In den nächsten Monaten werden Hacker versuchen, die Cyber-Schutzmaßnahmen der größten britischen Banken zu knacken und Informationen von Millionen von Kunden zu stehlen. Dieses Mal werden sie dabei aber willkommen geheißen.

Banken befinden sich derzeit auf hoher Alarmstufe, seitdem Cyberkriminelle dieses Jahr Daten von 83 Millionen Kunden von JP Morgan entwendeten. Deshalb haben sich britische Banken nun zu Sicherheitstests/Penetrationstests angemeldet, bei denen von zertifizierten Hackern geführte Teams nach Gutdünken die Systeme angreifen können.

Stephen Bonner vom Cybersicherheitsteam bei KPMG:

„Es ist das erste Mal, dass Banken während des normalen Betriebsablaufes ihre Sicherheitssysteme auf Bedrohungen überprüfen lassen und nicht in einem isolierten oder simulierten Umfeld.“

Cyberverbrechen kosten die globale Wirtschaft insgesamt 445 Milliarden Dollar jährlich – und die Rechnung wächst stetig. Die Verbrechen haben Auswirkungen auf Handel, Wettbewerbsfähigkeit und Innovation über vielfältige Branchen hinweg.

Banken sind besonders verwundbar, obwohl sie jährlich hunderte Millionen Dollar für Sicherheitsmaßnahmen ausgeben. Die immer professionelleren Kriminellen versuchen, an Geld oder Kundendaten zu gelangen, Finanzmärkte aus dem Gleichgewicht zu bringen oder politisch Punkte zu sammeln.

„Der Verteidiger muss jeden möglichen Angriffspunkt schützen, der Angreifer muss lediglich einen finden. In dieser Situation sind die Banken. Die Welt ist heutzutage zu verbunden, sodass die Banken sich in jede Richtung absichern müssen“,

so Paul Docherty von Portcullis Computer Security.

Die Bank of England steckt hinter besagter Initiative. Im Juni veröffentlichte sie das Rahmenwerk CBEST zum Umgang mit steigenden Cyber-Bedrohungen. Dabei geht es auch um das Teilen von Informationen zwischen Regierungseinheiten und Unternehmen sowie eben dem intensiveren Überprüfen von Finanzinstituten.

Im Falle der Überprüfung setzt die Bank zwar die Richtlinien, überlässt es aber den Banken, den spezifischen Grad festzulegen, bis zu dem die Hackerteams in die Systeme eindringen dürfen. Die Angreifer-Teams bestehen aus vier bis sechs Personen, einschließlich eines Projektmanagers und eines Angriffsspezialisten. Nur wenige Mitarbeiter der Banken werden wissen, dass Angriffe bevorstehen.

Die größten britischen Banken gehören zu rund 30 Finanzinstituten, die sich diesem Test unterziehen werden. Erste Pilot-Tests sind bereits im Gange und die Mehrheit der Teilnehmer möchte den Vorgang bis Ende 2015 abgeschlossen haben. Auch Versicherungsunternehmen, Börsen und Betreiber von Bezahlsystemen lassen sich testen.

Andere Sektoren mit kritischer Infrastruktur könnten dem CBEST-Plan der Bank of England folgen, wie zum Beispiel Energie-, Telekommunikations- und Verteidigungsunternehmen.

Dass Penetrationstests wichtige und effiziente Maßnahmen für erstklassige IT-Sicherheit sind, hat schon 2004 eine Umfrage vom E-Crime Watch, dem CERT an der Carnegie Mellon Universität und dem CSO Magazin bestätigt. Auf die Frage, was die wirksamsten Methoden gegen Computerkriminalität sind, wurden von den befragten Unternehmen drei Maßnahmen am häufigsten genannt:

• Regelmäßige Sicherheitsaudits
• Regelmäßige Sicherheitstests (Penetrationstests)
• Position eines Chief-Security-Officers besetzen (eine Person hat die Verantwortung und die Ressourcen über IT-Sicherheit)

Artikel von dailymail.co.uk, 19.11.2014: Hackers to probe cyber crime defences at British banks