Aus dem Unterricht des CAS Digital Finance mit Peter Gassmann bloggt Carole-Maud Hofmann:

Niemand kann heute das Thema Cybersecurity vernachlässigen. Die Situation ist klar: Jeder kann attackiert werden. Der neueste Trend heisst “Crime as a Service”. Dabei wird die Cyberkriminalität monetarisiert – d.h. Kriminelle entwickeln Produkte, welche anderen Kriminellen verkauft werden. In der folgenden Grafik ist ersichtlich, wie viele sogenannte Schadsoftware entdeckt wurde, wobei die Dunkelziffer nicht einberechnet ist.

Unbenannt

Aus der nächsten Grafik wird ersichtlich, inwiefern Schadsoftware ein Geschäftsmodell für Cyberkriminelle sein kann.

Unbenannt

E-Banking ist seit seiner Entstehung ein attraktives Umfeld für Betrüger. Oft wird auf spezielle Schadsoftware, auf sogenannte Bankentrojaner, zurückgegriffen, um Kundinnen und Kunden Gelder abzuziehen. Die gefährlichsten kriminellen Aktivitäten in diesem Bereich bestehen im E-Banking, auf Trading-Plattformen, im Cyber Mobbing, auf sozialen Netzwerken, beim Umgang mit persönlichen Informationen und beim Versenden von Spam.

Einer der prominentesten Hackerangriffe fand bei LinkedIn statt. Der Hacker hatte bereits im Jahr 2012 177 Millionen Datensätze mit Benutzernamen und Passwörtern gestohlen und bot diese Daten anschliessend zum Verkauf an.

Cybersecurity

Je nachdem, in welcher Branche man tätig ist, ist Cybersicherheit ein unterschiedlich grosses Thema. Sprechen wir von einem Online-Spiel, sind die Sicherheitsanforderungen relativ tief. Selbstverständlich sind die Anforderungen im Militär am höchsten, wobei Finanzen und Gesundheit ebenfalls einen relativ hohen Sicherheitsstandard benötigen. Die Cyberangriffe können in den verschiedensten Formen auftreten, beispielsweise in Form eines Virus, einer Schadsoftware oder eines Trojaners. Überall, wo es Angriffe gibt, entstehen Methoden, um diese auch zu bekämpfen. Auch diese existieren in einer mannigfaltigen Weise, wobei wir hier beispielsweise von Zugangsmethoden, Firewalls, Identitätsmanagement, Antivirus Software, Backup oder sogar Versicherungen sprechen.

Access Management

Die Authentifizierung variiert von einfachen Mechanismen bis zu komplexen und sicheren Prozessen.

Die einfachste Methode besteht aus einer User-ID und einem Passwort, welche sich ergänzen müssen. Bei der komplexeren Methodik kommt es zum Gebrauch von Fingerabdruck, Gesichtserkennung, einem Code für das Mobiltelefon und vielen anderen Methoden.

Folgende Methoden gibt es für den indirekten Login auf Applikationen:

  • Single-Sign-On (SSO): Man meldet sich einmal an und kann auf verschiedene Applikationen zugreifen.

Unbenannt

  • Identity Federation: Man meldet sich über andere Service Providers an, beispielsweise über Facebook.

Unbenannt

  • OAuth: Beim Beispiel Twitter erteilt der Kunde einen gesicherten delegierten Zugang zu den Ressourcen durch beispielsweise Linkis. Dabei berechtigt man Linkis.com, den Account auf Twitter zu nutzen, wobei folgende Aktionen durchgeführt werden können: Tweets aus der Timeline lesen, Profil aktualisieren, usw.
  • Firewalls: Ein Sicherungssystem, welches ein oder mehrere Netzwerke schützen soll. Auch webbasierte Firewalls werden eingesetzt, um individuelle Anfragen zu schützen.

Wo Geld involviert ist, da sind die Hacker nicht weit entfernt. Die digitale Identität wird immer wertvoller und benötigt eine professionelle Sicherheitsinfrastruktur, welche flexibel und adaptionsfähig sein soll.

Digitale Identität

Eine digitale Identität ist eine Identität, die von einem Rechner verstanden und verarbeitet werden kann. Diese entsteht, indem Attribute einer Person in elektronischer Form sicher registriert werden. Der tägliche Gebrauch von Identitäten wird in der folgenden Grafik abgebildet:

Unbenannt

Die digitale Identität soll die Privatsphäre schützen, einen Zugang zu persönlichen Daten ermöglichen, bequem sein und personifizierten Inhalt ermöglichen.

Ein neuer Trend im Bereich Cyberkriminalität heisst SIM-swap, da Mobiltelefone immer wichtiger werden im Login-Prozess bei Banken. Dabei werden die SIM-Karten, welche mit dem Opfer in Verbindung gebracht werden, mit einer neuen ausgetauscht. Dies bedeutet, dass jegliche Anrufe und Nachrichten zum Telefon des Angreifers umgeleitet werden.

Management von digitalen Identitäten

Das Management von digitalen Identitäten stellt den Vertrauensanker eines Identitäts-Ökosystems dar. Da sich der Lebenszyklus eines Mitarbeitenden in einer Firma stetig ändert, müssen die Accounts jeweils an die neuen Umstände angepasst werden.

Onboarding

Grundsätzlich muss man sich fragen, was benötigt wird, um ein Best Practice im Onboarding zu gewährleisten. Hierzu ist es unerlässlich, dass man den Prozess so weit wie möglich vereinfacht. Dies würde die Anzahl der Accounts verringern. Auch die Nutzungsbedingungen sind essentiell beim Onboarding. Die FINMA hat ein Rundschreiben zum Thema Video- und Online-Identifizierung herausgegeben. Bisher war die Regulierung im Bereich der Bekämpfung von Geldwäscherei und Terrorismusfinanzierung primär für analoge Geschäftsbeziehungen vorgesehen.

Fazit

Was sollte man tun?

  1. Anforderungen abklären
  2. Opportunitäten abklären
  3. Eine saubere Arbeit machen
    • Gesamte Sicherheit anschauen
    • Prozesse und Administration abklären
    • Bedienbarkeit vs. Sicherheit analysieren