Aktuelle Analyse der FINRA zu Cyberkriminalität

Ein Hacker-Diebstahl von Passwörtern, Kreditkarten- und Sozialversicherungs-nummern kann zu immensen finanziellen Verlusten führen. Doch sehen wir uns ein Worst-Case-Szenario an: Was passiert, wenn Hacker sich Zugang zu unseren Renten- und Wertpapierkonten verschaffen? Damit könnten sie natürlich das große Geld machen. Die Financial Industry Regulatory Authority (FINRA), eine unabhängige US-amerikanische Aufsichtsbehörde, hat vor kurzem einen Bericht dazu veröffentlicht, wie gut Börsenmaklerunternehmen und Wertpapierhändler gegen Cyberkriminalität gerüstet sind.

Wie sich herausstellte, hat die Investment-Welt im Vergleich zu anderen Branchen bei der Datensicherheit tatsächlich die Nase vorn.

Börsenmakler agieren nach dem Grundsatz „Kenne deinen Kunden“, kurz KYC (know your customer), der in den US-amerikanischen Gesetzen verankert ist und eine wichtige Rolle bei den branchenweiten Best Practices spielt.

Hacking in der Finanzbranche
Früher war Ihr Börsenmakler noch eine reale Person, die Sie tatsächlich angerufen haben, wenn Sie Handelsgeschäfte tätigen wollten. Wenn also eine unbekannte Stimme den Berater aufforderte, doch bitte alles zu verkaufen und das Geld an eine Bank auf den Bermudas zu überweisen, schrillten am anderen Ende der Leitung die Alarmglocken.
In der Welt der Internetkonten und vollautomatischen Transaktionen laufen sämtliche Geschäfte aktuell ohne jeden menschlichen Kontakt ab. Das heißt allerdings nicht, dass das KYC-Prinzip über Bord geworfen wurde – es gilt nach wie vor.

Im FINRA-Bericht werden einige Sicherheitsvorfälle aus der realen Welt beschrieben bei denen es technisch begabten Aktiendieben gelungen ist Online-Wertpapierkonten zu knacken. In einem Fall machten die Hacker fette Beute, indem sie Gewinne auf ihr eigenes Konto und Verluste auf die Konten anderer Kunden verbuchten. Das ist echtes Finanz-Engineering!
Die Börsenmakler gerieten so in Konflikt mit den Anti-Geldwäsche-Regeln der FINRA und natürlich mit dem amerikanischen Gesetz. Sie sind dazu verpflichtet, auf verdächtige Finanztransaktionen zu achten und die Identität ihrer Kunden zu überprüfen.

Kenne deinen Nutzer
Datenschutzexperten kommen zu ähnlichen Erkenntnissen, wenn es darum geht, die Nutzer in einer vernetzten Welt wirklich zu kennen: indem nämlich ungewöhnliche Datei- und Systemaktivitäten und die Mehrfaktor-Authentifizierung zum Identitätsnachweis der Nutzer überwacht werden. Die Grundidee ist dieselbe wie beim KYC-Prinzip.

Da noch kein Massenhack bei Merrill Lynch & Co. bekannt wurde, nehme ich stark an, dass ihre KYC-Philosophie bei der Erfolgsbilanz in punkto Datenschutz eine wichtige Rolle spielt. Der FINRA-Bericht erwähnt zwar einige äußerst zielgerichtete Angriffe, doch nichts, was mit dem Ausmaß der Sicherheitsvorfälle bei Handelsunternehmen im letzten Jahr auch nur ansatzweise vergleichbar wäre.

Doch die Manager der Maklerunternehmen lesen die Schlagzeilen genauso wie wir. Und sie machen sich Sorgen. Laut einer FINRA-Umfrage mit über 200 Unternehmen aus dem Jahr 2014 gaben 33 Prozent der Befragten an, dass ihnen das Risiko von Hacking-Angriffen zur Manipulation oder Vernichtung von Daten die größten Sorgen mache. Sie sind sich auch der Gefahr durch Insider bewusst, die ihre Zugriffsrechte missbrauchen und Dateien löschen könnten: Über 20 Prozent der Studienteilnehmer bezeichneten das Insider-Risiko als größtes Problem.

Überwachung als wichtigste Maßnahme
Unter den Sicherheitsstandards, die FINRA empfiehlt, finden sich einige unserer Favoriten: das NIST Framework, die Top 20 der Sicherheitskontrollen des SANS und PCI-DSS.

Eine gute Wahl, FINRA.

Der gemeinsame Nenner: Die hohe Relevanz einer kontinuierlichen Risikoanalyse und Überwachung. Also genau das, was wir praxisnahe Datenschutzmaßnahmen nennen. Mit anderen Worten: Überwachen Sie Ihre Systeme stets im Hinblick auf Hacker, die den Perimeterschutz mithilfe von Phishing, Brute-Force-Attacken und Hintertürchen bereits passiert haben.

The post Aktuelle Analyse der FINRA zu Cyberkriminalität appeared first on Varonis Deutsch.