Gäbe es einen Award für die Branchen mit den meisten Hackerangriffen, würde der Finanzsektor wohl mit auf dem Siegertreppchen stehen. Finanzdienstleister sollten auf der Hut sein, um gegen Taktiken, Techniken und Prozeduren der Cyberkriminellen gewappnet zu sein.
Als Angriffsziel sind und bleiben Finanzdienstleister sehr attraktiv: Sie speichern personenbezogene Daten, übernehmen eine wichtige Funktion in der Infrastruktur eines Landes und verfügen über scheinbar hohe finanzielle Mittel. Laut IBM-Report werden nur noch das Gesundheitswesen und die Industrie häufiger angegriffen. Die Zahl an Hackerangriffe die Erpressungen oder illegale Transaktionen zur Folge hatten, stieg alleine im Jahr 2015 um 80 Prozent.
Der Finanzsektor ist unter kriminellen Hackern äußerst beliebt. Um sich wehren zu können, sollten Sie Ihren Feind und seine Strategien kennen. Foto: Elnur - shutterstock.com
Tipps und Lösungen für mehr Cybersicherheit gibt es zur Genüge. Als erster Schritt empfiehlt es sich jedoch immer, ein grundlegendes Verständnis für Bedrohungen und Akteure zu gewinnen. Welche kriminellen Hackergruppen haben es besonders auf welche Dienstleister abgesehen? Welche Ziele verfolgen die Internetkriminellen? Und welche Methoden wenden die Hacker an? Sind diese Fragen geklärt, lassen sich digitale Risiken besser eingrenzen und entsprechende Sicherheitsstrategien aufstellen.
Hacks bei Finanzdienstleistern und die Motivation dahinter
In den vergangenen Jahren verzeichnete eine Vielzahl von Erpressungen in Form von DDoS-Angriffen (Distributed Denial of Service), die insbesondere den Gruppen "DD4BC" (DDoS for BitCoins) und "Armada Collective" zugeschrieben werden. Hinzu kamen Trittbrettfahrer wie "Kadyrovtsy" und "vimproducts". DDoS-Attacken zielen üblicherweise darauf, geschäftskritische Websites (zum Beispiel Onlinebanking-Seiten) lahmzulegen und damit die Zahlungsbereitschaft der Opfer zu erhöhen.
Eine relativ neue Masche ist es, nicht nur die Unternehmen, sondern auch deren Kunden zu erpressen und damit gleich doppelt abzusahnen. So geschehen bei einem Datenleak der Valartis Bank in Liechtenstein: Hacker kontaktierten die Kunden direkt und boten an, die persönlichen Daten gegen Bezahlung nicht weiter zu verbreiten.
Ähnlich perfide arbeitet auch Ransomware. Spam-Emails, infizierte Email-Anhänge und Exploit Kits (z. B. RIG oder Sundown) gehören nach wie vor zu den Klassikern, über die Malware auf Systeme gelangt. In Zukunft wird es jedoch auch hier nicht nur Nachahmer, sondern auch zielgenauere Verbreitungsmethoden geben. Angetrieben wird diese Entwicklung von dem Erfolg neuer Ransomware-Varianten wie SamSam, das ungepatchte Server-Schwachstellen ausnutzt. Zudem senkt die wachsende Zahl von Ransomware-as-a-Service-Angeboten die Hemmschwelle für Cyberangriffe dieser Art.
Ransomware-Opfer: Die Ziele der Hacker
Notfall- und Rettungsdienste Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen.
Der Durchschnittsuser Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält.
Unternehmen Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen.
Strafverfolgungs- und Regierungsinstitutionen Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen.
Gesundheitswesen Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten.
Bildungseinrichtungen Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen.
Religiöse Institutionen Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen.
Finanzwesen Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.
Eine spezielle Taktik von Cyberkriminellen stellen Business Email Compromise (BEC) dar. Hacker nutzen dabei zum Beispiel die Abwesenheit von Mitarbeitern oder Geschäftsführern, um an Firmengelder zu gelangen. Dazu verändern die Kriminellen E-Mail-Adressen und Domain-Namen oder verwenden geleakte Login-Daten von Mitarbeiterkonten. Auch wenn die Finanzdienstleistungs-Branche nicht im Fokus von BEC-Angriffen steht, sind Vorfälle wie bei Tillage Commodities Fund und der Pomeroy Investment Corp. ein deutliches Warnzeichen und mahnen zur Wachsamkeit.
Ein Trend geht auch zu Bank-Trojanern, die beispielweise Browser manipulieren und Bankkunden auf gefälschte IP-Adressen lotsen. Loggen sich die Anwender auf dieser Seite, fallen die Zugangs- und Bankdaten automatisch in die Hände der kriminellen Hacker. Bekannt geworden sind in diesem Zusammehang die Namen TrickBot, GozNym und Panda. Sie zeigen eine kontinuierliche Weiterentwicklung und gewinnen mit jeder neuen Version an Komplexität. Lag der Aktivitäts-Fokus der Malware im vergangenen Jahr in erster Linie auf Asien und Australien, kommt sie mit entsprechenden Sprachanpassungen nun auch nach Europa.
Bei Hackerangriffen geht es nicht immer um's Geld
Nicht immer sind die Motive für Hackerangriffe finanzieller Natur. Im letzten Jahr steckten hinter den Angriffen auch politischer Aktivismus, ideologisch gefärbte Aktionen sowie das nachrichtendienstliche Sammeln von Informationen.
Die größten Hacks 2016
US-Demokraten Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
Die Beweggründe für Hacktivismus sind höchst unterschiedlich - von Anti-Korruptions-Kampagnen über religiös und politische Motive bis hin zu Umweltbelangen und vermeintlichen Menschenrechtsverletzungen. DDoS-Angriffe sowie das Verunstalten von Websites (Website Defacement) und Daten-Leaks von Unternehmen und Organisationen gehörten 2016 zu den häufigsten Mitteln der Hacktivisten. Ein bekanntes Beispiel waren die Online-Attacken OpNoDAPL, die sich gegen den umstrittenen Bau der Dakota Access Pipeline (DAPL) in den USA richteten. Auch Banken finden sich häufig auf Angriffslisten, vor allem wenn sie für bestimmte Finanzierungstätigkeiten und Projekte verantwortlich gemacht werden.
Ideologisch motiviert war 2016 auch der Sensations-Leak "Panama Papers" und die Veröffentlichung von Finanzdaten und Anwalt-Mandanten-Beziehungen von mehr als 210.000 Offshore-Unternehmen. Als Beweggrund für den Datendiebstahl gab Whistleblower "John Doe" Einkommensungleichheit an. So lange Finanzinstitutionen mit Korruption und gesetzwidrigen Verhalten in Verbindung gebracht werden, so lange bleibt auch die Gefahr eines Insiders bestehen, der sensible Unternehmensdaten preis gibt.
Cyber-Spionage in der Finanzdienstleistungsbranche verläuft dabei weniger öffentlichkeitswirksam. Ziel von Kampagnen wie Patchwork (auch bekannt als Dropping Elephant) und OilRig ist es, Informationen zu sammeln und dabei so verdeckt wie möglich zu agieren. Finanzinstitute rücken ins Visier der Angreifer, um an strategisches oder wirtschaftlich relevantes Insiderwissen zu gelangen - auch von konkurrierenden Staaten. Als beliebteste Tools werden Social Engineering und Spear Phishing genutzt, die kontinuierlich weiter entwickelt werden.
Die Finanzbranche muss in Sachen IT Security weiter aufrüsten
Welche Motive auch immer hinter einem Hackerangriff stecken, die Folgen sind meist weitreichend. Finanzdienstleister, Kunden, Branche und Staat nehmen gleichermaßen Schaden. Banken, Versicherungen und Finanzdienstleister sind daher gut beraten, weiter in Schutzmaßnahmen und Lösungen zur Risikobegrenzung zu investieren. Zu wissen, was die Branche in Zukunft zu erwarten hat, ist dabei ein hilfreicher erster Schritt.