"Offline Zahlungs-Software im Visier von Hackern - Schweizer Unternehmen betroffen."
Obige Schlagzeile ist der Mitteilung der Melde- und Analysestelle Informationssicherung MELANI im Juli dieses Jahres entnommen, die eine neue Art von Hacker-Angriff auf Unternehmen in der Schweiz beschreibt.
Obige Schlagzeile ist der Mitteilung der Melde- und Analysestelle Informationssicherung MELANI im Juli dieses Jahres entnommen, die eine neue Art von Hacker-Angriff auf Unternehmen in der Schweiz beschreibt.
Firmen
verwenden heute für die Abwicklung von Massenzahlungen, insbesondere bei
Multibank-Verbindungen, in der Regel eine sog. Offline-Software für die
Übermittlung, Freigabe und Ausführung von elektronischen Zahlungsaufträgen.
Dabei werden Überweisungen automatisiert, direkt aus der ERP-Software ausgelöst
und über sichere Protokolle an die Bank übermittelt. Diese Art der
Zahlungsverkehrsabwicklung macht den Grossteil der heute in der Schweiz
elektronisch eingereichten Aufträge aus.
Die in der
Meldung von MELANI beschriebene Schadsoftware „Dridex“, die sich über
schädliche Microsoft Office Dokumente in E-Mails von vermeintlich legitimen
Absendern verbreitet, fokussiert seit neuestem genau diese
Offline-Software-Lösungen. Dabei werden gezielt Hersteller attackiert, die im
Schweizer Markt eine gewisse Verbreitung haben. Viele Firmen sind aktuell etwas
verunsichert, wie sicher ihre Lösung in Tat und Wahrheit noch ist und wie sie
sich gegen ähnliche Hacker-Angriffe schützen können.
Zunächst
gelten einmal die von MELANI seit langem publizierten Sicherheitshinweise wie
Verwendung dedizierter Computer, Ignorierung von Mails mit verdächtigen
Attachments, regelmässige Aktualisierung von Betriebssystemen und
Virenschutzprogrammen etc., welche die Absicherung der eigenen Infrastruktur
gewährleisten. Ein Hinweis fällt dabei ins Auge, nämlich der, dass Kollektiv-
anstelle von Einzelunterschriften eingesetzt werden sollen. Wie funktioniert
das in der Praxis, wo ja keine Papier-Aufträge mehr physisch von den
Bevollmächtigten der Firma signiert und an die Bank versendet werden?
Die Banken
bieten hier grundsätzlich zwei Lösungen an (teilweise auch in Kombination).
Einerseits ist die Freigabe über einen anderen Kanal möglich. Das heisst, die
Datei mit den Zahlungsaufträgen wird beispielswiese über das Protokoll EBICS
(Electronic Banking Internet Communication Standard) direkt aus der
Offline-Software an die Bank übermittelt, wobei der Auftrag aber noch nicht zur
Ausführung autorisiert wurde. Mittels Freigabe im Online-Banking der Bank
können die Aufträge dann definitiv von einer zweiten Person freigegeben werden.
Eine weitere,
sichere und flexible Art der Kollektiv-Unterschrift ist der Einsatz der im EBICS-Standard
enthaltenen „Verteilten elektronischen Unterschrift“ (VEU). Der Standard sieht
hierbei die Unterschriften-Modelle „Transport“- (keine Autorisierung),
„Einzel“-, „Kollektiv A“- und „Kollektiv B“- Unterschriften vor. Pro Auftrag
kann zudem auf Seiten der Bank eine Tageslimite definiert werden (wahlweise pro
Kunde, Konto und Auftragsart). Die VEU erlaubt dem Kunden eine 1:1 Abdeckung
der Unterschriftenregelung seiner Unternehmung und führt in Verwendung mehrerer
Kanäle (z.B. Erteilung der zweiten Unterschrift über ein Mobile Device) zu
einem sehr hohen Sicherheitsniveau.
Immer mehr
Banken in der Schweiz führen die EBICS VEU als Angebot ihrer E-Banking-Lösungen
ein. Erkundigen Sie sich bei Ihrem Institut explizit danach oder stellen Sie
Ihre Fragen an info@ppi-schweiz.ch wenn Sie noch mehr Information zur EBICS
VEU benötigen.
Dieser Beitrag wurde von Carsten Miehling gepostet.
#MELANI #VEU #EBICS #SECURITY
Dieser Beitrag wurde von Carsten Miehling gepostet.
#MELANI #VEU #EBICS #SECURITY
Danke! Serh interessant
AntwortenLöschen