5 Minuten Lesezeit Mit Insights von Dr. Raphael Reischuk Group Head Cybersecurity & Partner raphael.reischuk@zuehlke.com Durch die Öffnung ihrer Ökosysteme im Rahmen des offenen Bankwesens schaffen die Banken einen Mehrwert für ihre Kunden Gleichzeitig ziehen sie Hacker an Der Schutz der Vermögenswerte muss für die Banken oberste Priorität haben Offenes Bankwesen erfordert eine starke Cyber-Sicherheit, die auf einem mehrschichtigen Verteidigungssystem basiert Am „FinTech Forum 2019“ der FuW vom 14. März trafen sich die Experten der Schweizer Banking-Branche, um über die digitale Transformation im Finanzwesen zu diskutieren. Passend zum Motto „Beyond Banking“ durften wir die Cyber-Security-Aspekte im Open Banking beleuchten. Cyber Crime im Open Banking kann mit einer mittelalterlichen Burg verglichen werden: Der Angreifer versucht nicht nur, durch das Haupttor ins Innere einzudringen. Im Gegenteil, er kommt von mehreren Seiten gleichzeitig, er sucht die offenen Fenster, er baut sich Tunnels, er attackiert aus der Luft. Bis dato waren Banken standfeste Burgen, das Einnehmen war fast unmöglich. Im Rahmen von Open Banking öffnen Banken nun ihre Systeme und teilen Daten mit Drittanbietern – die Burgen öffnen das Tor für Angreifer. Cyber-Risiken im Open Banking Das Öffnen von Ökosystemen kennen wir bereits: Amerikanische Social-Media-Dienste wie Facebook und WhatsApp sind vorausgeschritten und gewähren seit längerer Zeit Einblicke in ihre APIs. Sie schaffen so Mehrwerte für ihre User, etwa neue Möglichkeiten, mehr Komfort und das Verbinden von Dienstleistungen. Allerdings haben Banken deutlich mehr schützenswerte Assets als Social-Media-Dienste. “Cyber Crime is the greatest threat to every company in the world” – Ginni Rometty, CEO und Präsidentin von IBM Ein Bericht der Cyber-Security-Firmen Carbon Black und Optiv Security vom März 2019 zeigt auf, dass Cyber-Attacken gegen Banken und Finanzinstitute erneut zugenommen haben: 67% der befragten Institute bestätigten eine Intensivierung von Cyber-Attacken in den vergangenen zwölf Monaten. Gleichzeitig geben die Angreifer weniger schnell auf: Bei 32% der Institute, die angegriffen wurden, liessen sich die Hacker durch Abwehrmassnahmen nicht abschrecken. Im Gegenteil, die Angreifer antworteten mit Gegenmassnahmen und versuchten, die Banken zu belagern. Assets als Magnet für Cyber Crime Transaktionsdaten im Open Banking verraten einiges über eine Person. Hackt sich jemand in das System, so kennt er meine Identität. Er sieht, wer ich bin: Ob und wann ich geheiratet habe, wie viel ich verdiene und wann ich meinen Arbeitgeber gewechselt habe. Er hat detaillierten Einblick in mein Vermögen. Der Angreifer kann meinen medizinischen Gesundheitsstatus erkennen – er sieht, wann ich beim Arzt war, welche Medikamente ich bei welchem Apotheker kaufe und wie oft ich diese benötige. Ernähre ich mich gesund? Wo kaufe ich ein? Mache ich Sport? Wie ist mein Transportverhalten? Wohin fahre ich in den Urlaub? Wie gross ist mein CO2-Fussabdruck? Banken verfügen über eine geballte Konzentration an Assets. Sie wissen viel über ihre Kunden und sollten diese Daten im positiven Sinne nutzbar machen. Fallen die Daten im Rahmen von Cyber-Attacken in falsche Hände, ist nicht nur der Nutzen weg, sondern auch der Ruf der Bank langfristig ruiniert. Der Reputationsschaden wäre irreversibel. Der moderne Bankräuber ist ein Hacker Der Bankräuber von früher, der den Tresor von Hand geöffnet hat, hat mit dem modernen Bankräuber nichts mehr gleich. Der Räuber von heute sitzt mit seinem Laptop auf einer Yacht, einem Sofa oder in einem Garten und hackt sich von dort aus bequem und unermüdlich in die Systeme von Banken. Er ist auf der Suche nach Geld, egal ob in Form von Dollar, Franken, Euro oder Kryptowährungen, Identitäten, die er im Darknet verkaufen oder für Social-Engineering-Angriffe verwenden kann, Daten, die er vielerorts monetarisieren kann, Störungsmöglichkeiten der Verfügbarkeit der Bank, um das operative Geschäft durch Denial-of-Service-Angriffe zu behindern und die Bank oder die Kunden und Partner später zu erpressen. Hacker probieren, von allen Seiten ins System einzudringen: Sie werden es etwa beim bankinternen Netzwerk, den Schnittstellen zu den Partnern im gleichen Ökosystem, den Endgeräten der Kunden und der Internetinfrastruktur probieren. 32% der Finanzinstitute, die für den Bericht von Carbon Black und Optiv Security befragt wurden, erlebten das sogenannte «Island Hopping» im vergangenen Jahr. Durch Open Banking steht das Tor zur Burg offen, wenn auch nur einen kleinen Spalt. Wie können Banken ihre Assets trotzdem wirkungsvoll schützen? Wirkungsvolle Cyber Security im Open Banking Sich lediglich gegen Cyber-Attacken zu versichern, ist der falsche Ansatz. Der Nahrungsmittelkonzern Mondelez hatte sich in den USA mit einer Deckungssumme von 100 Millionen Dollar gegen Ausfälle der IT-Systeme versichert. Trotzdem weigert sich der Versicherer, Zurich, den Schaden zu übernehmen, der Mondelez aufgrund einer «NotPetya»-Cyber-Attacke zu beklagen hat. Die Begründung: Die Attacke wäre eine „feindliche und kriegerische Handlung“. Mondelez hat nun Klage gegen Zurich eingereicht. Der Fall könnte zum Präzedenzfall für Versicherungen von Cyber-Attacken werden. Eine wirkungsvollere Cyber Security erreichen Banken durch ein Multi-Layer-Defense-System, bestehend aus diversen Komponenten: Sensibilisierung: Bei Kunden, Mitarbeitenden, der IT und Partnern sollte Awareness für Cyber Crime geschaffen werden. Ausbildung: Nicht nur die IT, auch Kunden und Mitarbeitende sollten in Bezug auf Cyber Security geschult werden. Risikomanagement: Assets, Threats und Prozesse sollten analysiert und ein entsprechendes Risikomanagement eingesetzt werden. Krisenmanagement und Recovery: Eine funktionierende Vorfallbewältigung sollte geplant, implementiert und getestet werden. Pentesting: Sowohl die IT wie auch die Prozesse sollten Penetrationstests ausgesetzt werden, um so mögliche Schwachstellen zu ermitteln. Eine funktionierende Cyber Security im Open Banking wird nur erreicht, wenn alle Teilnehmende des Ökosystems ihren Beitrag leisten: Vom Kunden und Berater über die API-Partner bis hin zu Mitarbeitenden und der IT. Zentraler Dreh- und Angelpunkt dabei ist die nötige Awareness. Warum nicht heute mit der Security-Ausbildung der eigenen Mitarbeitenden beginnen? Gern helfen wir Ihnen beim Aufbau einer nachhaltigen Awareness-Strategie. Der Schlüssel, um Unternehmen in der vernetzten und digitalen Welt vor Datenmissbräuchen und Sicherheitsrisiken zu schützen, ist Cyber Security. Doch wie sieht die Gestaltung einer zuverlässigen Security-Strategie aus? Häufig gestellte Fragen zu Cyber Security finden Sie auf unseren FAQ Seiten. Erfahren Sie mehr darüber, wie Sie ihre digitale Zukunft sicher gestalten können Ansprechpartner für die Schweiz Dr. Raphael Reischuk Group Head Cybersecurity & Partner Raphael Reischuk ist Autor zahlreicher wissenschaftlicher Publikationen in verschiedenen Bereichen der IT-Sicherheit und Kryptographie, für die er mehrfach ausgezeichnet wurde. So wurde Raphael im Jahr 2021 von BILANZ und der Handelszeitung zu einem der Top 100 Digital Shapers in Switzerland ernannt. Raphael Reischuk ist Mitglied mehrerer internationaler Programmkomitees für Informationssicherheit und Vizepräsident des Cybersicherheitskomitees von digitalswitzerland; er ist Mitgründer und Vorstandsmitglied des Schweizerischen Nationalen Prüfinstituts für Cybersicherheit (NTC). Er ist seit 2017 bei Zühlke und leitet als Group Head den Bereich Cybersecurity mit Expertise in verschiedenen Branchen. Als erfahrener Informationssicherheitsexperte ist er angetrieben von Neugier, Innovation, Technologie, Engagement und einem starken Business-Fokus. Kontakt raphael.reischuk@zuehlke.com +41 43 216 6611 Schreiben Sie uns eine Nachricht You must have JavaScript enabled to use this form. Vorname Nachname E-Mail Telefonnummer Message Absenden Bitte dieses Feld leer lassen Schreiben Sie uns eine Nachricht Vielen Dank für Ihre Nachricht.