Aus dem Unterricht des CAS Digital Finance mit Peter Gassmann vom 18.12.2018 berichtet Pirmin Zimmermann:

Cyber Security

„Every company using the internet faces the risk of #Cybersecurity attacks.“

Dass dieses Zitat zutrifft, belegen die News-Meldungen vom 18. November 2018 wieder einmal mehr eindrücklich: Starwood Preferred Guests, die Besitzerin der Hotelkette Marriott gibt einen gewaltigen Datenraub bekannt. Über 500 Millionen Datensätze sind in den vergangenen vier Jahren gestohlen worden. Leider ist es ein Trend der vermehrt beobachtet wird: Die Täter halten sich bewusst im Hintergrund und treiben ihre Machenschaften in Stille um möglichst lange im fremden Netz zu agieren.

Datenraub bei Marriott

Aus dem Einstiegs-Zitat leitet sich eine weitere Binsenwahrheit für Private und für Firmen ab: Die Frage ist nicht ob, sondern wann ein Angriff auf den eigenen PC oder das firmeneigenen Netzwerk stattfindet. Hart bestraft wird, wer das Einmaleins der IT nicht beherrscht und keine regelmässigen Backups anlegt. Wer bei einem Angriff mit Ransomware (Schädliche Programme welche die Daten chiffrieren und nur nach eine Lösegeldzahlung – natürlich ohne Garantien – wieder herstellt) keine Sicherheitskopien hat, ist machtlos ausgeliefert.

Schutz wird immer wichtiger

Die Wichtigkeit einer konstanten Abwehr nimmt mit der technischen Entwicklung kontinuierlich zu:

  • Mit der immer weiteren Vernetzung von Industrie- und Haushalt-Geräten ergeben sich laufend neue Lücken im Datennetz: Nicht jeder Gerätehersteller verfügt über Programmierer mit dem Expertenwissen und dem Bewusstsein der Gefahren um alle Sicherheitsanforderungen zu erfüllen.
  • Das Geschäft ist lukrativ und eröffnet für viele Banden einfache Möglichkeiten, um an schnelles Geld zu kommen. Unverfroren wird im Darknet (nicht regulierter Teil des Internet, in dem man sich anonym bewegt) für die eigenen Machenschaften Werbung gemacht: Man spricht von Crime as a Service (CaaS).

Dass unter diesen Machenschaften nicht nur leidet, wer im Ausland zwielichtige Angebote (Pornographie, illegale Glücksspiele, inoffizielle Medikamente und dergleichen) nutzt, mussten vor kurzen auch alle Leser der online Zeitung „20 Minuten“ feststellen.

Malware bei 20 Minuten

Das bedeutet: Jeder kann immer betroffen sein!

Doch wie kann ich mich schützen? Im Geschäftsumfeld und insbesondere bei Bankdienstleistungen ist ein genügende Schutz und das Vertrauen auf eine sichere Nutzung eminent. Banken geben wesentliche Beträge aus, um einen reibungslosen und sicheren Betrieb ihrer online Angebote zu erreichen. Was dabei zu tun ist, erkennt man auf Grund der möglichen Stellen, wo Dritte zwischen dem Nutzer und dem zentralen System eines Anbieters eingreifen können:

Angriffspunkte – the man in the middle

Um die Machenschaften, Manipulationen Dritter (man in the middle) auszuschliessen, nutzt man eine Zwei-Faktor Kommunikation. Dabei wird ein Teil der Authentisierung über einen zweiten Kanal (SMS, oder zusätzliche APP) geführt. Dies schliesst Angreifer faktisch aus, da nicht flächendeckend die Netzwerk- und Telekommunikationsverbindung gleichzeitig manipuliert werden kann.

Auf Seite einer zentralen Infrastruktur genügt der herkömmliche Schutz einer einzelnen Firewall zum Abtrennen des Netzwerkes vom Internet nicht mehr. Es braucht auch intern mehr Sicherheit unter den Rechnern (nur am Tor stehen reicht nicht mehr). Eine breitere Prüfung des ankommenden Datenverkehr und die Verwaltung der Nutzer die aktuell Dienstleistungen beziehen, sind Aufgaben eine WAF (web application firewall) ausmachen.

Ein Systemverbund mit einer gemeinsamen Identifizierung und Überwachung der Nutzer

Identity and Access Management

Um den Zutritt zu einem System (zum Beispiel einem E-Banking Server) zu erhalten, muss der Nutzer identifiziert werden. Nebst der Identifikation ist auch die Prüfung einer Berechtigung zur Nutzung des angefragten Services Bestandteil der Zugriffs-Kontrolle (Authentifizierung und Autorisierung). Diese Angaben vom Nutzer an den Service werden Credentials genannt. Diese können sein:

  • Vertrags ID
  • Passwort / Mobile Nummer /
  • Ich, die eigene Person (Biometrie)

Sind mindestens zwei Credentials nötig, um den Zugriff zu erlangen (Einloggen zu können), spricht man von einer starken Authentisierung.

Digitale Identitäten

Für unsere online Tätigkeiten führen wir immer mehr digitale Identitäten mit uns. Im Durchschnitt sind dies über 30 verschiedene Logins. Sich alle diese Identitäten mit Ihren Usernamen und Credentials zu merken, wird immer schwieriger. Viele verwenden dazu eigene Applikationen (Passwort Manager). Im privaten Sektor haben sich Gemeinschaften entwickelt, welche dieser Entwicklung entgegentreten wollen. Ein Anbieter stellt ein vereinfachtes Login zur Verfügung, indem er die Credentials eines anderen Anbieters akzeptiert (zum Beispiel von Google oder von Facebook). So kann der Nutzer direkt, ohne neu einzuloggen einen anderen, weiteren Service nutzen.

Im Finanzsektor und in der öffentlichen Verwaltung sind indes diese Gemeinschaften nicht akzeptiert. Einerseits bieten diese Dienste keine starke Authentifizierung an und werden als zu unsicher eingestuft. Anderseits fühlt man sich zu gläsern und zu beobachtet von Providern die eine solche Gemeinsaft-Identität anbieten.

Eine wirkliche Einheits-Identität ist eine allseits nützliche und geschäftsfördernde Einrichtung: Sie erspart den Nutzern Zeit und den Dienstleistungsanbietern Sicherheit. Der Identitätsverbund Schweiz (https://swissid.ch) verfolgt dieses Ziel. Aktuell ist eine breite Akzeptanz jedoch noch nicht wirklich gegeben. Eine eindeutige elektronische Identifikation der Person ist noch Prozess der aufwändig ist oder auf einer herkömmlichen Unterschrift basiert. Ebenso ist das Risiko, welches mit einem Identitäts-Diebstahl einhergeht, eine Hürde die heute noch viele Nutzer abschreckt.

Fazit

#Cybersecurity geht uns alle an. Es ist nicht ein Agendapunkt der heute abgehakt wird und dann lässt man das Thema beiseite. Sicherheit ist ein Prozess der aktiv gelebt werden muss.