Nachrichten

Hacker von BT verbessern Datensicherheit in der Finanzbranche

DC15-415 (16. September 2015)

Sicherheitstests von BT mit CREST STAR-Zertifizierung unterstützen Finanzinstitute bei der Abwehr von Cyber-Angriffen

Der Netzwerk- und IT-Dienstleister BT bietet ab sofort weltweit seinen neuen Sicherheits-Service „BT Assure Ethical Hacking for Finance“ an. Mit aufwändigen Testverfahren wird geprüft, in welchem Maße Finanzdienstleister durch Cyber-Angriffe gefährdet sind.

Finanzinstitute wie Banken und Versicherungsunternehmen verfügen über eine Vielzahl wertvoller und hoch sensibler Kundendaten, was sie zu einem der begehrtesten Ziele für Hacker und Cyberkriminelle macht. Das Risiko, Ziel eines Angriffs zu werden, ist in den vergangenen Jahren weiter gewachsen, da immer mehr Bankdienstleistungen online angeboten werden und Wertpapiere in verstärktem Maße über elektronische Plattformen gehandelt werden.

Assure Ethical Hacking for Finance nutzt erprobte Verfahren, die das Vorgehen krimineller Hacker und Angreifer nachahmen. Mit einer Reihe von Verfahren werden die Einstiegspunkte der bankeigenen IT-Systeme getestet sowie potentielle Schwachstellen im Unternehmen aufgedeckt. Überprüft werden unter anderem Mobilgeräte und sonstige Hardware von Laptops bis hin zu Druckern, interne und externe Netzwerke, Datenbanken und komplexe ERP-Systeme. BT testet nicht nur Systeme mit Netzwerkzugriff, sondern prüft auch, wie groß das Risiko eines menschlichen Fehlers ist. So wird beispielsweise mithilfe von Social Engineering getestet, ob die Mitarbeiter die Sicherheitsrichtlinien einhalten und wie hoch zum Beispiel die Anfälligkeit für einen Phishing-Angriff ist.

Der neue Service beruht auf den Erfahrungen mit Ethical Hacking, die BT in der Zusammenarbeit mit führenden Finanzinstituten über zwei Jahrzehnte gemacht hat. Innerhalb eines strikt definierten Auftrages konnten die ethischen Hacker von BT zahlreiche Schwachstellen aufdecken. So konnten sie unter anderem

  • Auszüge aus Datenbanken mit zehntausenden von Sozialversicherungs- und Kreditkartennummern beschaffen
  • eingereichte Schecks abfangen und manipulieren
  • firmeneigene Verschlüsselungsverfahren durch „Reverse Engineering“ überwinden
  • Wertkarten mit Guthaben von fremden (Test-)Konten aufladen
  • sich mit Hilfe gefälschter E-Mails, die von arglosen Mitarbeitern geöffnet wurden, Administratorenrechte verschaffen
  • Remote-Access-Verbindungen manipulieren, um Zugriff auf die Kommandoebene (Shell) von IT-Systemen zu bekommen und darüber eine direkte Verbindung (Tunnel) ins Unternehmensnetz aufzubauen
  • Geldbeträge zwischen unautorisierten Testkonten transferieren
  • vollständige Kontodaten für alle Nutzer abgreifen, indem sie die M2M-Kommunikation zwischen Backend-Systemen angriffen.[1]

Cyber threats in retail banking

Das übergeordnete Ziel dieser Tätigkeit besteht dabei immer darin, Schwachstellen zu identifizieren, die geschäftskritische Prozesse und somit auch das Ansehen und die Marke eines Unternehmens gefährden.

Im Rahmen von Assure Ethical Hacking for Finance nutzt BT CREST[2]-zertifizierte STAR-Services (Simulated Targeted Attack and Response), um Finanzdienstleister bei der Entwicklung zuverlässiger Sicherheitslösungen zu unterstützen, so dass sensible Kundendaten bestmöglich geschützt werden. BT wurde als eines der ersten Unternehmen weltweit von CREST für die Bereitstellung von STAR-Services akkreditiert.

CREST hat die STAR-Zertifizierung entwickelt, um kontrollierte, maßgeschneiderte und intelligente Testverfahren im Bereich Cybersicherheit zu etablieren. STAR wurde in Zusammenarbeit mit der Bank of England und der britischen Regierung konzipiert. Mithilfe fortschrittlicher Penetrationstests und umfassender Bedrohungsanalysen sollen die Cyber-Gefahren noch präziser simuliert werden.

Mark HughesMark Hughes, President BT Security, sagte: „Vertrauliche Finanzdaten sind für viele Hacker ein lohnendes Ziel. Kaum ein Unternehmen ist deshalb so attraktiv für Cyberkriminelle wie eine Bank. Abgesehen von den unmittelbaren finanziellen Verlusten kann eine schwerwiegende Sicherheitsverletzung irreparable Imageschäden nach sich ziehen. Auch wenn vor allem Privatkundenbanken im Visier der Täter stehen, sind Investmentbanken ebenso betroffen wie auch Geschäftskunden­banken, die Dienstleistungen wie Währungsumrechnungen und Handelstransaktionen für große Geschäftskunden bereitstellen. Wir raten allen Finanzinstituten, rigorose Tests zur Prüfung der Sicherheitsstandards durchzuführen. Unsere Ethical Hacker gehen dabei bis an die Grenzen der Sicherheitssysteme, die in Finanzinstitutionen implementiert sind.“

BT verfügt über ein ausgezeichnetes internationales Team von Sicherheitsspezialisten. Dazu gehören auch Ethical Hacker, die mithilfe standardisierter Verfahren Systeme durch die Simulation von Hacker-Angriffen testen. Dabei werden Schwachstellen identifiziert und konkrete Korrekturmaßnahmen vorgeschlagen, damit die Kunden die betroffenen Anwendungen und Systeme innerhalb kürzester Zeit ausbessern können.

________________________________________

[1] Andere Beispiele aus der Praxis können Sie in unserer Fallstudie nachlesen.
[2] CREST ist eine gemeinnützige Organisation im Bereich der technischen Informationssicherheit, die sich der Bereitstellung hochwertiger Professional Services verschrieben hat. Weitere Informationen finden Sie hier.

BT Security

BT Security hilft Unternehmen weltweit und aus allen Branchen mit der Erfahrung aus 70 Jahren dabei, dem Verlauf von Risiken voraus zu sein, und die Ungewissheit und Komplexität, die das Thema Sicherheit mit sich führt, zu meistern. BT Security bietet eine Ende-zu-Ende-Lösung, um Unternehmen höhere Sicherheits-Standards zu ermöglichen – auch wenn die Budgets für Security nicht mit der Bedrohungssituation Schritt halten.

BT Security nutzt die Erkenntnisse aus dem Netzwerk und das Wissen um Sicherheitsbedrohungen für Maßnahmen, die schützenswerte Güter, Menschen und Prozesse umfassen. BT Security schützt sowohl BT selbst als auch dessen Kunden. Den Kunden steht ein Team zur Verfügung, das weltweit aus 2.000 operativen Fachleuten und Sicherheits-Experten besteht.

Weitere Informationen zu Ethical Hacking von BT finden Sie unter: www.bt.com/btassure/ethical-hacking

Über BT

BT ist einer der international führenden Anbieter für Kommunikations­lösungen und ‑services und in mehr als 170 Ländern vertreten. Die Geschäftsaktivitäten konzentrieren sich auf die Bereitstellung von internationalen Netzwerk- und IT-Services, auf regionale, nationale und internationale Telekommunikations-Services, die BT-Kunden zu Hause, im Unternehmen oder unterwegs nutzen können, sowie auf Breitband-, TV- und Internet-Produkte bzw. -Dienste und konvergente Produkte und Services, die Festnetz und Mobilfunk verbinden. BT gliedert sich im Wesentlichen in fünf Geschäftsfelder: BT Global Services, BT Business, BT Consumer, BT Wholesale und Openreach.

In dem zum 31. März 2015 beendeten Geschäftsjahr belief sich der ausgewiesene Umsatz der BT Group auf 17,979 Mrd. Pfund Sterling, der ausgewiesene Gewinn vor Steuern betrug 2,645 Mrd. Pfund.

In der British Telecommunications plc (BT), einer hundertprozentigen Tochter der BT Group plc, sind nahezu alle Unternehmen und Vermögenswerte der Gruppe zusammengefasst. BT Group plc ist in London und New York an der Börse notiert.

Weitere Informationen sind unter http://www.btplc.com/ erhältlich.

Pressekontakt

Boris Kaapke
Pressesprecher BT Germany, Austria, Switzerland & CEE
Tel. +49 89 2600 8295
E-Mail: boris.kaapke@bt.com