Cyber-Sicherheit ist dieser Tage ein Buzzword in der Finanzbranche. Risikomanager grübeln über die Modellierung, Versicherer über das Pricing von Policen und die FINMA weiss, dass Cyber-Risiken das bedeutendste OpRisk für Banken ist und dass nicht genug für den Schutz getan wird. Derweil werden die Angreifer immer mächtiger und professioneller.
Aber wie gut oder schlecht geschützt sind die Banken hierzulande nun eigentlich im Vergleich zu anderen Branchen oder der Konkurrenz andernorts? Darüber weiss man leider relativ wenig. Grosse Research-Häuser nutzen meist qualitative Umfragen, die a) nicht repräsentativ, da kleines Sample und b) schwer vergleichbar sind. Eine umfassende Differenzierung zwischen Branchen, Ländern und weiteren Variablen müsste auf einer konsistenten Bewertung zahlreicher Unternehmen bezüglich der Faktoren Systeme, Prozesse und Mitarbeiter beruhen. Kaum realistisch.
Einen ersten Schritt haben wir getan. Das Tool cysmo® aus eigenem Hause bewertet Unternehmen nach einer konsistenten Logik vollautomatisch bezüglich mittlerweile über 30 verschiedener Scores. Und zwar innerhalb kürzester Zeit, ohne interne Informationen zu nutzen und browserbasiert. Einfach Domain angeben, 2 Minuten warten, fertig. Klarerweise kann aufgrund der Outside-in-Sicht von cysmo® nicht jeder Aspekt bewertet werden. Die Sicherheit interner Prozesse oder das Verhalten von Mitarbeitern wird z.B. nicht bewertet. Dazu bedürfte es aufwendiger Penetration-Tests oder Security Audits. Dennoch, ein Hacker geht zunächst genauso vor wie cysmo®: Informationen über verwendete Server, Hosts und Provider, Verschlüsselungstechniken, offene Zugangspunkte oder im Darknet auffindbare Mail-Adressen werden genutzt, um DDoS- DNS- Malware-, Phishing- oder andere Social Engineering-Attacken zu initiieren. Wer hier also Schwachstellen hat, ist einer erhöhten Gefahr ausgesetzt. Zudem liegt es, wenn schon die von aussen sichtbaren Systeme unsicher sind, wahrscheinlich auch intern im Argen.
Für unsere Analyse haben wir mehrere zehntausend Unternehmen aus Deutschland und der Schweiz mittels machine learning ausgewertet. Cysmo® hat die Scores zu 6 Teil- und einem Gesamt-Rating aggregiert und in prozentuale Schutzniveaus übersetzt. Da wir Grössen-Indikatoren wie den Umsatz einbezogen haben, können wir den marginalen Effekt für verschiedene Branchen angeben, also wieviel besser oder schlechter eine Bank unabhängig ihrer Grössen-Merkmale abschneidet.
Zu den Ergebnissen: Deutsche Banken sind insgesamt deutlich besser geschützt bzw. erreichen positive marginale Effekte. Zurückzuführen ist das vor allem auf höhere Malware-, DDoS- und DNS-Widerstandsfähigkeit. Die eidgenössischen Institute dagegen erreichen insgesamt nur durchschnittliche Schutzniveaus, im Bereich Social Engineering sogar deutlich unterdurchschnittliche! Deutsche Banken sind über 20% sicherer als Grossbanken in der Schweiz. Nur wenig überdurchschnittlich schneiden übrigens auch viele weitere Branchen ab, die gemäss BABS zu den kritischen Infrastrukturen zählen.
Wie sind diese Ergebnisse zu bewerten? Das zu erwartende Schutzniveau hängt u.a. von der Gefährdung und der Verwendung kritischer Informationen auf IT-Systemen ab. Unternehmen, die weniger gefährdet sind oder auf Websites und in Mails keine schützenswerten Informationen verwenden oder austauschen, müssen ihre Systeme u.U. weniger gut abschirmen. Allerdings kann das nicht den deutlichen Länderunterschied für Banken erklären. Weder ist der Finanzplatz Schweiz weniger gefährdet (oder zumindest wäre uns das nicht bekannt), noch nutzt man hierzulande weniger kritische Informationen in von aussen sichtbaren IT-Systemen. Um also robuste Strukturen z.B. fürs Online-Banking zu garantieren, sollte die Widerstandsfähigkeit in den Bereichen DDoS und DNS verbessert werden. Mail-Adressen sowie der generelle Mail-Verkehr sollten geheim und mit modernen Verfahren verschlüsselt sein, um nicht von sog. CEO Frauds und ähnlichen Social Engineering-Attacken heimgesucht zu werden.
Mit unserer Auswertung können wir detaillierte und robuste Aussagen über die Outside-in-Cyber-Sicherheit treffen, woraus sich bei fachkundiger Interpretation Handlungsempfehlungen ableiten lassen. Für Details wenden Sie sich bitte direkt an das Team hinter cysmo®. Uns zumindest scheint die Baustelle Social Engineering / Spoofing / Phishing zentral, auch weil Angreifer immer professioneller und kreativer werden, um durch gefälschte Mails an vertrauliche Daten zu gelangen. Der überraschend deutliche Länderunterschied gibt uns zudem zu denken.
Zum Denken sind auch Sie eingeladen. Was glauben Sie: Gibt es Auffälligkeiten bezüglich der Geschäftsfelder von Banken? Sind Kantonal- und Genossenschaftsbanken, Sparkassen, Gesamtbanken, Bausparkassen oder doch Investmentbanken am besten geschützt? Schreiben Sie uns ihre Vermutung, die Auflösung erhalten Sie als Antwort.
Dieser Blog wurde von Sebastian Strub verfasst
#Cybersecurity #Cysmo #FINMA
0 Kommentare:
Kommentar veröffentlichen