Hacker nehmen Angestellte und Kunden statt Technik ins Visier

Kriminelle konzentrieren sich bei Angriffen auf Computersysteme von Banken und Finanzhäusern längst nicht mehr nur auf die Technik, sondern versuchen, sensible Daten über Mitarbeiter und Kunden direkt auszuspähen. Zu diesem Schluss kommt eine heute in Frankfurt am Main veröffentlichte Studie der Unternehmensberatung Deloitte, für die weltweit hundert Finanzhäuser befragt wurden. Demnach nahm die Häufigkeit von internen Angriffen im vergangenen Jahr stärker zu als die von außerhalb.

"Kriminelle Strategien zielen nun häufiger gegen menschliches Verhalten als gegen technische Sicherheitslücken", lautet einer der Kernsätze der Studie. Demnach gaben 35 Prozent der befragten Sicherheitsmanager bei Banken, Fondsgesellschaften und Versicherungen an, es habe innerhalb des letzten Jahres Angriffe aus dem Unternehmen selbst gegeben; im Vorjahr waren es nur 14 Prozent gewesen. Im Vergleich beobachteten 26 Prozent der befragten Studienteilnehmer Attacken von außen (2004: 23 Prozent).

Fehlendes Sicherheitsbewusstsein bei Angestellten

"Der Anstieg der Angriffe über interne Wege hat weniger mit kriminellen Mitarbeitern oder Schusseligkeit zu tun, sondern eher mit einem fehlenden Sicherheitsbewusstsein", sagte der Mitautor der Studie, Stefan Weiss. "Mitarbeiter geben teilweise sorglos ihre Firmen-E-Mails auf Websites an, etwa um Newsletter zu bestellen. Über die Adresse können Hacker versuchen, intern bestimmte Informationen zu bekommen." Dabei werde die Adresse von Kriminellen etwa genutzt, um sich gegenüber anderen Angestellten als Kollege auszugeben, um so "auf dem Dienstweg" an sicherheitsrelevante Daten zu kommen.

"Besonders beliebt" seien auch Späh-Angriffe auf Systemadministratoren der Finanzhäuser, sagte Weiss weiter. Diese gäben in Chat-Foren, wo allgemein über technische Probleme diskutiert werde, oft unbeabsichtigt Hinweise über die eigenen Sicherheitsvorkehrungen preis.

Auf der Kundenseite wird für die Finanzhäuser das so genannte Phishing, Pharming oder Farming immer mehr zum Problem. Dabei geben sich Hacker in gefälschten E-Mails oder auf nachgemachten Websiten als das Institut aus und bringen den Nutzer dazu, etwa Passwörter weiterzugeben.

Noch kein Patentrezept gegen neue Methoden gefunden

Mit ein Grund für das Ausweichen der Kriminellen auf den Faktor Mensch sei gerade der verstärkte Einsatz von Sicherheitstechnologie, wie Anti-Virenprogrammen, Firewalls und die Überwachung des Datenverkehrs, vermutete Weiss. "Bei der Implementierung technischer Lösungen und eines standardisierten Sicherheitsmanagements zum Schutz vor externen Bedrohungen hat der Finanzsektor in Europa große Fortschritte gemacht. Gegen die steigende Zahl neuer interner Sicherheitsverstöße und Angriffe, die sich sogar vermehrt direkt gegen die Kunden der Banken richten, ist allerdings noch kein Patentrezept gefunden."

Weiss forderte eine bessere Information von Mitarbeitern und Kunden, um das Sicherheitsbewusstsein zu schärfen. Dazu gehörten auch nachvollziehbare Sicherheitsrichtlinien und -standards. Allerdings zeige die Umfrage, dass Schulung und Aufklärung bei den Finanzhäusern noch immer nicht die notwendige Priorität habe. Weniger als die Hälfte (46 Prozent) plane in den kommenden zwölf Monaten derartige Aktionen. Und Strategien, die das Sicherheitsbewusstsein beim Kunden stärken sollen, wollten nur ganz wenige Banken umsetzen.