Eine aktuelle Studie von Mastercard stellt fest: Nicht alle Schweizer Finanzunternehmen schützen sich bisher ausreichend.
Die stark wachsende Zahl von Cyberattacken unterstreicht die Wichtigkeit wirkungsvoller Abwehr-Massnahmen, um Angreifer in Schach zu halten. Das gilt für alle Unternehmen, insbesondere für Finanzdienstleister – die Finanzbranche ist für Hacker ein attraktives Ziel.
Die Bedrohungslage in Zahlen und die Kosten bei Vorfällen
Malware- oder Ransomware-Angriffe nehmen in alarmierendem Umfang zu. Das Nationale Zentrum für Cybersicherheit der Schweiz (NCSC) meldete 2022 rund 34'000 Cybervorfälle, das sind mehr als 90 pro Tag. Diese Zahlen entsprechen einer Zunahme von rund 50 Prozent gegenüber dem Vorjahr. Da die Meldung auf freiwilliger Basis erfolgt, dürfte die tatsächliche Zahl noch deutlich höher liegen.
Ein IT-Systemausfall kostet Unternehmen durchschnittlich 5'200 Franken pro Minute (Quelle: Everbridge). Noch mehr verrät der Blick auf die Schadenssummen nach einer Datenschutzverletzung. Sie liegen nach einer aktuellen Studie bei durchschnittlich 4.1 Millionen Franken pro Fall, für Finanzinstitute sogar bei 5.8 Millionen Franken – Reputationsschäden sind in diesen Zahlen noch nicht berücksichtigt. Für die kommenden fünf Jahre prognostiziert diese Erhebung einen Anstieg von jährlich 15 Prozent (Quelle: IBM)
Rund 40 Prozent der angegriffenen Firmen zahlen Hackern ein Lösegeld, um wieder Zugriff auf ihre kompromittierten oder blockierten Systeme zu erhalten. Gezahlt werden von betroffenen Unternehmen in der Schweiz im Schnitt aktuell rund 80'000 Franken, weltweit liegt die Summe bei 167'000 Franken. Die anschliessende Behebung des technischen, organisatorischen und reputativen Schadens kostet typischerweise mehr als 1.5 Millionen Franken (Quelle: Sophos).
Börsennotierte Unternehmen verloren bei einem Datenleck durchschnittlich 1.1 Prozent ihres Marktwertes und mussten einen Rückgang ihres Umsatzwachstums um 3.2 Prozent gegenüber dem Vorjahr hinnehmen, stellte die amerikanische NGO National Bureau of Economic Research (NBER) fest.
Zahlreiche Schweizer Kader benennen die Cybersicherheit heute bereits als einen der grössten Risikofaktoren für ihre Unternehmen (Quelle: Allianz).
Die Cyberrisiken im Schweizer Finanzsektor
Eine aktuelle Analyse von Mastercard zeigt, dass in der Schweizer Finanzindustrie der Grad der Cybersicherheit erheblich variiert. Die Studie identifiziert die wichtigsten Risiken und liefert auch Lösungsansätze, um bestehende Durchlässigkeiten zu minimieren.
Die folgende Tabelle zeigt die Ausprägung von Sicherheitsmerkmalen nach Bereich und Finanzsektor.
Der unterschiedliche Grad der Cybersicherheit zwischen den analysierten Unternehmen verschiedener Sektoren wird in der Tabelle auf einer Skala von 0 bis maximal 10 sichtbar gemacht – 10 entspricht der Höchstnote A.
54 Prozent der untersuchten Unternehmen erhielten die höchste Sicherheitsbewertung A (8.5 bis maximal mögliche 10 Punkte), 7 Prozent dagegen nur die Bewertung C (5.5 bis 6.9 Punkte), aufgrund wesentlicher Sicherheitslücken in mehreren untersuchten Bereichen.
Wo liegen Schwachpunkte und mögliche Angriffsflächen?
Die Studie benennt im Wesentlichen drei Bereiche, die als hauptsächliche Risiken und mögliche Angriffspunkte identifiziert worden sind.
Ungepatchte Web-Anwendungen
Im Bereich Software-Patching zeigte sich, dass 20 Prozent der analysierten Unternehmen auf mindestens einem System ungepatchte Versionen von Anwendungsservern ausführten, die als grosse oder sogar kritische Schwachstellen eingestuft wurden. Häufig liefen Webanwendungen zum Beispiel auf älteren Versionen von PHP 5 oder niedriger, die keine Updates zur Behebung von Schwachstellen mehr erhalten. Damit bieten sie Bedrohungsakteuren einen leicht zugänglichen Einstiegspunkt.
In den meisten Fällen bezogen sich die ungepatchten Anwendungen auf Subdomains mit Inhalten von vergleichsweise geringerer Bedeutung. Die Analyse hat jedoch auch Fälle identifiziert, in denen primäre Domains betroffen waren. Schweizer Finanzdienstleister sollten ihre Webserver daher aktiv nach nicht gepatchten Schwachstellen durchsuchen, um die potenzielle Verbreitung von Schadsoftware und Reputationsrisiken zu reduzieren.
Schnittstellen des Content-Management-Systems (CMS)
30 Prozent der untersuchten Unternehmen zeigten im Bereich Anwendungssicherheit grosse oder kritische Probleme, die sich auf Schnittstellen des Content-Management-Systems (CMS) zurückführen liessen. Meist waren sie von jedem Gerät aus zugänglich und erforderten nur einen Benutzernamen und ein Passwort zur Authentifizierung ohne weitere Schutzmassnahmen.
Cyberkriminelle können hier potenziell mit einfachen und gängigen Methoden wie Brute-Force-Angriffen (Ausprobieren von Kombinationen aus möglichen Nutzernamen und Passwörtern) zugreifen. Während die betroffenen Webanwendungen oftmals Inhalte von relativ geringer Bedeutung umfassten, hätte in einem Fall die offizielle Webseite mit den Geschäftsberichten des Unternehmens unbefugt geöffnet und bearbeitet werden können. CMS sind besonders bei kleineren Banken beliebt, die daher im Bereich Anwendungssicherheit im niedrigen unteren Quartil bewertet wurden.
Unsichere Netzwerkdienste
46 Prozent der analysierten Finanzdienstleister zeigten grosse oder kritische Schwachstellen im Netzwerkfilterbereich, vor allem mit unsicheren Netzwerkdiensten. Dabei handelte es sich meist um Datenbankserver und Fernzugriffsprotokolle, die als unsicher und unnötig angesehen werden. Sie können Systeme durch Methoden wie das Erraten von Anmeldeinformationen, das Abfangen von Kommunikation und das Ausnutzen von Schwachstellen kompromittieren.
Für alle Finanzdienstleister, die mit kritischen Problemen bei der Netzwerkfilterung konfrontiert waren, wurden unsichere Datenspeicher wie MySQL, PostgreSQL und Samba identifiziert. Sie erhöhen die Angriffsfläche der Organisation, da sie als Webnetzwerk-Ports fungieren, über die mögliche Angreifer zugreifen können. Diese Schwachstelle kann ausgenutzt werden, um sensible Daten abzufangen, zum Beispiel übermittelte Informationen über ein Kontaktformular oder Daten von Teilnehmern eines Gewinnspiels.
In Bezug auf die Webverschlüsselungs-Domäne verwendeten 65 Prozent der untersuchten Unternehmen Zertifikate, die abgelaufen waren oder ungültige Subjekte hatten, was jeweils als mittelschweres Risiko eingestuft wurde. Ungültige Zertifikatssubjekte führen dazu, dass der Browser den Benutzerinnen und Benutzern Sicherheitswarnungen anzeigt, die einen unsicheren Eindruck vermitteln und dem Nutzererlebnis schaden. Abgelaufene Zertifikate hindern Benutzer hingegen daran, die Authentizität der Website einfach zu überprüfen. Die Zertifikate zur Verschlüsselung sollten daher fortlaufend aktuell gehalten und bei Bedarf ersetzt werden.
Im Bereich Systemhosting-Domain nutzten 49 Prozent der analysierten Finanzdienstleister zumindest für einen Teil ihrer Domains gemeinsame IP-Adressen. Das stellt ein mittleres Sicherheitsproblem dar. Gemeinsam genutzte IP-Adressen sind schwieriger zu verteidigen, da die Kontrolloptionen auf Netzwerkebene begrenzt sind, etwa zur IP-Adressfilterung und Angriffserkennung. Darüber hinaus besteht nach einem Cybervorfall das Risiko, dass wegen der geteilten IP-Adresse auch eigentlich nicht betroffene Domains mitgeblockt werden. Durch die Verwendung dedizierter IP-Adressen kann ein Unternehmen die Reputation seines Systems besser kontrollieren und Sicherheitskontrollen auf Netzwerkebene effektiver betreiben.
Schliesslich wurde im Bereich DNS-Sicherheit bei 41 Prozent der Unternehmen mindestens eine Domain identifiziert, die nicht über grundlegende Konfigurationen verfügt, um Domain-Hijacking zu verhindern. Ohne geeignete Konfigurationen können Cyberkriminelle unberechtigt die Kontrolle über diese Domain erlangen. Vorbeugend können Unternehmen die Option "clientTransferProhibited" aktivieren. Sie weist den Domain-Registrar an, eine starke Authentifizierung aller Protagonisten durchzuführen, die versuchen, die Domain zu verändern, und hilft, nicht autorisierte Änderungen der Konfiguration zu verhindern.
Die Cyberangreifer und ihre Motive
Aus 5'935 ausgewerteten Meldungen zu Cybervorfällen zwischen dem ersten Quartal 2021 und dem zweiten Quartal 2022 lassen sich Angreifer und Motive benennen. 93 Prozent der Cyberangriffe in der Schweiz sind vor allem auf drei Gruppen zurückzuführen:
Finanzhacker (49 Prozent), politisch (staatlich) motivierte Cyberkriminelle (32 Prozent) und Aktivisten (12 Prozent). Sie setzen dabei, entsprechend ihrer Motive und Ziele, unterschiedlichste Methoden ein, die in der Studie ausgeführt werden. Am häufigsten waren Ransom- und Malware-Angriffe.
Die folgende Tabelle charakterisiert die wichtigsten Akteure, die Finanzdienstleistern gefährlich werden können.
Cybersicherheit sollte organisatorisch auf höchster Ebene angesiedelt werden
Die sprunghaft steigenden Zuwachsraten im Bereich von Cyberangriffen haben mehrere Ursachen, aber einen gemeinsamen Nenner, den Dr. Daniela Massaro, Country Manager Switzerland bei Mastercard, mit folgenden Worten beschreibt:
Die Entwicklung noch stärker hin zum Digitalen hat enorme Vorteile, schafft aber auch eine noch attraktivere Umgebung für Cyberkriminelle
Sämtliche Unternehmen sehen sich in der Pflicht, alle denkbaren Angriffsvektoren zu identifizieren und ihre Systeme entsprechend zu schützen. Das gilt insbesondere auch für die Finanzindustrie, die mit zu den attraktiven Zielen für Hacker gehört.
Aus der Studie leitet Mastercard mehrere Empfehlungen ab: Unternehmen und Behörden sollten den Bereich Cybersicherheit wegen seiner besonderen Bedeutung organisatorisch auf höchster Ebene ansiedeln und separat budgetieren – bisher fliessen durchschnittlich weniger als zehn Prozent des IT-Budgets in die Cybersicherheit. Die häufigsten Risiken und das Wissen um Angriffsmethoden sollten gezielt und aktuell in internen Trainings vermittelt und damit verbundene Geschäftsrisiken und Erfolgschancen durchgehend berücksichtigt werden.
Die Studie zum Runterladen
Zahlreiche weitere Detailergebnisse der Analyse sind in einem Whitepaper zusammengefasst. Dieser Report kann als PDF kostenlos direkt bei Mastercard runtergeladen werden, über den Link gleich unten.