Nahezu jedes Unternehmen in Finanzbranche von Cyberangriffen betroffen
Aktuelle Studie von YesWeHack zeigt Status Quo in Sachen Cyberattacken auf Banken, Versicherungen und Finanzdienstleister der DACH-Region.
Die Studie deckt auf, in welchem Umfang Finanzinstitute in den vergangenen Monaten das Ziel von Cyberangriffen waren, welche Methoden Hacker bisher angewendet haben und welche für die kommenden Monate erwartet werden.
Lediglich rund sieben Prozent der Studienbefragten gaben an, in den letzten zwölf Monaten keinem Cyberangriff zum Opfer gefallen zu sein. Mit 76 Prozent verzeichnete die Mehrheit der Befragten zwischen einer und 20 erfolgreicher Attacken. Fast jedes zehnte Finanzinstitut hatte mit 21 bis 50 Attacken zu kämpfen, rund vier Prozent sogar mit über 50. Besonders betroffen sind Großunternehmen mit mehr als zehn Milliarden Euro Umsatz, von denen fast jedes zweite (46 Prozent) schon Opfer von mindestens zehn Angriffen war.
Hacker suchen gezielt nach Logikfehlern
Hacker können allerdings mit einfachen, altmodischen Taktiken kaum noch Erfolge erzielen, da ihre Sie nutzen daher häufiger komplexe Szenarien, wie etwa Angriffe über die Geschäftslogik (Business Process Compromise). Dabei suchen Hacker gezielt nach Schlupflöchern in den Unternehmensprozessen im Sinne von Logikfehlern, die sie für ihre Zwecke ausnutzen können. 51 Prozent der Befragten berichten von Credentials-Diebstahl, insbesondere durch Social-Engineering-Angriffe wie Phishing. Auf Platz drei der häufigsten Angriffsszenarien liegt Ransomware mit knapp 39 Prozent, gefolgt von Insider Threats mit 38 Prozent und Attacken auf Datenbanken (beispielsweise über Brute-Force-Angriffe) mit 37 Prozent.
Mehr Digitalisierung, mehr Sicherheitslücken
Knapp 54 Prozent der Befragten gaben an, dass Business Process Compromise in den letzten beiden Jahren gestiegen bis stark gestiegen sei. „Ein Grund für diesen Anstieg ist sicher, dass die Entwicklung von Anwendungen meist auf der Basis moderner Frameworks erfolgt, die sicherer sind und weniger technische Schwachstellen beinhalten – abgesehen natürlich von Ausnahmen, wie etwa der Log4Shell-Sicherheitslücke. Im Gegenzug werden Unternehmensprozesse immer komplexer, die Digitalisierung nimmt zu, was zu Sicherheitslücken führt, die für Hacker besonders lukrativ sind“, sagt Phil Leatham, Senior Account Executive von YesWeHack Deutschland. Jeder zweite Befragte (51 Prozent) geht davon aus, dass Ransomware in den kommenden zwölf Monaten noch zunehmen bis stark zunehmen wird. Eine ähnliche Entwicklung wird für Angriffe auf Webanwendungen (48 Prozent) sowie auf Datenbanken (46 Prozent) vorhergesagt.
99 Prozent erfüllen Anforderungen der Bankenaufsicht
Die Komplexität der Angriffe nimmt zu, aber Banken, Versicherungen und Finanzdienstleister sind dafür gerüstet: Nur rund ein Prozent der Institute erfüllen die neuesten „Bankaufsichtlichen Anforderungen an die IT“ – kurz BAIT – noch nicht. Diese schreiben regelmäßige Schwachstellen-Scans, Penetrationstests bzw. Simulation von Angriffen vor. 71 Prozent prüfen ihre IT-Systeme und Anwendungen mithilfe einmaliger Penetrationstests unabhängiger Dienstleister, 60 Prozent mithilfe einmaliger Tests durch unternehmenseigene Prüfer. 39 Prozent setzen auf eine regelmäßige Überprüfung im Rahmen von Bug-Bounty-Programmen externer Dienstleister. In vielen Unternehmen werden mehrere Prüfszenarien umgesetzt.
Für die Studie wurden im Februar und März 2022 208 Expert*innen aus Banken, Versicherungen oder Finanzdienstleistern aus Deutschland, Österreich und der Schweiz befragt.