht.

Die zunehmende Verbreitung mobiler Geräte im asiatisch-pazifischen Raum und der damit verbundene Aufstieg des Internet-Bankings haben zu immer ausgefeilteren Bedrohungen für die Cybersicherheit geführt. Allerdings gaben laut der Mobile Identity Study von Telstra 62 Prozent der Führungskräfte im Finanzdienstleistungssektor an, dass sie nicht genug in Identität und Sicherheit investiert hätten. Darüber hinaus war weniger als die Hälfte der Verbraucher mit der Sicherheitsleistung ihres Finanzinstituts zufrieden, da mehr als ein Drittel Opfer von Identitätsdiebstahl wurde.

Fälle von Identitätsdiebstahl wie der Datendiebstahl bei JP Morgan oder die massiven Kreditkartendiebstähle bei südkoreanischen Banken im vergangenen Jahr sowie Identitätsbetrug, der 2014 zum Diebstahl von 16 Milliarden US-Dollar führte, machen den Identitätsdiebstahl zu einer immer größeren, aber noch immer unterschätzten Bedrohung für den Finanzdienstleistungssektor.

Zunahme der Angriffsfläche und Raffinesse

Aufgrund der zunehmenden Angriffsfläche und der immer ausgefeilteren Angriffstools ist Identitätsdiebstahl unter Cyberkriminellen weit verbreitet. Heutzutage erfolgen Cyberangriffe über ein breiteres Spektrum an Vektoren. So gestatten beispielsweise viele Finanzdienstleister ihren Mitarbeitern den Zugriff auf Unternehmensnetzwerke über ihre privaten Geräte. Durch Bring Your Own Device (BYOD) können mobile Geräte zu einem Kanal für Cyberkriminelle werden, die unter Ausnutzung der Anmeldeinformationen von Mitarbeitern eines Unternehmens Informationen verbergen, verbreiten und stehlen.

Ein weiterer Vektor können unsichere, öffentlich zugängliche Web- Applications sein, die schnell zum Identitätsdiebstahl führen können. Hierzu zählen Zero-Day-Schwachstellen, die im letzten Jahr für Schlagzeilen sorgten, wie etwa Shellshock und Heartbleed . Es reicht aus, wenn eine Organisation beim Patchen einer Sicherheitslücke nicht schnell genug ist oder ihr die richtige Technologie zum Schutz ihrer Web- Applications fehlt. Sobald die Cyberkriminellen die Kontrolle erlangen, können sie tun und lassen, was sie wollen – vom Diebstahl von Daten bis hin zur Nutzung der Server für Botnet-Angriffe.

Dieser erweiterte „Spielplatz“ bedeutet für Cyberkriminelle mehr Optionen beim Stehlen von Anmeldedaten. Sie sind nicht länger auf Keylogging-Software oder Datenbankverletzungen angewiesen, sondern können einfach Web-Injections verwenden.

Wenn sich ein Benutzer beispielsweise bei Ihrem Internet-Banking-Konto anmeldet, kann er auf der Webseite ein scheinbar legitimes zusätzliches Feld mit Ihrer Geldautomaten-PIN (Personal Identification Number, persönliche Identifikationsnummer des Geldautomaten) einfügen, um sowohl technisch versierte als auch nicht technisch versierte Internet-Banking-Benutzer zu täuschen. Während dies geschieht, kann eine Schadsoftware im Hintergrund einen „Man-in-the-Browser“-Angriff ausführen, der für die Host- Application unsichtbar ist.

Neben der zunehmenden Zahl an Angriffsmethoden sind Malware und Trojaner heute auch in der Lage, über mobile Banking- Applications Anmeldedaten zu stehlen und so auf das Guthaben bei Banken und anderen Finanzinstituten zuzugreifen. Cyberkriminelle können einfach eine mobile Application erstellen, die einer Banking- Application ähnelt, und mithilfe von Spear-Phishing Anmeldedaten stehlen. Einige Schadsoftwareprogramme, wie beispielsweise Dyre oder Dyreza, zielen direkt auf Firmenbankkonten ab und haben ahnungslosen Unternehmen bereits erfolgreich mehrere Millionen Dollar gestohlen.

Bekämpfen Sie Bedrohungen mit mehrschichtiger Verteidigung, Proaktivität und starken Mobilrichtlinien

Da im ersten Halbjahr 2015 die Mehrzahl der Sicherheitsverletzungen auf Insider-Bedrohungen zurückzuführen war, ist es für Unternehmen wichtiger denn je, mit den rasch agierenden Cyberkriminellen von heute Schritt zu halten. Sie sollten die notwendigen Maßnahmen ergreifen, um ihre internetbasierten Applications zu sichern. Dies sollte ganz oben auf Ihrer Prioritätenliste stehen, da es sich hierbei um einen natürlichen Kanal für Cyberkriminelle handelt, die immer auf der Suche nach Möglichkeiten sind, in ein Netzwerk einzudringen. Wichtig ist auch, vom Jailbreaking von Geräten abzuraten, da dies für Cyberkriminelle in der Regel eine weitere Möglichkeit darstellt, auf Netzwerke zuzugreifen.

Erstens ist eine umfassende Verteidigungsstrategie unter Einsatz der richtigen Technologien unerlässlich. Viele Menschen glauben fälschlicherweise, dass Technologien wie eine Firewall ausreichen, um die Netzwerke eines Unternehmens zu schützen. Dies trifft heute jedoch nicht mehr zu. Organisationen müssen sich mit anderen Technologien wie etwa Web Application Firewalls befassen. Angriffe auf Application werden häufig speziell für eine bestimmte Application entwickelt und abgestimmt und werden von herkömmlichen Sicherheitsmaßnahmen nicht erkannt.

Auch wenn die Behebung eines Verstoßes – also die Behebung von Problemen nach einer Sicherheitsverletzung – eine Rolle spielt, lohnt es sich noch mehr, Ihre Netzwerke proaktiv zu schützen. Ein Sanierungsszenario ist reaktiver Natur und das Forensikteam geht der Ursache des Verstoßes nach, erstellt einen Bericht und ergreift nach dem Vorfall Maßnahmen zur Behebung. Andererseits werden durch die proaktive Absicherung Ihres Unternehmens möglicherweise nicht 100 Prozent aller Angriffe abgefangen. Es ist jedoch immer noch ein Erfolg, wenn es Ihnen gelingt, diese Zahl von 100 Prozent auf einen kleineren Prozentsatz zu reduzieren.

Und schließlich gilt es, Selbstgefälligkeit zu bekämpfen und die Haltung „Mir passiert das schon nicht“ abzulegen, in der man zwar sieht, wie die Nachbarn angegriffen werden, aber dennoch glaubt, selbst nichts zu befürchten.

Organisationen sollten Sicherheitsrichtlinien für mobile Geräte festlegen, die Leitlinien, Grundsätze und Vorgehensweisen für den Umgang mit mobilen Geräten definieren, unabhängig davon, ob sie vom Unternehmen ausgegeben oder im Besitz von Einzelpersonen sind. Diese Richtlinien sollten Bereiche wie Rollen und Verantwortlichkeiten, Infrastruktursicherheit, Gerätesicherheit und Sicherheitsbewertungen abdecken.

Durch die Festlegung von Sicherheitsrichtlinien können Organisationen einen Rahmen für die Anwendung von Verfahren, Tools und Schulungen schaffen, um die Sicherheit drahtloser Netzwerke zu unterstützen. Durch die Schulung der Mitarbeiter hinsichtlich der Richtlinien zur mobilen Sicherheit können Unternehmen außerdem dafür sorgen, dass mobile Geräte sicher und angemessen konfiguriert, betrieben und verwendet werden.