Online-Banking-Apps

Worauf es bei der IT-Sicherheit von Online-Banking-Apps ankommt

Worauf es bei der IT-Sicherheit von Online-Banking-Apps ankommt

IT-Sicherheit für Online-Banking-Apps

Von Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point Software Technologies GmbH

Im digitalen Zeitalter treiben gerade mobile Apps und Web-Anwendungen das Geschäft einer Bank strategisch voran. Je weiter sich diese entwickeln und je stärker diese wachsen, desto mehr Programmierschnittstellen (API – Application Programming Interface) werden parallel offengelegt.

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point

Aber dadurch vergrößert sich auch die Angriffsfläche und Cyber-Kriminelle machen sich dieses Phänomen gerne zunutze. Sie greifen die Apps und APIs mit fortschrittlichen Methoden wie SQL-Injection, Cross-Site-Scripting und dem Einsatz automatischer Skripte, so genannter Bots an. Diese Angriffe können nicht nur einen kostspieligen Schaden anrichten, sondern zeigen auch, dass die Fähigkeit, die Anwendungen selbst zu schützen, noch nie so wichtig gewesen ist. Die Erkennung und Verhinderung dieser Angriffe stellen jedoch eine Herausforderung dar, welche jede Bank nur dann bestehen kann, wenn sie für Apps spezifizierte Security-Maßnahmen implementiert, wie die Integration von Sicherheitslösungen und Sicherheitsstandards „ab Werk“. Sollten die Verantwortlichen dies unterlassen, sind die Folgen verheerend und können der Sicherheit der Kunden und damit dem Ruf der Bank großen Schaden zufügen. Worauf kommt es also bei der IT-Sicherheit von Online-Banking-Apps an?

Um die für E-Banking notwendigen Web-Anwendungen abzusichern, müssen zunächst die APIs geschützt und automatisiert werden. Dafür braucht es einheitliche native Cloud-Sicherheit, die Assets und Workloads abschirmt und in der Lage ist, sie gegen Zero-Day-Angriffe und bösartigen Bot-Verkehr zu verteidigen. Abgerundet werden diese Maßnahmen von einer Lösung, die Fehlinformationen vermeidet und von einer kontextbezogenen Künstlichen Intelligenz (KI) ergänzt wird. Neben der Skalierbarkeit sei jeder Bank eine automatisierte Lösung für öffentliche Clouds – ob AWS, Azure oder Kubernetes – ans Herz gelegt. Da zahlreiche Unternehmen auf Multi-Cloud-Lösungen setzen, braucht es zudem eine entsprechende Software, die jedes Szenario und jede Kombination zuverlässig handhaben kann. Unverzichtbar sind hier ergänzende On-Prem-Multi-Apps, die Schutz für Milliarden von jährlichen Anwendungsanfragen bieten. Wer alle Umgebungen und Anwendungen auf diese Weise automatisiert, kann zudem dafür sorgen, dass manuelle Abstimmungen gänzlich wegfallen und damit Betriebskosten sinken. Statt hier nun aber auf einzelne Lösungen aus unterschiedlichen Händen zurückzugreifen, wodurch ein Wildwuchs entsteht, der kaum zu verwalten ist, sollte eine konsolidierte IT-Sicherheitsarchitektur gewählt werden – das ist einfacher, günstiger und sicherer. Alle Komponenten sind hier abgestimmt und arbeiten zusammen.

Da e-Banking zunehmend mobil abgewickelt wird, gilt es, auch die Applikationen für das Smartphone entsprechend zu schützen. Zu den wichtigsten Aspekten gehören:

  • Laufzeitschutz gegen Malware, Jailbreak/Root, MitM-Angriffe und Manipulationsversuche.
  • Erkennung von bekannten und unbekannten Bedrohungen.
  • Verhinderung von Kompromittierungen.
  • Schnelle Versionsfreigabe und die Möglichkeit für Entwickler, zügig und sicher zu veröffentlichen.
  • Geringstmöglicher Entwicklungs- und Testaufwand.
  • Automatisierte Einhaltung von Vorschriften.
  • Konformität mit den Finanzvorschriften ab dem ersten Tag (FFIEC, PSD2, PCI DSS etc.).

Somit dürfte jedem Finanzinstitut bewusst geworden sein: Banken müssen mobile und Web-Apps sowie APIs dringend umfangreich gegen IT-Angriffe schützen und von Anfang an sichere mobile Apps entwickeln oder entwickeln lassen – oder nur auf entsprechende Anwendungen von Drittanbietern zurückgreifen. Zum Schutz der Kunden und Vermögenswerte braucht es zudem eine Sicherheitslösung, welche die wichtigsten Kriterien moderner Sicherheitsstandards erfüllt. Hinzu kommt die Automatisierung der Abläufe und Wartung, um Fehler zu vermeiden und Kosten zu sparen. Wird dieses Konzept der konsolidierten IT-Sicherheit umgesetzt, dann sind die Kunden geschützt und ihr Vertrauen ist der Bank sicher.