Dass IT-Sicherheit an Bedeutung gewinnt, ist deutlich spürbar. Umfragen, Medien und auch die eigenen Unternehmen setzten die IT-Sicherheit zunehmend auf die Agenda. Die Gefahr aus dem Netz wächst und hat unheimlich viel Schadenpotential: vom Datenklau bis hin zur Schadsoftware, die die eigenen Systeme lähmt, ist heutzutage vieles denkbar und bekannt. Dabei müssen sich die IT-Sicherheitsexperten auch auf neuartige Gefahren vorbereiten. Mit Frank Schreiber-Handschug, Projekt-/Referatsleiter Cyber Security / Online Banking bei dem Deutschen Sparkassen- und Giroverband e.V., habe wir über diese Gefahren im Rahmen der Fachkonferenz „IT-Sicherheitsmanagement in Versicherungen“ gesprochen. Im Interview spricht er von einer dramatischen Steigerung an Qualität und Quantität der Cyber-Risiken.

Ein Transkrit des Interviews finden Sie unterhalb des Videos.

Das Interview wurde im Rahmen der Fachkonferenz „IT-Sicherheit in Versicherungen“ geführt. Bei dem nachfolgenden Text handelt es sich um ein Transkript des Videointerviews.

Herr Schreiber-Handschug, in Ihrem Vortrag ging es um die Cyber-Risiken bei der Sparkassen-Finanzgruppe und sie haben einen Einblick in die Bankenbranche gegeben. Was kann sich denn die Assekuranz von dieser abgucken, wenn es um das Thema IT-Sicherheit geht.

Alle, die im Internet aktiv sind, ob Versicherungen, Banken oder ein Shopbetreiber, alle haben mit breitflächigen Angriffen zu tun, deren Methoden allgemein bekannt sind. Das ist u. a. Phishing, das sind personalisierte Mails, die uns alle mehrfach am Tag erreichen. Das ist der Stand der Dinge, die wir alle irgendwie auf dem Radar haben und auch entsprechend bekämpfen müssen.

In der Bankenbranche haben wir aber auch sehr branchenspezifische Angriffe oder Risiken: das sind insbesondere Trojaner, die ganz spezielle Ziele verfolgen – Geld von den Kundenkonten zu entwenden oder die Verschlüsselung von Daten vorzunehmen beispielsweise. Zudem haben wir ganz zielgerichtete Angriffe. Entweder auf Personen, auf bankfachliche Prozesse oder auf die Institute selbst. Das ist der Spannungsbogen der Cyber-Risiken, die wir schon seit längerer Zeit haben.

Was jetzt neu ist und auch die Assekuranz betrifft: wir erleben im Jahr 2018 eine dramatische Steigerung der Quantität und in bestimmten Bereichen auch eine enorme Steigerung der Qualität, insbesondere der Trojaner und personalisierter Phishing-Mails.

 

Weitere spannende Trends aus der Versicherungs-IT gibt es auf dem Messekongress IT in Versicherungen!

26./27. November in Leipzig. Seien Sie dabei!

Sie haben gerade angesprochen, dass Trojaner stark zunehmen und eine neue Generation von Trojanern existiert. Diese sind in der Lage, ihre Funktionalität als Schadsoftware zu verschleiern. Wie kann man sich davor schützen?

 

Einen Trojaner muss man natürlich erst einmal bekommen, in einer Form, dass man ihn analysieren kann. Das ist schon eine Kunst an sich. Da gibt es verschiedene Methoden. Die Herausforderung ist, den Trojaner, der verschlüsselt ist, so zu dechiffrieren, so zu analysieren, dass man weiß, was er konkret vorhat. Und da haben wir ein Mengenproblem. Um das mal zu verdeutlichen: Wir haben am Tag etwa 390.000 Schadsoftwaren, die neu hinzukommen. Sie müssen erst einmal aus der Menge der Software, die neu entsteht, herausfinden: Was ist eine Abwandlung bereits bestehender und bekannter Schadsoftware? Was ist inhaltlich wirklich neu und was ist eine Bedrohung für die Sparkasse oder eine Bedrohung für die Versicherung? Und wenn Sie soweit sind, dann widmen Sie sich den Dingen, die konkret für Ihr Haus oder für Ihre Branche eine Bedrohung sein können. Da sind die Trojaner mit dabei. Der Trojaner kommt auch nicht alleine, sondern er hat immer Geschwister an seiner Seite, zum Beispiel personalisierte Phishing-Mails, die vorgeschaltet sind, damit Sie sich den Trojaner auf Ihrem Rechner einfangen.

Das ist eine Kombination an Dingen, die hier zusammenwirkt, mit dem Ziel, Daten von Ihnen zu entwenden oder Daten zu verschlüsseln oder Gelder umzuleiten oder Sie aufzufordern, irgendwelches Geld zu überweisen. Der Trojaner alleine ist es nicht. Sondern das Zusammenwirken – wer steuert den Trojaner aus dem Darknet oder aus dem Internet heraus und wer fängt ihn ein. In der Regel fängt man ihn sich ein, weil man auf einen Trickbetrüger, auf eine betrügerische E-Mail, die perfekt getäuscht war, hereingefallen ist. Die neuartigen Trojaner haben interessante Werkzeuge, Verschleierungstechnologien. Wir nennen das obfuskieren. Also das Erschweren, den Urheber dieses Trojaners zu erkennen. Zu erkennen, aus welchen Hintergründen er gesteuert wird und letztlich das dechiffrieren dieses Trojaners zu erschweren und teilweise fast unmöglich zu machen. Das ist die neue Generation, das ist die Herausforderung, die wir haben.

 

Wenn man das Thema IT-Sicherheit im eigenen Haus behandelt, ist es ja auch wichtig, auf die IT- Sicherheit der anderen zu achten, mit denen man zusammenarbeitet – Stichwort Dienstleister. Wie können Sie denn hier die Sicherheit gewährleisten?

Wenn man ein Vertragspartner hat, muss man gewährleisten, dass man das eigene Sicherheitsniveau auf die Vertragspartner ausdehnt. Das ist ja auch im Sinne des Gesetzes und auch im Sinne der BaFin – das BaFin-Merkblatt zum Thema Cloud Outsourcing, dass man seinen Sicherheitsstandard auch auf seine Dienstleister überführt. Im Zuge dessen muss man die entsprechenden Mechanismen einführen, um zu überprüfen, ob der Dienstleister das auch einhält. Sonst hat man natürlich eine offene Flanke, eine Achillesferse, die irgendwann mal schmerzt.

Wir haben ja schon gehört, dass neuartige Trojaner eine ganz neue Herausforderung sind. In einem World Café mit IT-Sicherheitsexperten haben Sie noch weitere Herausforderungen in der IT-Sicherheit zusammengetragen. Können Sie das noch einmal zusammenfassen?

Das ist natürlich einiges. Das Thema Cloud ist ein ganz wichtiges, weil es ein aktuelles Thema ist. Nicht nur aus Sicherheitsgründen, sondern auch vertraglich-rechtlichen Gründen. Aber wir haben eben die Herausforderung, dass wir 2018 die ersten Schadsoftwaren erlebt haben, die mit Instrumenten künstlicher Intelligenz entwickelt wurden. Und das ist die neue Generation, die wir erwarten. Das Katz- und Mausspiel wird interessanter, weil Mechanismen der sogenannten Artificial Intelligence angewendet werden. Und wir müssen uns vor diesen Herausforderungen wappnen. Betrüger benutzen diese Instrumente, um massenweise nach Schwachstellen in Unternehmen zu suchen. Und alle Systeme, die mit dem Internet in Verbindung stehen, können eine Schwachstelle zeigen. Früher hat der Betrüger das mit herkömmlichen Methoden gemacht, heute versucht das eine Maschine. Damit ist es wesentlich anspruchsvoller für das Unternehmen, sich davor zu schützen. Es kommt eben darauf an, dass man das Patch Management für alle Anwendungen, die man betreibt, aktualisiert hält. Das sind Mindesterwartungen, die man auch bei Dienstleistern durchsetzen muss. Das ist eine Maßnahme. Sonst gibt es da kein Geheimrezept.

Man muss feststellen können, mit einer entsprechenden Organisation – Cyber-Abwehr-Organisation oder Security Operations Center – dass man sich möglicherweise eine Bedrohung eingefangen hat, um rechtzeitig reagieren zu können. Die Herausforderung der Zukunft wird sein, hier KI-Instrumente des maschinellen Lernens zum Einsatz zu bringen. Das wird nicht nur die Herausforderung in 2019 sein sondern uns viele Jahre begleiten. 

Dann hoffe ich, dass Sie das schaffen und dass Sie das Katz- und Mausspiel gewinnen.

Blog abonnieren und keinen Beitrag verpassen!

Hier geht es zum Blog-Abo!
Bärbel Büttner
Bärbel Büttner unterstützt als Referentin für Social Media seit 2013 das Team "Unternehmenskommunikation, Wissensportal und Partnerbetreuung" der Versicherungsforen Leipzig. Ihr Schwerpunkt liegt in der Betreuung und Entwicklung der Social-Media-Präsenz der Versicherungsforen Leipzig. Dabei ist sie u.a. für die redaktionelle Betreuung des »Fachblogs für die Assekuranz« zuständig.