Finanzwesen
Welche Gefahren aus dem Netz kommen auf Finanzdienstleister zu?
Finanzdienstleister stehen im Fokus der Angreifer
Heutzutage haben sich Anleger daran gewöhnt, den Online-Angeboten der Finanzdienstleister ihre privaten Daten anzuvertrauen. Online-Trading wird immer beliebter auch bei Privatanlegern, das verwaltete Vermögen steigt und die Anleger erwarten natürlich von den Finanzdienstleistern, dass man sich auf die digitale Security-Strategie der Anbieter verlassen kann. Zugleich steigen Hacker-Angriffe auf Nutzer und Unternehmen gleichermaßen.
Worauf müssen sich die Finanzdienstleister in Zukunft einstellen, wenn es um die digitale Sicherheit ihrer Geschäfte geht? Unternehmen jeder Größe haben bereits angefangen, Maßnahmen gegen die steigende Zahl von Hackerangriffen und Online-Betrügereien, wie zum Beispiel dem Phishing, zu ergreifen.
Push-Bestätigungen und -Benachrichtigungen
Autorisierte Bezahlvorgänge wie etwa Überweisungen sind dann eine Gefahr, wenn Betrüger durch das Hacken von Accounts oder Korrespondenzen an sensible Kundendaten und Kreditkarteninformationen gelangen und diese dann zum Geldtransfer oder Bezahlvorgängen einsetzen, von denen die Betroffenen keine Kenntnis haben.
Der Ausbau von Sicherungssystemen, der Kunden und Finanzdienstleister vor Betrug bei autorisierten Bezahlvorgängen durch Diebstahl von Kundendaten verhindert, ist eine der größten Herausforderungen für Unternehmen. Da bei Finanzgeschäften, die online abgewickelt werden, auch die Anonymität der User groß ist und die Zahl derartiger Betrugsfälle steigt, ist das Identifizierung und die Prävention solcher Gefahren schwierig.
Mehrfaktorverifikation und automatisierte Informationssysteme bei auffälligen Kontoaktivitäten sind eine Möglichkeit, solche Betrugsversuche aufzuspüren, einzudämmen und die Auswirkungen zu minimieren, den vorausgehenden Diebstahl von Daten verhindern können sie allerdings nicht.
Phishing
Gerade Online-Shops, aber auch Banken und andere Online-Finanzdienstleister können ebenso wie die Nutzer von Phishing-Betrug empfindlich getroffen werden. Dabei werden Webseiten, Mails oder ähnliche Materialien generiert, die Webseiten oder Namen von Dienstleistern kopieren und ihnen zum Teil zum Verwechseln ähnlich sehen, um die Opfer zur Eingabe ihrer Daten zu bewegen und diese dann selbst nutzen zu können. Nicht nur die Kundendaten sind Ziel solcher Scheinangebote, auch die Anbieter selbst können durch derartige Phishing-Mails oder -Seiten in die Irre geführt werden und betrügerische Lieferungen oder Bestellungen zahlen oder veranlassen.
Wer in so einem Fall seine Administratordaten herausgibt, läuft zudem Gefahr, dass Hacker in die Anwendung eindringen und den Betreiber sogar aussperren und dann ungestört auf Datenbanksysteme und Konten zugreifen können. Auf Seiten der Kunden ist hier Aufklärung zur Prävention solcher Betrugsfälle wichtig. Auf Seiten der Betreiber sollten Authentifizierungswege verstärkt und Systemstrukturen voneinander getrennt und verschlüsselt werden. Letzteres ist vor allem dann von Bedeutung, wenn es tatsächlich zum Daten-GAU kommt. Denn wenn alle gespeicherten Daten verschlüsselt sind, muss die Systempenetration nicht gleich die offene Tür zu allen im Unternehmenssystem verfügbaren Daten sein.
Malware
Bei unzureichender Systemsicherung kann es auch zu sogenannten Backdoor-Attacken durch Programme kommen, die es Hackern ermöglichen, Sicherungssysteme zu umgehen und eine Art Schlupfloch zu erzeugen, durch die sie Zugriff auf das Netzwerk erhalten. In ein Betriebsnetzwerk können sie ebenfalls über Phishing-Taktiken wie etwa Mails gelangen. Die Überwachung von DNS-Aktivitäten bei Finanztransaktionen durch einen Experten kann helfen, solche Angriffe identifizieren und lokalisieren.
Service-Hotline Betrug
Eine neue Gefahr besteht in der steigenden Geschäftsabwicklung über Call Center, die Finanzdienstleister ihren Kunden anbieten. Zwar gibt es Verifikationsmöglichkeiten, die Finanzinstitute nutzen, um ihre Anrufer mit einem Konto zu verbinden. Wenn einem Anruf aber der Diebstahl personenbezogener Daten vorausgeht, nützen diese Authentifizierungstaktiken wenig.
Gerade die steigende Bedeutung von Smartphones für Autorisierungsvorgänge bei Online-Finanzdienstleistern birgt dabei ein Risiko, denn eine Folge von Identitätsdiebstahl kann ein sogenannter SIM-Tausch sein, bei dem ein Betrüger den Mobilfunkanbieter bittet, eine Nummer auf eine neue SIM-Karte zu transferieren. Damit ist die Verifikation über eine individuelle Mobilfunknummer umgangen, der Betrüger kann die mobilen Daten der betroffenen Person einsehen, während diese keinen Zugriff mehr darauf hat.
Sicherheit beim Online-Trading
Nicht nur die Verwaltung von Bankkonten über Online-Banking, auch Broker-Plattformen, auf denen man häufig und aktiv Geldsummen bewegt oder sich lange auf den Plattformen aufhält, um Marktentwicklungen zu verfolgen, sind vor Betrugsversuchen nicht sicher. Auch für die Anbieter bedeutet eine mögliche Sicherheitslücke ein hohes Verlustrisiko und daher verdient die Sicherheit des Online-Handels besondere Aufmerksamkeit.
Viele Online-Broker klären über das Thema auf und ergreifen besondere Sicherheitsmaßnahmen, wie etwa umfassende Datenverschlüsselung. Auch die Regulierung über einen deutschen Firmensitz und die BaFin, wie sie etwa JustTrade bietet ist von Vorteil. Auf MrStocks.org findet man weitere Informationen zum Angebot des Brokers, das auch eine Sicherung von Kundeneinlagen umfasst.
Die größte Gefahr für Finanzdienstleister geht sicherlich von unrechtmäßig entwendeten Kundendaten aus, die genutzt werden, um Anmeldungen, Bezahlvorgänge und Transaktionen vorzunehmen, die für den Finanzdienstleister nicht sofort als unautorisiert oder betrügerisch zu erkennen sind. Prävention wird daher eine immer größere Herausforderung, die sich schnell an neue Betrugsstrategien anpassen und reagieren muss.
Auch verbesserte Sicherheitssysteme in der unternehmensinternen Struktur, die über eine Firewall hinausgehen und die flächendeckende Verschlüsselung von Daten und Hybrid-Cloud-Systeme umfassen, können helfen, mögliche Angriffe abzuwehren und einzudämmen. Gerade Finanzdienstleister sammeln und speichern unzählige personenbezogene Daten und können bei unzureichender Prüfung auf Sicherheitslücken schnell zum Opfer von Cyberkriminalität werden.