[datensicherheit.de, 01.08.2016] Cyber-Kriminelle, die Banken ins Visier nehmen, versprechen sich offensichtlich hohe Gewinne. Banken könnten sich aber durch eine Reihe an gezielten Vorsorgemaßnahmen besser schützen, betonen Sicherheitsexperten von Palo Alto Networks aus aktuellem Anlass.

Betrügerische Geldtransfers im SWIFT-Netzwerk

Im internationalen Bankwesen sei kürzlich dass SWIFT-Netzwerk infolge betrügerischer Geldtransfers in die Schlagzeilen geraten, berichtet Palo Alto Networks.
Gestohlene Anmeldeinformationen einer Bank in Bangladesh seien verwendet worden, um über das SWIFT-Netzwerk betrügerische Geldtransfers abzuwickeln. Presseberichten zufolge seien 81 Millionen US-Dollar an eine Bank auf den Philippinen überwiesen worden und dann auf mehreren Konten von Casinos gelandet. SWIFT habe behauptet, dass die Sicherheit und Integrität ihrer Messaging-Dienste nicht in Frage stünden, sondern die Sicherheit der lokalen Kundenumgebungen unzureichend gewesen sei. Zu ähnlichen Vorfällen sei es in Vietnam, Ecuador, der Ukraine und in Russland gekommen.

Mehr Sicherheit erreichen und ähnliche Angriffe verhindern

Auch wenn Bankinstitute in westlichen Ländern auf bereits bestehende höchste Sicherheitsstandards hinweisen würden, sollten diese Vorfälle genauer betrachtet werden.
Wie die o.g. Betrüger an die gültigen Anmeldeinformationen für die Geldtransfers gekommen seien, sei noch unbekannt. In Frage kämen Phishing oder die Suche nach Daten nach der ersten Kompromittierung der Bank. Cyber-Kriminelle bewegten sich dabei in der Regel „seitlich“ innerhalb der von ihnen penetrierten Umgebung – auf der Suche nach wertvollen Informationen und anderen verwundbaren Systemen.

Netzwerksegmentierung zur Entflechtung sensibler Bereiche

Laut Thorsten Henning, „Senior Systems Engineering Manager Central & Eastern Europe“ bei Palo Alto Networks ließen sich durch Netzwerksegmentierung die Anmeldeinformationen, die kritischen Systeme für Geldtransfers und die Transaktionsprotokollierung vom restlichen Netzwerk einer Bank trennen. „Eine Kompromittierung an einer anderen Stelle würde die sensiblen Ressourcen nicht zugänglich machen“, erläutert Henning.
Ungewöhnlicher Netzwerkverkehr im Bereich dieser Segmente würde gestoppt werden. Malware-Analyse und Prävention am Netzwerkperimeter sowie intern an den Endpunkten könnten zudem „erste Kompromittierungsversuche abwehren und verhindern, dass schädlicher Code ausgeführt werden kann“, betont der IT-Sicherheitsexperte.

Next-Generation-Sicherheitsplattformen empfohlen

„Next-Generation-Sicherheitsplattformen“ unterstützten alle wichtigen Best-Practice-Maßnahmen und böten die nötigen Fähigkeiten zur Bedrohungsprävention in Banknetzwerken:

1. Netzwerksegmentierung schränke die seitliche Bewegungsfreiheit für Angreifer ein, die nach wertvollen Ressourcen innerhalb der Bankumgebung suchten.
2. Der Einblick in Anwendungen, Benutzer und Inhalte liefere normale Verkehrsmuster, so dass Anomalien leichter identifiziert und spezifische Maßnahmen, einschließlich „Whitelisting“, eingeleitet werden könnten.
3. SSL-Entschlüsselung durch die Plattform ermögliche die Inspektion verdächtiger, verschlüsselter Kommunikation, wodurch die Angreifer ihre Aktivitäten sonst verbergen könnten.
4. Eine Cloud-basierte, Sandbox-ähnliche Analyseumgebung untersuche unbekannte Malware und verteile nahezu in Echtzeit automatisch Schutzmaßnahmen, um die Sicherheitsteams bei der Bekämpfung hochentwickelter Cyber-Angriffe zu unterstützen.
5. Ein erweiterter Endpunktschutz, der Malware an deren Verhalten erkenne, stoppe Exploits und unbekannte Malware auf Servern, Workstations und Laptops, indem Exploit-Techniken an der Ausführung gehindert würden. Idealerweise arbeite der Endpunktschutz bei der Verarbeitung neuer Malware-Samples eng mit der Cloud-basierten, Sandbox-ähnliche Analyseumgebung zusammen.

Viele komplexe Bedrohungen, die sich gegen Finanzdienstleister richteten, nutzten zahlreiche Schritte in ihrem Angriffslebenszyklus. Die Sicherheitsplattform von Palo Alto Networks z.B. biete vielfältige Möglichkeiten, um jede Phase eines Angriffs zu behindern und so den Angriff zu vereiteln.

Weltweit die Sicherheit der Banken stärken und weiterentwickeln

Zusätzlich zu den bewährten Verfahren einer Sicherheitsplattform der nächsten Generation könnten Banken weitere Maßnahmen ergreifen. So habe SWIFT mehrere Schritte im Rahmen seines Kundensicherheitsprogramms zusammengestellt, um angesichts der zunehmenden Cyber-Bedrohungen weltweit die Sicherheit der Banken zu stärken und weiterzuentwickeln.
Dazu gehörten unter anderem das Teilen von nützlichen Informationen innerhalb der globalen Finanz-Community, das „Hardening“ von SWIFT-bezogenen Tools für Kunden, Audit-Frameworks, verstärkte Überwachung von Kundenumgebungen und „Best Practices“ für die Aufdeckung von Betrug.
Ziel der Aufsichtsbehörden und Branchenverbände weltweit sei es, Cyber-Angriffe, das Ausnutzen von Sicherheitslücken und unberechtigten Zugriff zu verhindern. Der U.S. Federal Financial Institutions Examination Council (FFIEC) habe im Juni 2016 in einem Statement zum Thema „Cybersecurity of Interbank Messaging and Wholesale Payment Networks” einige bekannte Maßnahmen bekräftigt, unter anderem:

1. Verwendung mehrerer Schichten von Sicherheitskontrollen.
2. Durchführung von laufenden Risikobewertungen zur Informationssicherheit.
3. Anpassung der Überwachung in Reaktion auf neu identifizierten Risiken und Gefahren.
4. Einrichtung einer Basisumgebung, um ungewöhnliches Verhalten erkennen.
5. Teilen und gemeinsame Nutzung von Informationen mit anderen Finanzinstituten.

Mehrschichtige Verteidigungsstrategie

„Next-Generation-Sicherheitsplattformen“ seien ein wichtiger Teil einer mehrschichtigen Verteidigungsstrategie. Finanzdienstleister weltweit nutzten diese bereits, um einen umfassenden Einblick in normale Verkehrsmuster zu gewinnen und ungewöhnliche Aktivitäten zu erkennen.
Als Mitglied des Financial Services Information Sharing and Analysis Center und Gründungsmitglied der Cyber Threat Alliance setze sich Palo Alto Networks für Zusammenarbeit und Informationsaustausch in der Cyber-Sicherheitsbranche ein, fasst Henning zusammen. Diese Zusammenarbeit sei auch in anderen Branchen notwendig, um effizienter auf Cyber-Attacken zu reagieren.

[datensicherheit.de, 28.05.2016] Laut einer aktuellen Mitteilung aus dem Haus Symantec soll die von Cyber-Kriminellen für den Angriff auf das internationale Zahlungsverkehrssystem SWIFT verwendete Schadsoftware auch für weitere Attacken auf Finanzeinrichtungen verwendet worden sein.

Vorfälle auf den Philippinen und in Vietnam

Die Sicherheitsexperten von Symantec haben nach eigenen Angaben Belege dafür gefunden, dass eine Bank auf den Philippinen von den gleichen Hintermännern gehackt worden ist, die auch für den 81 Millionen US-Dollar schweren Cyber-Bankraub in Bangladesch verantwortlich sind. Zudem werde ihnen ein Raubversuch von über eine Million US-Dollar bei der Tien Phong Bank in Vietnam zur Last gelegt.

Parallelen zu weiteren Fällen gefunden

Darüber hinaus habe Symantec Parallelen zu weiteren Fällen gefunden, in denen die verwendete Malware stets ähnlichen Mustern folge. Diese würden mit der „Lazarus“-Gruppe in Verbindung gebracht.

Weitere Informationen zum Thema:

Symantec Official Blog, 26.05.2016
SWIFT attackers’ malware linked to more financial attacks / Bank in Philippines was also targeted by attackers, whose malware shares code with tools used by Lazarus group.

[datensicherheit.de, 13.05.2016] Das internationale Zahlungsverkehrssystem SWIFT soll laut einer aktuellen Meldung von Splunk erneut Ziel eines Hacker-Angriffs geworden sein.

Weckruf für die gesamte Branche

„Das sollte ein Weckruf für die gesamte Branche sein“, betont Matthias Maier, „Security-Evangelist“ bei Splunk, in seinem Kommentar zu dem aktuellen Vorfall. Innerhalb weniger Wochen sei es jetzt zur nächsten Attacke auf die SWIFT-Systeme gekommen, ein weiteres Geldhaus sei zum Ziel eines Cyber-Bankraubs geworden. Erst im Februar 2016 sei auf ähnliche Weise die Zentralbank von Bangladesch um 81 Millionen Dollar erleichtert worden.

Speziell für Attacken entwickelte Schadsoftware

Anscheinend handele es sich nicht um isolierte Vorfälle, sondern um speziell für diese Attacken entwickelte Schadsoftware. Erfahrungsgemäß könnten solche Betrügereien nur mit Insiderwissen durchgeführt werden – schließlich bedürfe es einer genauen Kenntnis der Funktion der SWIFT-Software und des Ablaufs der damit verbundenen Prozesse, betont Maier.

Monitoring des Datenverkehrs erforderlich

Ein einfaches System-Monitoring bei der Bank hätte normalerweise bereits die Attacke am Server-Endpoint stoppen müssen, sagt Maier. Solche Systeme beobachteten abweichende Systemveränderungen in Echtzeit und schlügen Alarm. Andere, an das SWIFT-Netzwerk angeschlossene Banken wären gut beraten, die entsprechen Indikatoren des Überfalls mit den Daten ihres eigenen Netzwerks abzugleichen. „Mit dem Monitoring des Datenverkehrs können Banken mit wenig Aufwand sicherstellen, ob sie betroffen sind und wie sie am besten reagieren sollten“, sagt Maier.

[datensicherheit.de, 27.04.2016] Dieser Vorfall müsse Banken auf der ganzen Welt wachrütteln, sagt Matthias Maier, „Security-Evangelist“ bei Splunk. Es seien umfassende Untersuchungen nötig, da die Malware speziell für diesen Angriff entwickelt worden sei.

Umfassendes Wissen über Funktionsweise der SWIFT-Software

Der Entwickler der Schadsoftware scheine über umfassendes Wissen über die Funktionsweise der SWIFT-Software sowie über die dazugehörigen Geschäftsprozesse zu verfügen. Dies sei Grund zur Sorge, betont Maier.

Monitoring des IT-Systems hätte Angriff stoppen können

Allerdings hätte ein grundlegendes Monitoring des IT-Systems die Attacke am Server-Endpunkt stoppen können, denn Veränderungen im System wären in Echtzeit erfasst worden und hätten einen Alarm an die IT-Administratoren ausgelöst.

Gefahren-Indikatoren beachten

Laut Maier hat BAE Systems bekanntgegeben, welche Indikatoren im aktuellen Fall auf eine Gefahr hindeuten. Andere Banken, die ebenfalls Mitglied des SWIFT-Netzwerks sind, sollten nun diese Indikatoren mit Daten aus ihrer eigenen Umgebung vergleichen. So könnten diese herausfinden, ob sie ebenfalls betroffen sind und angemessen darauf reagieren.

Foto: BfDI

[datensicherheit.de, 08.03.2011] Laut einer Mitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) hat vor wenigen Tagen die Gemeinsame Kontrollinstanz von Europol den öffentlichen Teil ihres Kontrollberichts zur Umsetzung des SWIFT-Abkommens veröffentlicht. Der Kontrollbericht belege, dass entgegen den im Abkommen vorgesehenen Beschränkungen EU-Zahlungsdaten auf der Grundlage viel zu abstrakt und umfassend formulierter US-Ersuchen in die USA übermittelt worden seien:
Bereits der rudimentäre öffentliche Teil des Kontrollberichts bestätige seine Befürchtungen, so der Bundesdatenschutzbeauftragte, Peter Schaar. Er sieht massive Defizite und fordert, dass die politisch Verantwortlichen auf europäischer und nationaler Ebene umgehend für die Beseitigung der festgestellten Mängel sorgen müssten.
Unverständnis zeigt Schaar für die Geheim-Einstufung großer Teile des Berichts durch Europol. Er bewertet es äußerst kritisch, dass die geheimen Feststellungen der Öffentlichkeit und auch dem Europäischen Parlament nicht mitgeteilt werden sollen. Europol müsse im Interesse der EU-Bürger die strikte Beachtung der Beschränkungen und Verfahrensvorgaben durch die US-Anfragen gewährleisten. Dies sei nun nach den Feststellungen der Gemeinsamen Kontrollinstanz nicht der Fall. Europol ist nach dem Abkommen verpflichtet, alle US-Ersuchen auf die Beachtung dieser Beschränkungen und damit auf die Erforderlichkeit der Datenübermittlung zu überprüfen. Ohne die Zustimmung von Europol darf beispielsweise SWIFT keine EU-Zahlungsverkehrsdaten an die USA übermitteln. Europol habe aber jedem US-Ersuchen zugestimmt, die angeforderten Daten seien stets ohne Abstriche in die USA übermittelt worden. Diese Vorgehensweise sei mit dem Abkommen und der Europol dort neu zugewiesenen datenschutzrechtlichen Wächterfunktion nicht vereinbar. Nach Auffassung Schaars rückten die Kontrollergebnisse die bereits im Vorfeld des Abkommens kritisch gestellte Frage in den Blickpunkt, ob Europol die ihr zugewiesene Wächterfunktion überhaupt angemessen wahrnehmen könne und wolle.

Weitere Informationen zum Thema:

BfDI, 08.03.2011
SWIFT-Abkommen: Kontrollbericht belegt dringenden Handlungsbedarf

[datensicherheit.de, 15.06.2010] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar hat sich in jüngsten Stellungnahmen für den Datenschutz zugunsten redlicher Bürger eingesetzt:
So nannte er es insbesondere „unbefriedigend“, dass weiterhin sehr umfangreiche Daten, die „ganz überwiegend des Terrorismus unverdächtige und unschuldige Personen“ beträfen, in die USA übermittelt werden sollten – „nicht hinnehmbar“ sei, dass diese Daten in den USA regelmäßig fünf Jahre gespeichert bleiben sollten, so Schaar zum SWIFT-Abkommen. Die EU-Kommission und die USA hätten sich auf eine neue Vereinbarung zur Übermittlung europäischer Bankdaten in die USA verständigt, nachdem das Europaparlament einen ersten Entwurf im Februar 2010 mit großer Mehrheit wegen schwerwiegender datenschutzrechtlicher Bedenken abgelehnt hatte. Der von der EU-Kommission ausgehandelte Abkommensentwurf erfülle „nicht die datenschutzrechtlichen Mindestanforderungen“.
Schaar hat sich im Zusammenhang mit der möglichen Einführung einer PKW-Maut deutlich gegen den Gläsernen Aufofahrer ausgesprochen – wer seine Maut ordnungsgemäß bezahlt habe, über den dürften keine Daten gespeichert werden, die etwa für die Herstellung eines Bewegungsprofils missbraucht werden könnten. Bei der Festlegung der gesetzlichen Grundlagen sei zu gewährleisten, dass die bei der Mauterhebung anfallenden Daten über Position und Fahrtzeit ausschließlich unter der Kontrolle der Autofahrer stehen und nicht zentral registriert würden.
Weitere Informationen zum Thema:

BfDI, 15.06.2010
SWIFT – Nur kosmetische Änderungen reichen nicht aus!

BfDI, 15.06.2010
Schaar zur PKW-Maut: Nein zum gläsernen Autofahrer!

[datensicherheit.de, 01.12.2009] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, sieht nach der Billigung des SWIFT-Abkommens durch den Rat der Europäischen Justiz- und Innenminister am 30.11.2009 zahlreiche offene Fragen:
Die Vertreter der Kommission und des Rates hätten diese Fragen auch bei der Sitzung der Artikel 29-Gruppe der Datenschutzbeauftragten der EU-Mitgliedstaaten am 1. Dezember 2009 nicht befriedigend beantworten können.

Foto: BfDI

So stellt sich die Frage nach der Rolle des Europäischen Parlaments – Kommission und Rat legten Wert auf die Feststellung, dass dieses dem Abkommen noch zustimmen solle, obwohl es schon am 1. Februar 2010 vorläufig in Kraft tritt.
Auch die Öffentlichkeit der Vereinbarungen sei zu diskutieren – zwar habe der Rat das fertige Abkommen inzwischen auf seiner Website veröffentlicht; wichtige Aspekte würden jedoch in vertraulichen Zusatzvereinbarungen geregelt, die offensichtlich auf Dauer nicht öffentlich werden sollten. Wie aber könnten Parlamente, Öffentlichkeit, Banken und Betroffene erkennen, ob die Umsetzung des Abkommens rechtmäßig erfolge, wenn wichtige Rechtsgrundlagen geheim blieben, fragt Schaar.
Es sei zu befürchten, dass die Übermittlung einer Vielzahl von Daten über Zahlungsvorgänge mit nur marginalem, indirektem oder sogar nur mutmaßlichem Bezug zum „Terrorismus“ in die USA erfolgen werde. Viele dieser Daten würden voraussichtlich auch dann für mehrere Jahre gespeichert bleiben, wenn sich nach der Übermittlung keine ergänzenden und weiterführenden Anhaltspunkte für einen Terrorismusbezug ergäben.
Nach den Äußerungen von Regierungs- und Ratsvertretern sollten innereuropäische Überweisungen ausgenommen sein. Im Abkommen finde sich davon allerdings nichts. Offenbar enthielten die geheimen Zusatzdokumente entsprechende Festlegungen bezüglich SEPA. Demnach blieben aber sonstige innereuropäische und sogar innerstaatliche Überweisungsdaten im Zugriff von US-Behörden, die außerhalb von SEPA durch SWIFT abgewickelt würden.
Angeblich solle die Weiterleitung von Daten durch die US-Behörden an Drittstaaten außerhalb der EU ausgeschlossen sein – im Abkommen finde sich dazu allerdings keine Bestätigung.
Das Abkommen enthalte keine Regelungen zur Information der Bankkunden. Damit werde ein wesentlicher Datenschutzgrundsatz, die Transparenz der Datenverarbeitung, missachtet. Ebenso würden den Bankkunden Auskunftsrechte über die Daten vorenthalten.
Die Betroffenen hätten keine Möglichkeit, die Verarbeitung ihrer Daten durch US-Behörden vor US-Gerichten überprüfen zu lassen. Wie lasse sich dies mit den allgemeinen Grundsätzen des Rechtsstaats vereinbaren?

Weitere Informationen zum Thema:

BfDI , 01.12.2009
Finanzdaten/SWIFT – offene Fragen

datensicherheit.de, 01.12.2009
SWIFT-Abkommen mit USA durchgewinkt: Enthaltung der Bundesregierung bei Abstimmung / Auch der Bundesverband der Deutschen Industriewarnt warnt vor Wirtschaftsspionage

COUNCIL OF THE EUROPEAN UNION, 27.11.2009
COUNCIL DECISION on the signing, on behalf of the European Union, of the Agreement between the European Union and the United States of America on the processing and transfer of Financial Messaging Data from the European Union to the United States for purposes of the Terrorist Finance Tracking Program