Analyse sicherheitsrelevanter Geschäftsprozesse eines Anwendungsfalls aus der Finanzbranche und Ermittlung der hierfür geeigneten Methoden

Diplomarbeit von Peter von Oppenkowski

Einleitung:

Die Informationstechnologie (IT) hat in den Finanzdienstleistungshäusern schon lange einen übergreifenden Einzug erhalten und unterstützt Kunden sowie Mitarbeiter bei täglichen Routinen. Der Einsatz von mobilen und stark vernetzten IT-Systemen ist dabei in nahezu sämtlichen Geschäftsprozessen wiederzufinden und leistet als Rückgrat vieler Geschäftsmodelle einen wesentlichen Beitrag zur Erreichung der Unternehmensziele. Immer deutlicher zählt die dabei eingesetzte IT-Infrastruktur zum wertvollen, besonders zu schützenden Gut eines Unternehmens und ist zugleich zunehmend dem Einwirken komplexer Ereignisse - resultierend aus Missbräuchen oder auch Fehlbedienungen - auf sicherheitskritische Eigenschaften der Geschäftsprozesse ausgesetzt. Für die Finanzbranche entstehen auf diese Weise Schäden, die sehr vielfältig ausfallen können und dessen vorläufiger Höhepunkt sich - verursacht durch einen einzelnen Fall von Computermissbrauch - auf eine bedrohliche Schadenssumme von 4,9 Milliarden Euro beläuft.

Der IT-Sicherheit wird damit eine enorme Bedeutung zuteil, dessen Erfolg, gemessen an der Minimierung der Gefährdung des reibungslosen Geschäftsablaufs bzw. der Vermeidung wirtschaftlicher Schäden, wesentlich von der effizienten Ermittlung und Bewertung von Bedrohungen und Risiken und anschließender Maßnahmen abhängt. Dem wird die Sicherheitsanalyse - deren Ergebnisse sich in den Sicherheitsanforde-rungen widerspiegeln - gerecht, die allerdings aufgrund der Dynamik bei IT-Systemen bereits einen stetig wiederkehrenden Aufwand für das Unternehmen bedeutet. Zusätzlich und weitaus aufwendiger ergibt sich die Durchführung und Überwachung der aus den Anforderungen hervorgehenden Sicherheitsmaßnahmen im Tagesge-schäft. Um diesen Aufgaben Herr zu werden bedienen sich Finanzdienstleister (FDL) technischer Hilfsmittel, dessen Leistungsfähigkeit einen gewichtigen Einflussfaktor auf ein optimales Verhältnis zwischen höchstmöglichem Schutz bei geringstmöglichem Arbeitsaufwand ausmacht. Zu den von den FDL genutzten technischen Hilfsmitteln zählen unter anderem Fire-walls, Vierenscanner, Intrusion Detection bzw. Intrusion Protection Systeme (IDS/IPS), die im Wesentlichen sicherheitskritische Aktivitäten innerhalb eines Rechnernetzes oder -systems erkennen bzw. anzeigen und ggf. unterbinden sowie zunehmend Security Information and Event Management (SIEM) Lösungen. Letztere nehmen eine übergeordnete Rolle ein, da diese auf erstgenannte aufsetzen und deren Funktionen bündeln, anreichern oder sogar übernehmen können. Diese Eigenschaft macht SIEM Systeme zum zentralen Ansatzpunkt zur Verbesserung sicherheitstechnischer und betriebswirtschaftlicher Aspekte.

Inhaltsverzeichnis:

Textprobe:

Kapitel2.1.3, Angriffe und Angreifer:

Angreifer unterscheiden sich in ihrer Qualifikation, Motivation und den eingesetzten Mitteln erheblich. Die Angreiferklasse mit den wohl meisten Anhängern stellen hierbei die sog. Skriptkiddies (abgeleitet von Skript und Kid) dar, die ein Gruppe bestehend aus jugendlichen Angreifern bezeichnet. Diese greifen auf vorgefertigte, automatisierte Angriffswerkzeuge (sog. Exploits oder Rootkits) zurück und können so ohne tiefreichendes Grundwissen Angriffe durchführen. Bezeichnend für die Angreiferklasse der Hacker sind sehr versierte Angreifer, denen es durch individuell entwickelte Angriffsmethoden gelingt, auch in gesicherte Rechnernetze einzudringen. Der Begriff Cracker wird von den Medien kaum verwendet und stattdessen mit dem Hacker unter einen Hut gesteckt. Zur ausreichenden Differenzierung ist daher zusätzlich zu erwähnen, dass sich Hacker und Cracker zwar insbesondere hinsichtlich ihrer Qualifikation ähneln bzw. ebenwürdig sind, aber Cracker meist beide Seiten kennen bzw. alle Schattierungen durchlaufen haben. Zwischen diesen beiden Gruppen ist demnach ein wichtiger Unterschied herauszustellen. Der Hacker gilt gemeinhin als ethisch handelnde Person, die sich selbst auch mit gemeinnützigen Beiträgen wie z.B. dem Aufdecken von Sicherheitslücken und anschließender Veröffentlichung identifiziert, mit dem Ziel, die Verantwortlichen dazu zu bewegen, diese zu schließen. Der Cracker hingegen gilt als unmoralisch, handelt eigennützig, profitorientiert und bietet hierzu seine Dienste auch (kriminellen) Dritten an.

Ein nicht unbeträchtliches Schadensrisiko geht ebenso von der Gruppe der Mitarbeiter aus. Laut einer Umfrage finden zwar mit 58% die meisten Angriffe von extern (d.h. unautorisiert von außerhalb des Firmennetzwerks bzw. vor der demilitarisierten Zone aus statt, jedoch sind die internen Angriffe (d.h. mit autorisiertem Zugang oder Zugriff auf das Firmennetzwerk bzw. die Unternehmens-IT) mit 21% die kostspieligeren für das Unternehmen. Die restlichen 21% sind Angriffe, deren Ursprung unbekannt ist. Dabei setzen Mitarbeiter zunehmend (22% in 2011 im Verhältnis zu 9% in 2010) Angriffswerkzeuge wie z.B. Rootkits ein, die immer einfacher zu beschaffen sind, was die Angriffe von innen heraus gefährlicher macht. Angriffe von Mitarbeitern sind zudem schwieriger zu erkennen, da für gewöhnlich die eingesetzten Sicherheitsmaßnahmen/ -mechanismen, wie z.B. Firewalls oder IDS, erstrangig auf den Angriff von extern ausgelegt werden. Darüber hinaus haben Mitarbeiter - im Gegensatz zu externen Angreifern - den Vorteil über Insiderwissen zu verfügen, was einen zielgerichteten Angriff mit weniger hinterlassenen Spuren erlaubt. Ein sehr ernstes Problem aus Mitarbeiter-Angriffen ergibt sich für die Unternehmen (insbesondere FDL) durch die unberechtigte Weitergabe von (geheimen) Informationen bzw. dem Datendiebstahl sowie dem Betrug in Verbindung mit Computermissbrauch. Auf die Weise von Letzterem werden Gelder veruntreut, elektronisch verarbeitete Urkunden oder Abrechnungen gefälscht und Richtlinien und deren computergestützte Geschäftsprozesse ausgetrickst, um sich selbst oder (bekannten) Dritten Vorteile zu verschaffen.

Aus Sicht der FDL stellt die Gruppe der Kriminellen ein besonders hohes Schadensrisiko dar, denn es sind insbesondere die Banken und ihre Kunden, die im Fokus dieser Angreiferklasse liegen. Hauptsächlich sind es sog. Skimming-Angriffe - der Betrug mittels rechtswidrig erlangter Kredit- oder Bankkartendaten mit PIN - und sog. Phishing-Angriffe - der Betrug mittels ausgespähten Zugangsberechtigungsdaten (engl. credentials) für Kommunikationsdienste wie z.B. dem Online Banking der Bank - die von dieser Gruppe praktiziert werden. Angreifer dieser Art sind international aktiv und gleichen mit ihrem Organisationsgrad und -aufbau multinational agierenden Unternehmen. Sie haben eine Spitze, die alles koordiniert, Bereiche, die Entwicklungs-, Design- und Abwicklungsaufgaben, wie z.B. die Geldwäsche und das damit verbundene Anwerben von sog. Finanzagenten (engl. money mules) nachgehen und hiervon entsprechende Pendants in unterschiedlichen Ländern. Die Beteiligten solcher Cybercrime-Ringe, von denen die wenigsten einen Überblick über die gesamte Organisation haben, kommunizieren untereinander mit Pseudonymen und größtenteils über gesicherte Verbindungen, was ein entsprechendes Aufdecken bzw. Bekämpfen dieser Gruppe und deren Aktivitäten erschwert. Dabei stehlen einzelne Ringe bis zu 72 Mio. US-Dollar von Bankkonten in über 10 Ländern durch den Einsatz von Malware (engl. für Schadprogramm).

Neben der Vielfalt der Angreifer sind es diverse Angriffs-Arten mit denen sich Unternehmen auseinandersetzen müssen. Wie dem folgenden Ausschnitt einer Studie jedoch zu entnehmen ist, ist die Unternehmens-IT in den meisten Fällen Angriffen in Verbindung mit eingesetzter Malware ausgesetzt. Selbstverständlich ist - aufgrund befürchteter Reputationsschäden des IT-Sicherheits-Verantwortlichen sowie unter Umständen ohne Kenntnis des Unternehmens stattgefundener Angriffe - dem Ergebnis solcher Befragungen zu unterstellen, dass nicht alle Angriffe benannt wurden. Dennoch zeichnet sich bei Angriffen deutlich die Erfahrung mit Malware ab. Die FDL sehen sich bzw. ihre Kunden ebenfalls in Form von Phishing-Angriffen mit Malware konfrontiert, wobei Skimming-Angriffe für Institute die weitaus größere Bedrohung darstellen. Besonders erwähnenswert bei beiden Angriffsarten ist, dass lediglich jeder 4. Fall durch die Bank erkannt wird und beim Rest vom betroffenen Kunden darauf aufmerksam gemacht wird. Was im Umkehrschluss bedeutet, dass in den meisten Fällen erst spät, nämlich wenn der Schaden bereits eingetreten und der Angriff vollzogen ist, Kenntnis erlangt wird und so keine Möglichkeit mehr zur Eingrenzung oder zum Vereiteln besteht. Dieser Missstand lässt sich bei derartiger Angriffs-Konstellation hauptsächlich auf die Schwierigkeit die Schwachstellen bei den eingesetzten Endgeräten ausreichend abzusichern (engl. Endpoint-Security) zurückführen. So ist es aus Bankperspektive bspw. nahezu unmöglich, weder den vom Kunden für das Online Banking eingesetzten PC noch den Kunden selbst – dem sog. Social Engineering – vor Manipulationen zu schützen. Das Ergreifen entsprechender Schutzmaßnahmen, wie z.B. der Einsatz von Firewalls oder Antivirusprogrammen auf dem heimischen PC, obliegt (bisher) allein dem Kunden.