Sicherheitstests von BT mit Crest Star

BT-Hacker im Auftrag besserer Datensicherheit in der Finanzbranche

| Redakteur: Ulrike Ostler

"Assure Ethical Hacking for Finance" von BT nutzt erprobte Verfahren, die das Vorgehen krimineller Hacker und Angreifer nachahmen.
"Assure Ethical Hacking for Finance" von BT nutzt erprobte Verfahren, die das Vorgehen krimineller Hacker und Angreifer nachahmen. (Bild: Igor Stevanovic/Fotolia.com)

Finanzinstitute wie Banken und Versicherungsunternehmen sind ein begehrtes Ziel für Hacker und Cyberkriminelle. Das Risiko, Ziel eines Angriffs zu werden, ist in den vergangenen Jahren weiter gewachsen, da immer mehr Bankdienstleistungen online angeboten werden und Wertpapiere in verstärktem Maße über elektronische Plattformen gehandelt werden.

BT verfügt über ein internationales Team von Sicherheitsspezialisten. Dazu gehören auch so genannte Ethical Hacker, die mithilfe standardisierter Verfahren Systeme durch die Simulation von Hacker-Angriffen testen. Dabei werden Schwachstellen identifiziert und konkrete Korrekturmaßnahmen vorgeschlagen, damit die Kunden die betroffenen Anwendungen und Systeme innerhalb kürzester Zeit ausbessern können.

Assure Ethical Hacking for Finance“ von BT nutzt erprobte Verfahren, die das Vorgehen krimineller Hacker und Angreifer nachahmen. Mit einer Reihe von Verfahren werden die Einstiegspunkte der bankeigenen IT-Systeme getestet sowie potenzielle Schwachstellen im Unternehmen aufgedeckt.

Überprüft werden unter anderem Mobilgeräte und sonstige Hardware von Laptops bis hin zu Druckern, interne und externe Netzwerke, Datenbanken und komplexe ERP-Systeme. BT testet nicht nur Systeme mit Netzwerkzugriff, sondern prüft auch, wie groß das Risiko eines menschlichen Fehlers ist. So wird beispielsweise mithilfe von Social Engineering getestet, ob die Mitarbeiter die Sicherheitsrichtlinien einhalten und wie hoch zum Beispiel die Anfälligkeit für einen Phishing-Angriff ist.

Der neue Service beruht auf den Erfahrungen mit Ethical Hacking, die BT in Zusammenarbeit mit führenden Finanzinstituten über zwei Jahrzehnte gemacht hat. Innerhalb eines strikt definierten Auftrags konnten die ethischen Hacker von BT zahlreiche Schwachstellen aufdecken. So konnten sie unter anderem

  • Auszüge aus Datenbanken mit zehntausenden von Sozialversicherungs- und Kreditkartennummern beschaffen
  • eingereichte Schecks abfangen und manipulieren
  • firmeneigene Verschlüsselungsverfahren durch „Reverse Engineering“ überwinden
  • Wertkarten mit Guthaben von fremden (Test-)Konten aufladen
  • sich mit Hilfe gefälschter E-Mails, die von arglosen Mitarbeitern geöffnet wurden, Administratorenrechte verschaffen
  • Remote-Access-Verbindungen manipulieren, um Zugriff auf die Kommandoebene (Shell) von IT-Systemen zu bekommen und darüber eine direkte Verbindung (Tunnel) ins Unternehmensnetz aufzubauen
  • Geldbeträge zwischen unautorisierten Testkonten transferieren
  • vollständige Kontodaten für alle Nutzer abgreifen, indem sie die M2M-Kommunikation zwischen Backend-Systemen angriffen.(Hier: weitere Beispiele aus der Praxis in einer BT-Fallstudie

Das Ziel der Haching-Tests

Das übergeordnete Ziel dieser Tätigkeit besteht dabei immer darin, Schwachstellen zu identifizieren, die geschäftskritische Prozesse und somit auch das Ansehen und die Marke eines Unternehmens gefährden.

Im Rahmen von Assure Ethical Hacking for Finance nutzt BT Crest-zertifizierte Star-Services (Simulated Targeted Attack and Response), um Finanzdienstleister bei der Entwicklung zuverlässiger Sicherheitslösungen zu unterstützen, so dass sensible Kundendaten bestmöglich geschützt werden. BT wurde als eines der ersten Unternehmen weltweit von der gemeinnützige Organisation für die Bereitstellung von Star-Services akkreditiert.

Crest hat die Star-Zertifizierung entwickelt, um kontrollierte, maßgeschneiderte und intelligente Testverfahren im Bereich Cybersicherheit zu etablieren. Star wurde in Zusammenarbeit mit der Bank of England und der britischen Regierung konzipiert. Mithilfe fortschrittlicher Penetrationstests und umfassender Bedrohungsanalysen sollen die Cyber-Gefahren noch präziser simuliert werden.

Mark Hughes, President BT Security, sagte: „Auch wenn vor allem Privatkundenbanken im Visier der Täter stehen, sind Investmentbanken ebenso betroffen wie auch Geschäftskundenbanken, die Dienstleistungen wie Währungsumrechnungen und Handelstransaktionen für große Geschäftskunden bereitstellen. Wir raten allen Finanzinstituten, rigorose Tests zur Prüfung der Sicherheitsstandards durchzuführen. Unsere Ethical Hacker gehen dabei bis an die Grenzen der Sicherheitssysteme, die in Finanzinstitutionen implementiert sind.“

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43611530 / Banken, Versicherungen, Finanzwesen)