Cybersecurity: Mit Schwachstellenmanagement die Kernbankensysteme schützen

Keyfacts:

 

• In vielen Unternehmen ist das Schwachstellenmanagement verbesserungswürdig – oft mit fatalen Folgen.
• Generative künstliche Intelligenz (KI) in den Händen von Angreifern führt dazu, dass Lücken schnell für großen Schaden sorgen können.
• Finanzunternehmen begegnen dieser Gefahr ebenfalls mit KI, die auch die Abwehr verbessern kann.

Wie der Schutz vor Cyberangriffen funktioniert, lässt sich am besten verstehen, wenn man sich eine Zwiebel vorstellt. Bei ihr umschließen mehrere Lagen schützend das Innerste – und so ist das auch beim Aufbau einer guten Infrastruktur für Cybersicherheit.

Unabhängig davon, ob die IT-Infrastruktur über Server im Haus gesteuert wird (On-Premise), in der Cloud liegt oder als hybride Lösung betrieben wird: Stets umhüllt eine zwiebelartige Struktur die schützenswerten Bereiche eines Unternehmens. Das dient der Netztrennung (auch Zonierung und Segmentierung genannt) und erhöht die Sicherheit.

Schutz des Kernbankensystems

Banken und andere Finanzunternehmen haben Angreifer besonders im Visier. Denn Schaden an kritischer Infrastruktur bedeutet auch immer gleich einen Schaden für die Allgemeinheit.

Ein Beispiel für einen besonders schützenwerten Bereich in Finanzunternehmen ist das Kernbankensystem. Dieses wird in mehreren Schichten umhüllt von weiteren IT-Systemen.

Je weiter am Rand gelegen, desto geringer sind die Auswirkungen eines erfolgreichen Angriffs – so eine weit verbreitete Meinung. Mehrere Studien haben aber gezeigt, dass es genau diese peripheren Systeme sind, die für mehr als vier von zehn erfolgreichen Cyberangriffen genutzt werden – die Dunkelziffer könnte noch höher liegen.

Egal in welcher Schicht: Eindringlinge richten Schaden an

Das unterstreicht die Notwendigkeit, im Bemühen um optimalen Schutz alle Ebenen der IT-Infrastruktur zu berücksichtigen und nicht nur die als kritisch eingestuften Kernbereiche. Denn wenn Angreifer einmal in eine äußere Schicht eindringen, haben sie zwar das zentrale Ziel, den Kern zu erreichen, noch nicht erreicht. Und doch befinden sie sich bereits innerhalb der Sicherheitsstruktur.

Ohne angemessene Überwachung der äußeren Schicht, um beim Bild der Zwiebel zu bleiben, bleiben Eindringlinge möglicherweise unbemerkt, sammeln Informationen und bewegen sich ungestört weiter in Richtung des Kerns. Auf diesem Weg können sie weitere Privilegien erlangen, Logs kompromittieren und Schadsoftware installieren.

Viele Lücken, zu langsam: Defizite im Schwachstellenmanagement

Um die IT-Sicherheitszwiebel effektiver zu schützen, müssen Unternehmen nach unserer Auffassung ihren Security-Ansatz anpassen. Die klassische Risikobewertung ist zwar bewährt – sie reicht aber oft nicht aus. Das unterstreichen wiederkehrende Studien, die belegen, dass fast alle Großunternehmen Defizite im Umgang mit Schwachstellen haben, dass sie nicht regelmäßig genug alle Schichten der IT-Schutzstruktur scannen und kritische Schwachstellen nicht schnell genug patchen.

Ein ganzheitlicher Ansatz für das Schwachstellenmanagement schafft Abhilfe. Es beinhaltet unter anderem ein kontinuierliches Testing, das die gesamte IT-Infrastruktur – sowohl von innen als auch von außen – auf bekannte und neue Schwachstellen hin überprüft.

Hier zeigt sich die große Bedeutung der Threat Intelligence. Durch eine proaktive Bedrohungsüberwachung, die über das bloße Monitoring bekannter Schwachstellen hinausgeht, können aufkommende Bedrohungstrends identifiziert und geeignete Maßnahmen ergriffen werden.

Tools helfen beim Erstellen einer Gesamtsicht auf die IT-Struktur in Echtzeit

Aber wie sollen Banken, Versicherungen und andere Finanzunternehmen solche Vorkehrungen lückenlos umsetzen und dabei in der Lage bleiben, im Ernstfall umgehend Gegenmaßnahmen einzuleiten? Ein toolgestützter Ansatz mit regelmäßigen Auswertungen hilft dabei, die gesamte IT-Unternehmensinfrastruktur intern zu überprüfen, ohne den operativen Betrieb zu gefährden. Oft werden hierzu sogenannte Breach-and-Attack-Simulation-Tools verwendet, um Angriffspfade in der Infrastruktur zu ermitteln und diese mit der Risikobewertung abzugleichen.

Für den Blick von außen kommen Attack-Surface-Management-Tools zum Einsatz. Sie ermöglichen es, die gesamte Außensicht des Unternehmens zu scannen und auszuwerten, ohne dass dafür etwas auf den Systemen installiert werden muss. Diese Ergebnisse werden mit denen der internen Sicht korreliert, um einen umfassenden Maßnahmenkatalog zu erstellen.

Generative KI verändert Angriffe und Abwehr gleichermaßen

Kontinuierliches Testing ist essenziell für die ständige Verbesserung der Resilienz einer IT-Infrastruktur. Allerdings ist es wichtig zu erkennen, dass die Bedrohungslandschaft sich ständig weiterentwickelt. Unternehmen nannten Anfang des Jahres 2024 erneut Cyberbedrohungen als Nummer-eins-Risiko. Das Geschehen wird zunehmend dynamischer, insbesondere durch den Fortschritt bei der Leistungsstärke von generativer künstlicher Intelligenz.

Diese Technologie hat das Potenzial, sowohl als leistungsstarkes Werkzeug zur Verbesserung unserer Sicherheitsmaßnahmen eingesetzt zu werden – etwa im Security Information Event Management (SIEM) –, als auch die Angriffsszenarien zu verändern.

Phishing oder gefälschte Inhalte: KI macht hochpersonalisierte Angriffe möglich

Generative KI-Systeme, die in der Lage sind, realistische Texte, Bilder und sogar Code zu erzeugen, könnten von Angreifern genutzt werden, um ausgeklügelte Phishing-Kampagnen, gefälschte Inhalte oder Malware zu erstellen. Solche Angriffe können schwerer zu erkennen sein, da sie oft hochpersonalisiert und überzeugend wirken.

Auf der anderen Seite bietet der Einsatz von KI in der Cyberabwehr die Möglichkeit, Auffälligkeiten (Anomalien) und Bedrohungen schneller und effizienter zu erkennen, indem große Datenmengen in Echtzeit analysiert werden. Ein weiteres Anwendungsbeispiel für das Identity & Access Management (IAM) haben wir im Zusammenhang mit digitalen Identitäten beschrieben.

Der Einsatz von KI in Sicherheitssystemen erfordert aber auch eine ständige Überwachung und Anpassung, da KI-Modelle selbst Angriffsziele sein können, beispielsweise durch Techniken wie das sogenannte Adversarial Machine Learning. Dabei manipulieren Angreifer bewusst Daten, um KI-Systeme zu täuschen.

DORA im Blick – simulierte Angriffssimulationen nutzen

In diesem dynamischen Umfeld kann ein einmalig durchgeführter Scan das Geschehen anhand einer Angriffssimulation (Threat-Led Penetration Testing TLPT), so wie neben weiteren Tests und Methoden im Digital Operational Resilience Act (DORA) vorgesehen, deutlich verbessern. TLPTs sollten ebenfalls als ein integrales Überwachungswerkzeug im Schwachstellenmanagement eingesetzt werden. Der Scan kann den TLPT effizienter gestalten, was zu Kosteneinsparungen führt.

Dennoch sollten diese Maßnahmen regelmäßig und fortlaufend durchgeführt werden. Das erhöht langfristig die Sicherheit und schafft die Voraussetzung dafür, dass Finanzunternehmen mit der rasanten Entwicklung in der Bedrohungslandschaft Schritt halten – ein generelles Ziel der europäischen und nationalen Aufsicht, wenn man auf DORA, den aktuellen EBZ-Cyberstresstest und von der BaFin angekündigte Krisenübungen schaut.

Nur ein kontinuierlicher Ansatz mit einem risikobasierten Mix aller Möglichkeiten und deren Integration in das Schwachstellenmanagement kann zu einer nachhaltigen Verbesserung der Resilienz führen.

Durch die gezielte Integration fortschrittlicher KI-Algorithmen in das Schwachstellenmanagement können bestehende Sicherheitsrisiken effizient identifiziert und neutralisiert werden. Zudem kann auch präventiv gegenüber neuartigen und sich entwickelnden Bedrohungen gehandelt werden, indem kontinuierlich Daten analysiert, Muster erkannt und Prognosen über potenzielle Schwachstellen erstellt werden.