10 Fragen an den Hacker der Bank

Cyberkriminalität betrifft auch Banken und deren E-Channels. Auch die Zürcher Kantonalbank hat ein Team um Romano Ramanti aufgebaut, um Abwehrmassnahmen gegen Angriffe zu implementieren.

Romano Ramanti.

Bild stock.adobe.com(Andrey Popov

Als Bankkunde gehacked zu werden, kann ein Alptraum sein.

Beschreiben Sie Ihre Aufgabe als Ethical Hacker für die Bank und für andere Kunden.

Romano Ramanti: In meiner Funktion als Ethical Hacker analysiere ich die aktuelle Bedrohungslage laufend. Man nennt dies auch Threat Intelligence. Ziel ist es, Angriffe auf unsere E-Channels zu antizipieren und zu verhindern. Dazu muss man verstehen, wer uns angreift, wie die Cyberkriminellen vorgehen und welche Tools sie einsetzen. Ein Grossteil meiner Analyse erfolgt im Darknet. Die gewonnenen Informationen werden dann genutzt, um entsprechende Abwehrmassnahmen bei der Zürcher Kantonalbank zu implementieren oder Kunden frühzeitig zu warnen.

Kommen Sie meistens, wenn es zu spät ist, ins Spiel – sprich: wenn jemand gehackt wurde?

Ramanti: Nicht immer. Teilweise können wir bereits bei Bekanntwerden einer neuen Phi-shingwelle intervenieren und den Angriff neutralisieren.

Welches sind die Hauptthemen in Bezug auf Cybersecurity bei einer Bank wie der ZKB?

Ramanti: Kundenseitig sind es vor allem Phishing, Malware, Investment-Scam, Romance-Scam, allgemein Social Engineering, aber auch Ransomware-Vorfälle bei Firmenkunden.

Trotz aller digitalen Schutzvorrichtungen (etwa Zwei-Faktor-Authentifizierung): Können diese Sicherheitsmassnahmen dennoch ausgehebelt werden?

Ramanti: Ja. Dabei ist die Technologie nicht das Problem. Man könnte auch Zehn-Faktor-Authentifizierung haben. Mittels Social Engineering wird der Kunde dazu gebracht, seine persönlichen Daten und den zweiten Faktor an die Cyberkriminellen weiterzugeben.

Haben Sie ein Beispiel eines Falles, bei dem Sie aktiv geworden sind?

Ramanti: Ein Kunde rief uns an und teilte mit, dass sämtliche Daten verschlüsselt wurden. Es wurde ein Lösegeld von 15000 Franken verlangt. Er fragte uns an, wie er vorgehen sollte. Zusammen mit dem Kunden haben wir mit den Cyberkriminellen Kontakt aufgenommen. Unsere erste Handlung war, den Kriminellen zu sagen, dass der Kunde gar nicht so viel Geld auf dem Konto hat. Die Antwort der Cyberkriminellen war dann umgehend: «Nein, das stimmt nicht. Der Kunde hat noch genau XXX Franken auf seinem Konto.» Das Beispiel zeigt, dass die Cyberkriminellen seit längerem im Netzwerk des Kunden waren.

Die Kriminellen hatten also schon Einblick in die Finanzen. Zu den häufigsten Angriffsvarianten gehören Phishing oder Ransomware. Haben Sie da ein Beispiel?

Ramanti: In einem Darknet-Forum fragte jemand, wie er eine Phishing-Kampagne gegen drei Schweizer Banken fahren könnte. Im Forum wurden dann verschiedene Anweisungen gegeben, um das Layout des Phishings erfolgreich zu gestalten. Dank dieser Informationen konnten wir bei uns gezielte Schutzmassnahmen (Auswertung von Logs) implementieren, welche es uns ermöglichten, neue Phishing-Seiten zu detektieren und diese herunterzunehmen, bevor Kunden zu Schaden kamen.

Bei 98 Prozent der Angriffe spielt das sogenannte Social Engineering – die Manipulation von Menschen über das Ausnutzen ihrer Instinkte und ihrer Leichtgläubigkeit – offenbar eine Rolle.

Ramanti: Das kann ich so bestätigen. Social Engineering ist das einfachste und erfolgreichste Mittel für Cyberkriminelle.

Wie sieht es bei KMU aus? Wo ist da das grösste Sicherheitsproblem im Zusammenhang mit dem Geldverkehr bzw. Bankkontakt?

Ramanti: Auch hier ist das grösste Problem Social Engineering. Mit einfachen Mitteln wie beispielsweise der CEO Fraud werden Mitarbeiter der Buchhaltung dazu gebracht, Zahlungen im Auftrag des vermeintlichen CEOs auszulösen. Es braucht hier mehr Mitarbeiter-Awareness.

Zwischen Banken und anderen Unternehmen einerseits und Cyberkriminellen andererseits herrscht ein richtiggehendes Wettrüsten. Die Banken stehen dabei immer vor dem Dilemma zwischen Sicherheit und Benutzerfreundlichkeit. Werden erhöhte Sicherheitsauflagen die Benutzerfreundlichkeit weiter verringern?

Ramanti: Sicherheit und Benutzerfreundlichkeit standen schon immer in Konkurrenz. Hier geht es vor allem darum zu entscheiden, wie viel Sicherheit ich zugunsten der Benutzerfreundlichkeit aufgeben möchte. Dabei gibt es auch kein Richtig oder Falsch. Es muss vielmehr ein Umdenken erfolgen. Unternehmen und Banken müssen davon ausgehen, dass sie angegriffen werden. Die Frage ist vielmehr: Wie erkenne ich, dass ein Angriff stattfindet, und wie kann ich diesen isolieren und abwehren?

Was genau macht die Fachstelle E-Channel-Sicherheit und -Organisation bei der Zürcher Kantonalbank?

Ramanti: Einerseits schauen wir, dass die elektronischen Kundenkanäle sicher sind. Auf der anderen Seite versuchen wir, Fraud (Betrug) bei unseren Kunden zu verhindern. Dazu prüfen wir jede durch den Kunden erfasste Transaktion mittels eines «Fraudfilters». Wird eine verdächtige Transaktion ausgesteuert, kontaktieren wir den Kunden und verifizieren die Transaktion mit ihm.

Mark Gasser

Chefredaktor
Zürcher Wirtschaft

Ihre Meinung ist uns wichtig

Das Thema ist wichtig.

icon_thumbs_up
icon_thumbs_down

Der Artikel ist informativ.

icon_thumbs_up
icon_thumbs_down

Der Artikel ist ausgewogen.

icon_thumbs_up
icon_thumbs_down

Anzeige