Professionalisierung auf Täterseite
Während die wenigen Angreifer von vor zehn Jahren noch mit Technologieaffinität, Entdeckertum und einer guten Portion krimineller Energie ausgestattet waren, stehen mittlerweile zunehmend unternehmerische Strukturen bis hin zu staatlichen Institutionen hinter diesen Attacken. Dabei beschränkt sich die Tätigkeit der Hacker nicht mehr nur auf das bloße „Ausspähen“ von Kontonummer, Kreditkarten und Onlinebanking-Zugangsdaten – diese werden bereits heute zuhauf für kleines Geld im Netz zum Kauf angeboten. Vielmehr hat sich eine kollaborative Szene etabliert, in der jeder Angreifer ohne das nötige technische Know-how die Dienstleistungen erwerben kann, die er für sein potenzielles Angriffsziel benötigt.
Die Professionalisierung der Angreifer verändert auch die Frontlinie, an der attackiert wird. Nicht mehr antiquierte Schnittstellen von IT-Systemen stehen im Fokus der Attacken, sondern vor allem auch Organisationsstrukturen und Mitarbeiter. Denn während inzwischen in vielen Organisationen mit Hochdruck an der Sicherung der IT-Systeme gearbeitet wird, wird die turnusgemäße Überprüfung organisatorischer Abläufe oftmals vernachlässigt. Die Konsequenz: Finden Hacker IT-seitig kein passendes Einfallstor, lenken sie ihre Attacken auf Mitarbeiter und Prozessabläufe in Abteilungen. Unterstützt werden die Hacker noch dadurch, dass eine Vielzahl von Prozessen mittlerweile semiautomatisch abläuft: Gelingt es den Angreifern, in einem frühen Prozessschritt eine „faule“ Zahlungsanweisung in der Buchhaltung einer Bank zu platzieren, erfolgt „hinten“ automatisiert die Auszahlung.
Dabei sollte nicht übersehen werden, dass sich Cyber-Kriminelle mittlerweile auch den Slogan „Think big“ auf die Fahne geschrieben haben und Attacken das Abschöpfen dreistelliger Millionenbeträge forcieren. Vor dem Hintergrund dieser Größenordnungen ist es nicht unmöglich, genaue Kenntnisse interner Abläufe und Verantwortlichkeiten zu „kaufen“. Die Frage, an wen sich mit diesem Kaufgesuch zu wenden ist, beantworten mit wenigen Klicks Facebook, XING, LinkedIn & Co. Ist der potenzielle Insider nicht käuflich, helfen das systematische Ausspionieren des persönlichen Umfelds und das Vortäuschen von Identitäten – sogenanntes „Social Engineering“ – bei der gezielten Akquise von internem Wissen.
Dass sich solch eine Attacke nicht innerhalb von Minuten, Stunden oder Tagen vorbereiten lässt, klingt einleuchtend: Wesentliches Merkmal der professionalisierten Cyberkriminalität sind umfassende Vorbereitungen, die unter Umständen sogar Jahre dauern können. Größtes Augenmerk in der Vorbereitung wird auf die Generierung von Insiderwissen gelegt. Auf dieser Basis kann dann – unter Berücksichtigung von Schwachstellen in der IT – eine dedizierte Angriffsstrategie entwickelt werden. Der „virtuelle Bankraub“ erfolgt dann innerhalb weniger Sekunden oder Minuten. Hat die Beute einmal mit dem Fluchtfahrzeug „Überweisung“ den SEPA-Raum verlassen, steigt die Schwierigkeit, das Geld zurückzuholen. Dabei terminieren die Angreifer ihre Attacken so, dass Unterschiede in den Zeitzonen, Bankfeiertage und Wochenenden sowie laxe politische Rahmenbedingungen ihnen genügend Zeit und Möglichkeiten geben, Spuren zu verwischen und Gelder verschwinden zu lassen.
Zur Absicherung einer Bank gegen Cyberkriminalität kursieren inzwischen vielfältig Ansatzpunkte und Handlungsfelder. Die folgenden Ausführungen konzentrieren sich auf zahlungsrelevante Geschäftsprozesse und damit auf den Teil der Risikolandkarte, der ganz wesentlich durch die Mitarbeiter bestimmt wird.
MaRisk ungenügend zur Vorbeugung von Cyberkriminalität
Mit den „Mindestanforderungen an das Risikomanagement (MaRisk)“ stellt die BaFin – beispielsweise unter AT 4.3 – umfangreiche Anforderungen an Prozesse, Verantwortlichkeiten und Kontrollen. Die MaRisk beschreiben zwar wesentliche Rahmenbedingungen, doch oftmals liegt die Krux bei der Cyberkriminalität im Detail. Die Erfüllung der MaRisk impliziert damit insbesondere bei den eigenen Zahlungsprozessen nicht, ein hohes „State of the Art“-Sicherheitsniveau erzielt zu haben. Hinreichende Sicherheit kann nur eine tiefer gehende Analyse der Einfallstore liefern, um die erforderliche Sicherheit möglich zu machen. Was sind die Implikationen für die Abteilungen eines Kreditinstituts, die Zahlungen „nach außen“ beauftragen, prüfen oder genehmigen?
Kontrollen automatisieren – verbleibende Überwachungstätigkeiten umso gewissenhafter ausüben
Dass ausgehende Zahlungen zu kontrollieren sind, klingt zunächst einleuchtend. Wer überweist privat schon gern Geld, ohne mindestens zweimal Betrag und IBAN des Empfängers geprüft zu haben? Banken, die in Summe mehrere tausend Überweisungen pro Tag ausführen müssen, haben es da etwas schwerer. Wie soll bei diesen Mengengerüsten überprüft werden, welche Überweisung von einem Hacker oder seinem Helfershelfer im „virtuellen Überweisungsstapel“ platziert oder manipuliert wurde? Um zu einem schlüssigen Kontrollkonzept zu gelangen, hilft es, zwischen Prozessen mit hoher und niedriger Frequenz zu unterscheiden.
Insbesondere Zahlungsprozesse mit hoher Frequenz sind geeignet, deren Abwicklung durch Automatisierung zu unterstützen – auch im Kontrollumfeld. Die Kontrolle der Formatierung von Zahlungsverkehrsnachrichten, die über das SWIFT-Netzwerk abgewickelt werden, lässt sich beispielsweise weitestgehend automatisieren. Aufwändiger im Gegensatz dazu ist die Implementierung von „Fraud Detection“-Funktionalitäten – also einer intelligenzbasierten Kontrolle mit dem Ziel, Auffälligkeiten in einer Zahlungsanweisung zu erkennen, wie Zahlungen eines Kunden in ungewöhnlicher Höhe, zu ungewöhnlichen Zeitpunkten oder an ungewöhnliche Endbegünstigte. Werden Kontrolltätigkeiten in einem Hochfrequenzprozess automatisiert, verbleibt i. d. R. eine geringe Anzahl manueller Kontrollen – die Entscheidung, ob trotz fehlender Kontodeckung eine Zahlung ausgeführt werden sollte, muss der Experte aus der Kreditabteilung selbst prüfen.
Grundsätzlich gelten für diese verbleibenden manuellen Kontrollen die gleichen Anforderungen, die an Kontrollen innerhalb von Prozessen mit niedriger Frequenz gestellt werden. In diesen Prozessen sollten die Kontrollen alle Prozessschritte umfassen. Integraler Bestandteil ist die Anwendung eines Vier-Augen-Prinzips, wobei sich eine Trennung der Kontrolle nach Verantwortungsbereiche – beispielsweise Treasury und Compliance – empfiehlt. Werden von einem Mitarbeiter Daten für eine Korrekturbuchung im Zahlungssystem erfasst, ist es ebenfalls ratsam, wenn die zweite Kontrolle nicht durch Datenabgleich, sondern erneute Erfassung und automatisierten Abgleich der doppelt erfassten Datensätze erfolgt.
Dabei sollten die Kontrollen einschließlich der Kontrollziele detailliert beschrieben und integraler Bestandteil eines systematischen Führungsprozesses sein, um das Bewusstsein der Mitarbeiter für Kontrollschritte – gerade auch im Zusammenhang mit hochfrequenten Prozessen – stets auf einem Niveau hinreichender Sicherheit zu halten.
Mögliche Workarounds definieren und prüfen sowie jede Abweichung nach oben eskalieren
Ein Kunde muss kurzfristig Geld an einen Lieferanten überweisen, aber das System der Bank streikt – eine Konstellation, die durchaus im Bankenalltag vorkommen kann. Der Standardprozess – dessen Kontrollen umfänglich dokumentiert sind – hilft hier nicht weiter. Einzige Lösung: Ein Workaround, der mittels Hintertüren Prozess- und Kontrollschritte überspringt und Eingaben direkt im Zahlungsprogramm zulässt. In solchen Situation übt der Kunde Druck aus, was den Stresspegel des zuständigen Mitarbeiters in die Höhe treibt. Die Folge: Kontrollen werden zugunsten der Kunden-Convenience kurzfristig außer Acht gelassen.
Cyberkriminelle wissen das und haben daraus ein Angriffsszenario konzipiert: Mit eingekauftem technischen Know-how und Insiderwissen werden Systeme gezielt gestört und fehlende Kontrollprozeduren im Workaround ausgenutzt. Auch die vermeintliche E-Mail aus dem Vorstand mit höchster Priorität, die zur zügigen Ausführung einer außergewöhnlichen Zahlung aufgrund eines „kurzfristigen Unternehmenskaufs“ auffordert, zielt auf das Aushebeln bestehender Kontrollstrukturen ab. Und selbst, wenn die Bank bereits potenzielle Workarounds identifiziert und dokumentiert hat: Die Anzahl möglicher Störungen ist zu hoch, um wirklich jede Routine auf den Prüfstand zu stellen. Die Folge ist eine Handlungsbreite in den Prozessen, die Cyberkriminelle nur liebend gern zu ihrem eigenen Vorteil ausnutzen.
Was also tun? Die Antwort: Elementare Workarounds dokumentieren, überprüfen und Abweichungen vom Workaround gemäß eines vordefinierten Eskalationsprozesses nach oben eskalieren. Das bedeutet unter Umständen Verzögerungen in der Ausführung des Kundenauftrags, bis der Abteilungsleiter zugestimmt hat. Dieser wirtschaftliche Schaden steht aber in keinem Verhältnis zum Schaden einer erfolgreichen Cyberattacke.
Implementierung von einer Zwei-Faktor-Authentifizierung in zahlungsgenerierenden Prozessen
Die Zahlungsabteilung einer Bank bearbeitet auch interne Buchungen – beispielsweise zur Bezahlung von Rechnungen, Steuern und Gehältern. In den Standardprozessen wie auch Workarounds, die diese Abteilung betreffen, kommt der Autorisierung von Zahlungsanweisungen eine zentrale Bedeutung zu: Wer darf eine Zahlung freigeben? Zahlungen bis zu welcher Höhe darf diese Person freigeben? Dies ist insbesondere in komplexen Organisationsstrukturen von Bedeutung, wenn die autorisierenden Verantwortlichen nicht mehr unmittelbar in der ausführenden Abteilung beschäftigt sind.
Vielfach erfolgt diese Tätigkeit noch sehr „analog“ und damit seit Jahrzehnten unverändert: Zahlungen werden durch zwei Unterschriften freigegeben und von der auszahlenden Stelle mittels Vergleich mit einer Referenzunterschrift auf ihre Korrektheit hin geprüft – daraus ergeben sich gleich mehrere Einfallstore für Kriminelle. Liegen die Unterschriftsvorlagen in Papierform innerhalb der Abteilung vor, sind diese möglicherweise nicht ausreichend vor dem Zugriff Unbefugter gesichert. Auch ist die Aktualisierung dieser Unterschriftensammlung kaum zuverlässig zu gewährleisten, wenn Zeichnungsberechtigte den Verantwortungsbereich wechseln oder das Unternehmen gar verlassen. Hinzu kommt, dass vielfach Unterschriften von Vorständen und Geschäftsführern öffentlich verfügbar sind, wenn diese beispielsweise in Firmenreports veröffentlicht werden.
Die Autorisierung von Zahlungen mittels Unterschrift ist damit überholt. Aus Expertensicht sind drei Faktoren geeignet, um eine „sichere“ Autorisierung durchzuführen:
- Besitz: Der Besitz eines „Gegenstands“, den nur eine Person besitzen kann, beispielsweise ein Token oder eine Chipkarte.
- Wissen: Hierzu zählt typischerweise ein Kennwort oder eine Sicherheitsabfrage.
- Biometrik: Ein körperliches und einmaliges Merkmal, wie beispielsweise ein Fingerabdruck.
Gemäß „Bundesamt für Sicherheit in der Informationsverarbeitung“ (BSI) gilt ein Authentifizierungsverfahren dann als sicher, wenn mindestens zwei von drei dieser Faktoren umgesetzt wurden. Was bedeutet das konkret für die Zahlungsfreigabe in der Bank? Eine Lösung könnte beispielsweise ein kennwortgeschützter Token sein, der einen einmaligen PIN erzeugt, mit der die Zahlung – anstelle der Unterschrift – autorisiert wird. Weniger sichere Formen der Authentifizierung sollten konsequent aus Zahlungsprozessen verbannt werden.
Überwachung der Gültigkeit von Zugriffsrechten und zeitnahe Anpassung bei Änderungen durch Abteilungswechsel oder Ausscheiden
Ein Mitarbeiter der Zahlungsabteilung einer Bank wechselt die Abteilung. Was passiert mit seinen Zugriffsrechten für das Zahlungssystem? Nichts – vergleichbar mit den Unterschriftenvorlagen werden in vielen Organisationen auch die Zugriffsrechte der Mitarbeiter nicht systematisch „real time“ überwacht und Monitoringaktivitäten nur im Jahresrhythmus wahrgenommen – trotz der Verantwortung von Vorgesetzten. Dabei ist das sich daraus ergebene Risiko groß – Personen, die eigentlich nicht mehr für die Zahlungsfreigabe verantwortlich sind, können von Cyberkriminellen instrumentalisiert werden und so erhebliche Schäden verursachen.
Wie kann diese Lücke geschlossen werden? Üblicherweise läuft mit dem Ausscheiden oder Stellenwechsel eines Mitarbeiters ein hochverbindlicher Prozess ab. Trigger ist oftmals der HR-Bereich, der für die taggenaue Zuordnung der Personalkosten zu Kostenstellen verantwortlich ist. Ziel sollte es sein, alle verbindlichen Prozesse im Zusammenhang mit der veränderten Stellenbesetzung – und damit auch die Veränderung der Zugriffsrechte – hinsichtlich der Verantwortlichkeiten zu bündeln, um so eine deutliche höhere Zuverlässigkeit zu erreichen.
Mindestens ebenso kritisch sind die Zugriffsrechte von vorübergehend bzw. zeitweise eingesetzten externen Mitarbeitern zu sehen. Während bei vorübergehendem Einsatz üblicherweise noch (mehr oder weniger diszipliniert eingehaltene) Regelungen zum Entzug der Zugriffsrechte vorliegen, ist die Behandlung der Zugriffsrechte von zeitweise und damit wiederholt eingesetzten externen Mitarbeitern oftmals ungeregelt. Da ihr Einsatz gerade in größeren Organisationen in die Verantwortung vieler Führungskräfte fällt, ergibt sich ein Risiko, welchen ggf. nur mit einer „Totmann-Schaltung“ begegnet werden kann, bei der Zugriffsrechte regelmäßig wieder beantragt werden müssen, um nicht automatisch entzogen zu werden.
Sensibilisierung der Kunden und der Schnittstelle zu eigenen Systemen
Eine Kette von Sicherungsmaßnahmen ist nur so stabil, wie ihr schwächstes Glied. Oftmals haben Geschäftspartner über Schnittstellen bzw. Schnittstellensysteme Zugriff auf relevante Zahlungsinformationen, wie beispielsweise die Eingabe bzw. Übertragung von SWIFT-Nachrichten. Zugriffsrechte und Zugangsdaten seitens der Mitarbeiter aufseiten der Geschäftspartner bekommen damit eine zentrale Bedeutung. Dabei werden erfahrungsgemäß gerade Zugangsdaten zu Fremdsystemen, also Systemen eines Geschäftspartners deutlich nachlässiger gesichert, als Zugangsdaten zu unternehmenseigenen Systemen. Kennwörter in offenen Schubladen oder an Whiteboards, die zum Zugang in Drittsysteme genutzt werden, sind leider die Regel.
Ergo muss die Bank über die eigenen Unternehmensgrenzen hinweg auf Geschäftspartner einwirken, die Zugangsdaten zu eigenen Systemen zuverlässig zu sichern. Gleichzeitig sind insbesondere in der Datenüberahme von Geschäftspartnern automatisierte Kontrollen zu installieren, die Abnormitäten erkennen und tieferen Kontrollen zuleiten.
Kundenstammdaten mit unterschätzter Relevanz im Zahlungsprozess
Nur mittelbar wirken die Stammdaten auf die Sicherheit der Prozesse ein. Gerade daraus ergibt sich jedoch ein zentrales Risiko. Bank- bzw. Kunden- und Lieferantenstammdaten werden üblicherweise nicht in den auszahlenden Organisationseinheiten gepflegt und unterliegen oftmals nicht ähnlich genauen Kontrollen, denen Zahlungsprozesse unterliegen.
Gleichzeitig setzen die Zahlungsprozesse jedoch auf diesen Stammdaten auf – und übernehmen diese oftmals ungeprüft. Eine Manipulation der Stammdaten kann daher unmittelbar zu einer Manipulation der Zahlungsprozesse führen, ohne dass dies bemerkt wird.
Demzufolge sind an die Anlage und Pflege relevanter Stammdaten (sowie an die in diesen Prozessen beteiligten Mitarbeiter) konsequent die gleichen hohen Sicherheitsstandards anzulegen, wie an die zahlungsrelevanten Prozeduren und Mitarbeiter.
Die Vielzahl möglicher Schwachstellen sowie der zunehmende Handlungsdruck durch die Professionalisierung der potenziellen Angreifer beantworten von selbst die Frage, ob eine Bank aktiv werden muss. Vielmehr stellt sich die Frage, „wo“ eine Bank zunächst aktiv werden muss, wie also die Sicherungsmaßnahmen sinnvoll priorisiert werden sollten, um einer klassischen Risikobewertung folgend Schwachstellen abzubauen.
Aller Anfang ist schwer – aber im Anfang liegt auch die Erkenntnis
In der Presse häuft sich die Berichterstattung über Schadensfälle. Somit ist es nur nachvollziehbar, dass der Risikovorstand einer Bank hier nach „Quick Wins“ verlangt – und das möglichst schon gestern. Welches Vorgehen ist also sinnvoll, um möglichst zielgerichtet Schwachstellen und Risiken in Zahlungsprozessen zu erkennen, ohne sich mit enormem Aufwand durch das Dickicht der Gesamtprozesslandschaft zu schlagen?
Die zeb-Projekterfahrung zeigt, dass bereits durch detaillierte Untersuchung eines geeigneten Pilotprozesses wesentliche Schwachstellen aufgedeckt werden können, die mit hoher Wahrscheinlichkeit auch für weitere Zahlungsprozesse im Kreditinstitut gelten. Schwächen in Workarounds, Zugriffsrechten oder Autorisierungsverfahren sind leider oft „gelebte Standards“ in einem Institut, geschuldet einer sich mit der Zeit einstellenden Betriebsblindheit.
Die Pilotierung mittels eines Pilotprozesses ist aber nicht nur hinsichtlich der Entdeckung von Schwachstellen hoch effizient. Vielmehr kann auf Basis dieser Untersuchungsergebnisse ein zielgerichtetes und damit wirtschaftliches Vorgehen für die weiteren zahlungsrelevanten Prozesse festgelegt werden.
Nach welchen Kriterien sollte also der Pilotprozess ausgewählt werden, um den größtmöglichen Nutzen zu generieren? Folgende Charakteristika sollten bei der Auswahl des Pilotprozesses berücksichtigt werden:
- Über den Prozess werden (auch) Zahlungsverkehrsnachrichten abgewickelt, die Zahlungen (auch) an Nichtbanken ermöglichen.
- Der Prozess wird von mehreren IT-Systemen unterstützt und kombiniert automatisierte Prozessschritte mit voll automatisierten Abläufen.
- In den Prozess sind unterschiedliche Abteilungen der Bank eingebunden; neben dem Zahlungsverkehrsnetzwerk sind noch zusätzliche externe Systeme angebunden.
- Die Zahlungen in diesem Prozess erreichen regelmäßig eine relevante und damit für Cyberkriminelle attraktive Höhe.
- Der Prozess wird aufgrund seiner Relevanz für das Kundengeschäft und damit den Gesamterfolg der Bank auch dann über einen Workaround betrieben, wenn Störungen die Abwicklung über die Standardprozeduren verhindern.
Wurde ein Prozess mit diesen Charaktereigenschaften ausgewählt, muss die Untersuchung End-to-End erfolgen, d. h. vom Auslöser des Prozesses (z. B. Eingang des Kundenauftrags via E-Mail/Fax) bis zur abschließenden Zahlungsbestätigung. Damit ist diese Art der Untersuchung aufgrund ihrer Tiefe aufwendiger als die klassische Prozessoptimierung. Denn während sich die Prozessoptimierung um Standardisierung bemüht, betrachtet diese Form der Untersuchung insbesondere auch alle Varianten der „Nicht-Standards“. Da die Schadenshöhe einer erfolgreichen Attacke aber in einem völlig anderen Dimensionsbereich liegt, ist das Investieren von Budget und Ressourcen in diese tief gehende Form der Prozess- und Risikoanalyse aber zweifellos das vertretbarere und kleinere Übel.
