Authentifizierung­s­verfahren: Wie sieht die Zukunft der Compliance-Anforderungen aus?

Die Finanzbranche gilt Cyber­krimi­nellen als Angriffsziel Nr. 1 – nicht erst seit Beginn der Corona-Krise. Jedoch: die Pandemie-bedingte Zunahme der Home-Office-Arbeitsplätze habe die Anzahl ihrer Angriffe noch einmal drastisch ansteigen lassen und viele Banken haben nach wie vor Schwierigkeiten, ihre kritischen IT-Systeme vor unerlaubten Zugriffen abzusichern. Eine baldige Verschärfung und Konkretisierung der Branchen-Vorschriften und -Richtlinien zu Authentifizierungsverfahren ist deshalb zu erwarten. Doch mit welchen Änderungen genau haben Banken zu rechnen?

von Jan Quack, Yubico

Die IT-Systeme der Finanzbranche zählen schon seit Jahren weltweit zu den am häufigsten attackierten Zielen von Cyberkriminellen. So zeigte eine Studie der Boston Consulting Group bereits vor der Pandemie, Ende 2019, dass etwa …

… Finanzdienstleistungsunternehmen 300-mal häufiger von Cyberattacken betroffen sind als andere Unternehmen.”

Auch das aktuelle Allianz Risiko Barometer 2021 verdeutlicht die erhöhte Bedrohungslage. Hier wurden 900 Teilnehmer aus dem Finanzdienstleistungssektor weltweit befragt mit dem Ergebnis, dass mit 47 Prozent die Mehrheit Cybervorfälle als eines der größten Risiken für die Branche weltweit ansahen, gefolgt von der Pandemie, Betriebsunterbrechungen sowie Änderungen in der Gesetzgebung.

Corona-Krise befeuert Cyber-Angriffe auf Banken

Die Hauptursache für ein erhöhtes Gefahrenpotenzial, gerade im Zuge der COVID-19 Krise, liegt auf der Hand: seit dem Beginn der Corona-Pandemie nutzen mehr Endnutzer Online- und Mobil-Kanäle für ihre Bankangelegenheiten, arbeiten mehr Bankangestellte und -Führungskräfte von Zuhause aus – und lassen so die Zahl potenzieller Opfer von Cyberangriffen in die Höhe schnellen. Zu diesem Ergebnis kommt auch der COVID Crime Index 2021. In diesem geben 42 Prozent der befragten Banken zu Protokoll, dass die Umstellung auf die Arbeit im Home-Office an ihrem Institut zu einem Rückgang an IT-Sicherheit geführt habe. Viele der vom Home-Office ans IT-System der Bank angeschlossenen Endgeräte sind persönliche Geräte, die möglicherweise nicht ausreichend abgesichert sind. Viele davon werden nur selten gepatcht. Sehr häufig kommen bei der Verbindung von Homeoffice-Endgeräten und dem IT-System legacy-Authentifizierungsverfahren wie die Kombination aus Nutzername und Passwort oder mobile Zweifaktor-Authentifizierung (2FA) zum Einsatz. Ein echtes Problem. Denn: 61 Prozent aller Datenpannen einer Bank, so der 2021 Data Breach Investigations Report, lassen sich auf den Missbrauch von Zugangsdaten zurückführen.

Zwar waren Finanzinstitute Vorreiter, wenn es um die Einführung starker Authentifizierungsverfahren wie zum Beispiel Einmalpasswörter, SMS Codes und Push-Notifications ging. Heutzutage stellen diese Verfahren aber ein erhebliches Sicherheitsrisiko dar.”

Dies liegt daran, dass sich die Cyber-Bedrohungen in den letzten Jahren erheblich weiterentwickelt haben und mobile Authentifikatoren anfällig für Malware, SIM-Swapping und Man-in-the-Middle-Angriffe (MiTM) sind.

Die Compliance-Perspektive von heute – Legacy ist nach wie vor gut genug

Zurzeit arbeitet die Branche ganz im Rahmen der gültigen Vorgaben und Richtlinien, trotz Legacy-Methoden wie Nutzernamen und Passwörtern oder einer mobilbasierten Authentifikation. Die Compliance-Anforderungen zu IT-Sicherheit und Datenschutz werden von ihnen vollumfänglich erfüllt – internationale Vorgaben und Richtlinien, wie der Payment Card Industry Data Security Standard (PCI DSS) und der ISO/IEC 27001/2; europäische, wie die Datenschutzgrundverordnung (DSGVO), die Payment Services Directive 2 (PSD2), der Cybersecurity Act und bald auch der Digital Operational Resilience Act (DORA); und US-amerikanische, wie das NIST Cyber Security Framework, das Service and Organization Controls 2 (SOC 2), der Sarbanes-Oxley Act (SOX), der Gramm-Leach-Bliley Act (GLBA), und zahlreiche Gesetze einzelner Bundesstaaten, wie der California Consumer Privacy Act (CCPA), der California Privacy Right Act (CPRA) oder auch der 23 NYCRR 500. Denn im Wesentlichen lassen sich all diese Vorgaben und Richtlinien auf einen einfachen, gemeinsamen Nenner bringen: wenn auf ein Netzwerk von außen zugegriffen wird, wenn es um streng vertrauliche Daten oder Online-Aktivitäten mit großem Risiko- oder Schadenspotenzial geht, muss der Nutzerzugang entweder über eine Zwei-Faktor-Authentifizierung (2FA), oder aber über eine Multi-Faktor-Authentifizierung (MFA) – abgesichert werden. Um die derzeit geltenden Vorgaben zu erfüllen, müssen die Authentifizierungsprozesse von Banken also Identitätsmerkmale eines Nutzers überprüfen, die auf zwei, beziehungsweise drei unterschiedlichen Faktoren basieren: Wissen, Besitz und Biometrie. Denkbar ist etwa die Eingabe eines Passworts (Wissen) und die Bestätigung einer auf das eigene Mobilfunktelefon gesendeten Push-Benachrichtigung (Besitz); oder die Eingabe einer PIN (Wissen), der Scan eines Fingerabdrucks (Biometrie) und die Eingabe eines über SMS auf dem Mobilfunktelefon empfangenen Einmalpassworts (Besitz).

Ein Blick in die Compliance-Zukunft – Starke Authentifizierung und Zero-Trust-Frameworks

Mit der Corona-bedingt erschwerten Sicherheitslage ist nun davon auszugehen, dass diese Vorgaben und Richtlinien in naher Zukunft eine Verschärfung und Konkretisierung erfahren werden.

Es ist wahrscheinlich, dass die derzeitigen Vorschriften dahingehend weiterentwickelt werden, dass eine starke Authentifizierung vorgeschrieben wird, bei der die Authentifizierungsmethoden gegen Phishing geschützt sein müssen.”

Es ist auch wahrscheinlich, dass die Bandbreite der Anwendungsbereiche, für die eine 2FA oder MFA erforderlich ist, eine Erweiterung erfahren wird; zum Beispiel auch auf Fälle, in denen von innen auf ein Netzwerk zugegriffen wird, in denen es um weniger sensible Daten geht oder in denen das Risiko- und Schadenspotenzial einer Online-Aktivität gering ausfällt, ausgedehnt wird. Zero-Trust dürfte deshalb schon bald zum neuen Standard avancieren. Erst vor wenigen Monaten, im Mai letzten Jahres, hat die US-Regierung mit eben solchen Maßnahmen auf die Zunahme der Cyberangriffe in ihrem Land reagiert. Zur Anhebung der nationalen IT-Sicherheit hat die Biden-Administration die Executive Order 14028 erlassen. Darin werden Unternehmen wie Banken – sofern sie auch für staatliche Stellen tätig sind – angewiesen, über starke MFA abgesicherte Zero-Trust-Architekturen in ihre IT-Systeme zu implementieren. Unterdessen arbeitet in der EU die European Network and Information Security Agency schon einige Zeit an einem Entwurf für ein EU-Cybersicherheitszertifikationssystem. Dieses wird sich – so zumindest die derzeitige Fassung – erstmals ganz konkret für Alternativen zu unsicheren Passwortverfahren – wie Smart Cards, Tokens und (nur) biometrischen Scans – aussprechen. Es ist zu erwarten, dass auch die oben erwähnten Vorgaben und Richtlinien bald nachziehen werden – gerade im Bereich der Authentifizierungsmethoden.

Banken benötigen: starke Verfahren und sichere Methoden

Während Legacy-Authentifizierungs-Methoden einmal relativ sicher waren, verfügen Cyberkriminelle mittlerweile über Tools und Verfahren, mit denen sie relativ leicht die auf die Mobiltelefone ihrer Opfer gesendeten Zugangsdaten oder OTP-Codes entwenden können. Bei einem SIM-Swap muss der Angreifer sich nur mit dem Mobilfunkdienstleister seines Opfers in Verbindung setzen, sich als das Opfer ausgeben, den Verlust seines Mobilfunktelefons vortäuschen und den Anbieter überzeugen, ihm Ersatz-SIM-Karten zu schicken oder die Opfer-Telefonnummer auf eine seiner SIM-Karten umzuleiten.

Wird der Bankzugang dann noch bloß mit einer Zwei-Faktor-Authentifizierung abgesichert und handelt es sich beim zweiten Faktor lediglich um einen Wissens-Faktor.”

Ist zum Beispiel zusätzlich nur noch die Eingabe eines Passworts oder des via SMS übermittelten OTP Codes erforderlich, kann der Angreifer leicht einbrechen.

Eine empfehlenswerte Methode ist die Verwendung eines Hardware-Sicherheitsschlüssels, bei dem die Anwesenheit des Benutzers und der Nachweis seines Besitzes erforderlich sind, um den Zugang zu vervollständigen und Angriffe aus der Ferne zu verhindern. Hardware-Sicherheitsschlüssel, die eine biometrische Authentifizierung bieten, können die Sicherheit einen weiteren Schritt in die richtige Richtung bringen. Hardware-Sicherheitsschlüssel benötigen keine Netzwerkverbindung, sind nicht von der Gerätebatterie abhängig und speichern keine Daten, so dass sie die richtige Wahl für eine starke Authentifizierung sind. Der Online-Zugriff und die Manipulation durch Cyberkriminelle ist praktisch unmöglich. Außerdem bieten Hardware-Sicherheitsschlüssel eine bessere User-Experience als herkömmliche 2FA und MFA. Im Gegensatz zu mobilfunkbasierten Authentifikatoren müssen die Benutzer nicht auf OTP-Codes warten und diese eintippen, sondern können sich einfach mit einer einzigen Berührung oder einem Tippen auf den Sicherheitsschlüssel anmelden.

Es ist davon auszugehen, dass die Vorschriften und Rahmenvorgaben zu den Authentifizierungsverfahren von Banken – sollte die derzeitige hohe Angriffsrate weiter fortbestehen – in den nächsten Jahren einer deutlichen Verschärfung unterliegen werden.”

Bemühen sich Banken um eine Zero-Trust-Architektur, so stellen sie Sicherheit und User-Experience an erste Stelle und werden ihren weltweiten Geschäften dadurch Compliance-konform nachgehen können.Jan Quack, Yubico