Cybersicherheit 2018: Worauf Finanzinstitute achten sollten, die noch nicht SWIFT-konform sind

Nach einer Serie hochkarätiger Angriffe auf seine Mitglieder im Jahr 2016 hat die SWIFT ein Customer Security Controls Framework eingerichtet, das 16 obligatorische Kontrollmaßnahmen enthält. Die von den Banken dafür durchgeführten Überprüfungen der Cyber-Sicherheit müssen bis Ende des Jahres abgeschlossen sein. Experten gehen aber davon aus, dass einige SWIFT-Mitglieder bis zu diesem Termin nicht alle vorgeschriebenen Kontrollen einhalten können. Dipl.-Ing. Thorsten Henning (Palo Alto Networks) gibt Tipps, worauf diese Unternehmen nun doch noch achten sollen.

von Dipl.-Ing. Thorsten Henning, Palo Alto Networks

Die Empfehlung für die Finanzinstitutionen besteht darin, die Best Practices für die Cyber-Hygiene der SWIFT-Pflichtkontrollen in ihr übergreifendes Sicherheitsprogramm zu integrieren.

Banken sollten die SWIFT-Kontrollelemente dabei nicht als „Einzelfälle“ betrachten, die getrennt behandelt werden müssen.”

Durch die Integration in ihr Cyber-Sicherheitsprogramm erreichen sie einen ganzheitlicheren Ansatz und können eine fortlaufende Compliance sicherstellen.

Die obligatorischen SWIFT-Sicherheitskontrollen können als Maßnahmen für eine gute Cyber-Hygiene und Cyber-Sicherheit angesehen werden. Die wichtigsten Kontrollmaßnahmen:

1. Schutz der SWIFT-Umgebung (1.1): Die Segmentierung der lokalen SWIFT-Infrastruktur vom Rest der IT-Umgebung wäre ein wichtiger erster Schritt. Dies würde den Zugriff auf/von den lokalen SWIFT-Elementen durch Angreifer auf potenziell kompromittierten Endpunkten und sogar durch bösartige Insiderakteure beschränken.

2. Betriebssystem-privilegierte Kontenüberwachung (1.2) und Multi-Faktor-Authentifizierung (4.2): Zusätzlich zu der Richtlinie der geringsten Rechte sollten Konten auf Administratorebene mit Multi-Faktor-Authentifizierung (MFA) geschützt werden. Natürlich sollte MFA auch für den Zugang zu kritischen Systemen wie SWIFT eingerichtet sein. Dies begrenzt den Wert der Zugangsdaten, die von einem Angreifer gestohlen wurden.

3. Sicherheit des internen Datenflusses (2.1) und logische Zugangskontrolle (5.1): Um die Integrität der Kommunikation zwischen SWIFT-bezogenen Komponenten zu gewährleisten, erhalten Banken Einblick in den Datenverkehr und steuern ihn basierend auf Anwendungen, Benutzern und Inhalten. Sicherheitsrichtlinien können dann mit dem Kontext der tatsächlichen Anwendung und Benutzeridentität definiert werden, um einen autorisierten Zugriff auf die Daten auf sichere Weise zu ermöglichen.

4. Sicherheitsupdates (2.2), Malware-Schutz (6.1) und Software-Integrität (6.2): ​​Das rechtzeitige Patchen von Software auf Sicherheitslücken ist eine Notwendigkeit. Es gibt jedoch Fälle, in denen dies aufgrund von Software nach Ablauf des Supports oder aus anderen Gründen nicht möglich ist. Hier ist ein erweiterter Endpunktschutz gegen Malware und Exploits eine sinnvolle Alternative zur Aufrechterhaltung der Integrität der Produktionsumgebung. Generell ist der erweiterte Endpunktschutz herkömmlichen Antiviren- und Anti-Malware-Lösungen ohnehin überlegen.

5. Protokollierung und Überwachung (6.4): Wenn die lokale SWIFT-Infrastruktur durch die Netzwerksegmentierung geschützt ist, verfügen diese Firewalls über wichtige Informationen sowohl über normale als auch über unerwartete Datenflüsse in die Umgebung und aus der Umgebung heraus. Diese Firewall-Protokolle sollten auf Anomalien in den Verkehrsmustern überprüft werden, da diese auf unerwünschte Aktivitäten hindeuten können.

Die beiden zuletzt publik gewordenen Angriffe auf SWIFT-Mitglieder erfolgten im Oktober 2017 in Taiwan und Nepal. Davor gab es im Dezember 2016 einen Angriff in der Türkei. Obwohl man sagen könnte, dass sich das Tempo der Angriffe auf SWIFT-Mitglieder seit dem Höhepunkt, der Mitte 2016 zu beobachten war, verlangsamt hat, ist nicht ratsam, die empfohlenen Sicherheitskontrollen zu ignorieren. Unabhängig von SWIFT lohnt es sich, dafür zu sorgen, dass die grundlegende Cyber-Sicherheit und Cyber-Hygiene Teil des eigenen Sicherheitsprogramms ist.aj