Dieser Post ist Teil einer fortlaufenden Blog-Reihe, in der „Sichere Fakten“ (mit hoher Wahrscheinlichkeit eintreffende Vorhersagen) und „Vermutungen“ (mit geringerer Wahrscheinlichkeit eintreffende Vorhersagen) hinsichtlich der Cybersicherheit 2017 untersucht werden.  

Der Finanzsektor verzeichnete 2016 diverse nennenswerte Verletzungen der Cybersicherheit, wie etwa Datendiebstähle bei einer Reihe von SWIFT-Mitgliedsbanken (Society for Worldwide Interbank Financial Telecommunication) sowie mit Malware infizierte Geldautomaten in Asien. Für 2017 gehe ich davon aus, dass sich im Finanzsektor hinsichtlich der Cybersicherheit die folgenden Trends abzeichnen werden.

Sichere Fakten

• Zunehmende Nutzung der öffentlichen Cloud: Die Finanzdienstleistungsbranche ist die letzte Bastion, in der öffentliches Cloud-Computing noch nicht Fuß gefasst hat. Nach jahrelanger vehementer Ablehnung der Technologie aufgrund von Bedenken hinsichtlich der Informationssicherheit freundet sich die Branche allmählich mit der Nutzung der öffentlichen Cloud an. Sowohl Amazon Web Services (AWS) als auch Microsoft Azure zählen laut eigenen Angaben bereits eine Reihe von Finanzinstituten zu ihren Kunden. Viele Unternehmen waren 2016 damit beschäftigt, Verfahren zu testen, zu bewerten und Machbarkeitsstudien zu unterziehen – stets mit kritischem Blick auf risikogerechte Cybersicherheitsstrategien. Eine nicht unerhebliche Zahl dieser Finanzinstitute wird die öffentliche Cloud 2017 schließlich für Computing-Arbeitslasten nutzen. Sie werden darin möglicherweise zunächst Anwendungen ausführen, die weniger sensible Daten verarbeiten. Obgleich es im Finanzsektor noch immer vereinzelt Widerstände gibt, schwinden diese definitiv. Zu verlockend sind die Agilität, Skalierbarkeit und Kosteneinsparungen, die das öffentliche Cloud-Computing bietet – insbesondere, wenn die Sicherheit nativ in die Lösung integriert und dieser nicht einfach nur „angehängt“ ist.

• Allgemeine Nutzung der Multifaktor-Authentifizierung (MFA): Wie die jüngsten betrügerischen Transaktionen bei mehreren SWIFT-Mitgliedsbanken gezeigt haben, können legitime Anmeldeinformationen gestohlen und für illegale Überweisungen genutzt werden. Die simple Authentifizierungstechnik ist für Missbräuche anfällig und ermöglicht nicht autorisierte Kontoübernahmen. Finanzinstitute werden dies schließlich beherzigen und robustere MFA-Techniken einführen – zumindest intern für kritische Anwendungen, sensible Daten und definitiv für bevorzugte Konten (z. B Root und Administrator). Wenn auch nicht alle MFA-Techniken gleich sicher sind, bilden sie dennoch allesamt eine weitere Hürde, die von Cyberkriminellen nicht so einfach zu überwinden ist. MFA-Techniken basieren auf dem Prinzip der Nachweiserbringung. Benutzer müssen mindestens zwei der folgenden Informationen angeben:
  • Etwas, das sie wissen (z. B. Anmeldename/Kennwort, PIN)
  • Etwas, das sie besitzen (z. B. ein One-Time Password (Einmalkennwort, OTP) oder eine Mobiltelefonnummer)
  • Etwas, das sie sind (z. B. Fingerabdruck, Retina-Scan)

Vermutungen

• Breite Implementierung von Zero Trust-Netzwerken: Während Forrester Research das Zero Trust (ZT)-Modell bereits 2009 vorgestellt hat, war die Zahl der Implementierungen Ende 2016 noch recht übersichtlich. Konzeptionell lässt sich der Vorteil für die Informationssicherheit, den das Einschränken des Datenverkehrs auf ausschließlich bekannte, legitime Datenströme zwischen verschiedenen Netzwerkabschnitten hat, nur schwer leugnen. Jegliche schädlichen Aktivitäten werden durch das nächstgelegene Segmentierungs-Gateway begrenzt.  Das ZT-Modell beinhaltet jedoch diverse Herausforderungen, wie etwa Schwierigkeiten bei der vollständigen Identifizierung der legitimen Datenverkehrsmuster (sowohl anfänglich als auch langfristig), die benötige Kooperation zwischen mehreren Bereichen (z. B. IT, Sicherheit und Geschäft) sowie das Risiko von Geschäftsunterbrechungen, insbesondere in brach liegenden Umgebungen. Trotz allem werden sich Finanzinstitute 2017 mit dem ZT-Konzept für ihre Netzwerke anfreunden und diesbezüglich deutliche Fortschritte machen. Anfänglich werden voraussichtlich Netzwerksegmentierungen eingeführt, die den Datenverkehr zu/von sensibleren Bereichen jeder Umgebung einschränken. Diese Maßnahmen reduzieren die Angriffsoberfläche ebenso wie laterale Bewegungen durch Eindringlinge. Letztendlich wird die Frage lediglich sein, inwieweit die einzelnen Finanzinstitute das ZT-Konzept in ihrem eigenen Netzwerk umsetzen.

• Blockchain schafft weiteren Angriffsvektor: Die Blockchain-Technologie ist weiterhin ein zentrales Thema im Finanzsektor. Blockchain ist in jedem Fall bedeutender als Bitcoin. Die Distributed Ledger-Technologie wird für die Zahlungsverarbeitung, Geschäftsabwicklung, virtuelle Wallets usw. in Erwägung gezogen. Neben Start-ups befassen sich auch traditionelle Finanzinstitute aktiv mit dieser Technologie und den möglichen Auswirkungen auf ihr Unternehmen. Zu den Vorteilen zählen die erhöhte Zweckmäßigkeit sowie die reduzierten Kosten für grenzüberschreitende Zahlungen, den Wertpapierhandel und dessen Abwicklung, da keine Makler mehr erforderlich sind. Weitere Pluspunkte sind die erhöhte Transparenz und die verbesserte Nachverfolgbarkeit für Compliance-Beauftragte, Prüfer und Regulierungsbehörden. Doch es wird sich nicht vermeiden lassen, dass durch die ersten Einführungen dieser Technologie in Finanzinstituten ein weiterer Angriffsvektor entsteht. Dies wird sich auch mit den inhärenten Mechanismen für Kryptografie und Unveränderbarkeit nicht vermeiden lassen. Sicherheitslücken in Neuimplementierungen der Blockchain-Technologie werden 2017 von Cyberkriminellen entdeckt und genutzt werden, um die Sicherheit und Vertraulichkeit von Finanztransaktionen zu gefährden. Dies bringt uns zur nächsten Vorhersage.

• Verbesserte Coopetition: FinTech-Start-ups werden weiterhin mit eingesessenen Finanzinstituten um die Gunst der Kunden konkurrieren. FinTech-Unternehmen bieten Bankkunden und Investoren Kostensenkungen und innovative Ansätze. Den Start-ups fehlt jedoch häufig die Markenbekanntheit, der Zugang zu einem großen Kundenstamm sowie die Erfahrung mit regulatorischen Angelegenheiten. Traditionelle Finanzinstitute besitzen diese Qualitäten zwar, sind aber oft nicht ausreichend agil und innovationsfähig. Sie versuchen dies mithilfe von Cloud-Computing wett zu machen und haben mitunter sogar eigene (autonome) FinTech-Bereiche gegründet. Andere arbeiten mit FinTech-Unternehmen zusammen, um die Kernkompetenzen beider Teilbereiche zu vereinen. Letzteres ist 2017 möglicherweise sogar die bessere Strategie für innovative Lösungen, die hinsichtlich der Skalierbarkeit, Unternehmensarchitektur, Cybersicherheit usw. den Branchenstandards gerecht werden. Dies wird letztendlich zu günstigeren Finanzprodukten und -dienstleistungen führen und die Kundenerfahrung verbessern. Sicherheit, Zuverlässigkeit und die Einhaltung gesetzlicher Bestimmungen werden dabei ein integraler Bestandteil sein.

Wie sehen Ihre Prognosen zur Cybersicherheit im Finanzsektor aus? Teilen Sie Ihre Meinung mit uns und bleiben Sie auf dem Laufenden. In unserem nächsten Post dieser Reihe geht es um Vorhersagen für EMEA.