Sind klassische Banken überholt? Fintechs, also Bezahldienste wie Paypal und Klarna oder Finanz-Startups wie N26, haben sich längst durchgesetzt und gehören für Millionen Deutsche zum Alltag. Durch ihre hohe Verbreitung finden allerdings auch Hacker diese Bezahldienste immer interessanter: Laut einer aktuellen Kaspersky-Studie nehmen sich Cyberkriminelle 2020 verstärkt Fintechs als Ziele vor.
Schon jetzt müssen Fintech-Anbieter strengste Compliance-Anforderungen erfüllen, da sie im Rahmen ihrer Dienstleistungen schützenswerte personenbezogene Daten sowie Finanzdaten speichern, übertragen und verarbeiten. Entsprechend empfindlich sind die Strafen bei Verstößen gegen diese Anforderungen: Erst im Mai 2019 hat die Berliner Datenschutzbehörde ein Bußgeld von 50.000 Euro gegen eine App-Bank verhängt[1].
Social Engineering: Schwachstelle Mensch
Müssen sich Fintechs im kommenden Jahr also noch stärker absichern als bisher? Die Experten von Kaspersky jedenfalls raten Anbietern dazu, ihr Augenmerk auf Cloud-Infrastrukturen zu legen und warnen explizit vor Social Engineering[2].
Was das bedeutet? Cloud-Security-Experte Dr. Hubert Jäger von der TÜV SÜD-Tochter uniscon GmbH klärt auf: „Beim Social Engineering manipulieren Cyberkriminelle ihre Opfer – meist mit der Absicht, an vertrauliche Informationen zu gelangen“. Auf diese Weise können die Angreifer zum Beispiel Zugangsdaten von Fintech-Mitarbeitern erbeuten. Mit diesen, so Jäger, könnten sich Hacker dann Zugriff zu den Systemen des Unternehmens verschaffen und dort etwa sensible Kundendaten entwenden oder manipulieren.
Besonders problematisch ist dies in Verbindung mit privilegierten Nutzerkonten, wie sie in vielen Rechenzentren und Unternehmen für Administrationsaufgaben vorgesehen sind. Denn diese Konten verfügen häufig über uneingeschränkte Zugriffsrechte. „Selbst, wenn die Daten verschlüsselt übertragen und gespeichert werden, müssen sie zur Verarbeitung unverschlüsselt auf den Unternehmensservern vorliegen. In diesem Zustand sind sie den Cyberkriminellen nahezu schutzlos ausgeliefert“, sagt Jäger.
Eigene Server sicherer als die Cloud?
Dabei spielt es keine Rolle, ob die Fintechs dazu auf externe Cloud-Infrastrukturen zurückgreifen oder Kundendaten im eigenen Rechenzentrum verarbeiten: Die meisten Server-Architekturen sehen privilegierte Admin-Zugriffe vor, die von Angreifern missbraucht werden können. Und vor den Methoden der Cyberkriminellen sind weder die eigenen Mitarbeiter noch die Mitarbeiter der Cloud-Dienstleister gefeit. Jäger: „Solange die Schwachstelle Mensch existiert, werden Hacker versuchen, sie auszunutzen“
Weiterführende Informationen und Beiträge zu den Themen Datenschutz, Datensicherheit und IT-Security finden Sie im privacyblog der uniscon GmbH.
[1] https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-App-Bank-N26-soll-50-000-Euro-Bussgeld-zahlen-4431356.html
[2] https://securelist.com/ksb-2019/
Schon jetzt müssen Fintech-Anbieter strengste Compliance-Anforderungen erfüllen, da sie im Rahmen ihrer Dienstleistungen schützenswerte personenbezogene Daten sowie Finanzdaten speichern, übertragen und verarbeiten. Entsprechend empfindlich sind die Strafen bei Verstößen gegen diese Anforderungen: Erst im Mai 2019 hat die Berliner Datenschutzbehörde ein Bußgeld von 50.000 Euro gegen eine App-Bank verhängt[1].
Social Engineering: Schwachstelle Mensch
Müssen sich Fintechs im kommenden Jahr also noch stärker absichern als bisher? Die Experten von Kaspersky jedenfalls raten Anbietern dazu, ihr Augenmerk auf Cloud-Infrastrukturen zu legen und warnen explizit vor Social Engineering[2].
Was das bedeutet? Cloud-Security-Experte Dr. Hubert Jäger von der TÜV SÜD-Tochter uniscon GmbH klärt auf: „Beim Social Engineering manipulieren Cyberkriminelle ihre Opfer – meist mit der Absicht, an vertrauliche Informationen zu gelangen“. Auf diese Weise können die Angreifer zum Beispiel Zugangsdaten von Fintech-Mitarbeitern erbeuten. Mit diesen, so Jäger, könnten sich Hacker dann Zugriff zu den Systemen des Unternehmens verschaffen und dort etwa sensible Kundendaten entwenden oder manipulieren.
Besonders problematisch ist dies in Verbindung mit privilegierten Nutzerkonten, wie sie in vielen Rechenzentren und Unternehmen für Administrationsaufgaben vorgesehen sind. Denn diese Konten verfügen häufig über uneingeschränkte Zugriffsrechte. „Selbst, wenn die Daten verschlüsselt übertragen und gespeichert werden, müssen sie zur Verarbeitung unverschlüsselt auf den Unternehmensservern vorliegen. In diesem Zustand sind sie den Cyberkriminellen nahezu schutzlos ausgeliefert“, sagt Jäger.
Eigene Server sicherer als die Cloud?
Dabei spielt es keine Rolle, ob die Fintechs dazu auf externe Cloud-Infrastrukturen zurückgreifen oder Kundendaten im eigenen Rechenzentrum verarbeiten: Die meisten Server-Architekturen sehen privilegierte Admin-Zugriffe vor, die von Angreifern missbraucht werden können. Und vor den Methoden der Cyberkriminellen sind weder die eigenen Mitarbeiter noch die Mitarbeiter der Cloud-Dienstleister gefeit. Jäger: „Solange die Schwachstelle Mensch existiert, werden Hacker versuchen, sie auszunutzen“
Weiterführende Informationen und Beiträge zu den Themen Datenschutz, Datensicherheit und IT-Security finden Sie im privacyblog der uniscon GmbH.
[1] https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-App-Bank-N26-soll-50-000-Euro-Bussgeld-zahlen-4431356.html
[2] https://securelist.com/ksb-2019/
