- Anzeigen -


Datensicherheit in der Finanzbranche


Sicherheitstests von BT mit "CREST STAR"-Zertifizierung unterstützen Finanzinstitute bei der Abwehr von Cyber-Angriffen
Im Rahmen von Assure Ethical Hacking for Finance nutzt BT CREST-zertifizierte STAR-Services, um Finanzdienstleister bei der Entwicklung zuverlässiger Sicherheitslösungen zu unterstützen

(13.10.15) - BT bietet ab sofort weltweit ihren neuen Sicherheits-Service "BT Assure Ethical Hacking for Finance" an. Mit aufwändigen Testverfahren wird geprüft, in welchem Maße Finanzdienstleister durch Cyber-Angriffe gefährdet sind. Finanzinstitute wie Banken und Versicherungsunternehmen verfügen über eine Vielzahl wertvoller und hoch sensibler Kundendaten, was sie zu einem der begehrtesten Ziele für Hacker und Cyberkriminelle macht. Das Risiko, Ziel eines Angriffs zu werden, ist in den vergangenen Jahren weiter gewachsen, da immer mehr Bankdienstleistungen online angeboten werden und Wertpapiere in verstärktem Maße über elektronische Plattformen gehandelt werden.

Assure Ethical Hacking for Finance nutzt erprobte Verfahren, die das Vorgehen krimineller Hacker und Angreifer nachahmen. Mit einer Reihe von Verfahren werden die Einstiegspunkte der bankeigenen IT-Systeme getestet sowie potenzielle Schwachstellen im Unternehmen aufgedeckt. Überprüft werden unter anderem Mobilgeräte und sonstige Hardware von Laptops bis hin zu Druckern, interne und externe Netzwerke, Datenbanken und komplexe ERP-Systeme. BT testet nicht nur Systeme mit Netzwerkzugriff, sondern prüft auch, wie groß das Risiko eines menschlichen Fehlers ist. So wird beispielsweise mithilfe von Social Engineering getestet, ob die Mitarbeiter die Sicherheitsrichtlinien einhalten und wie hoch zum Beispiel die Anfälligkeit für einen Phishing-Angriff ist.

Der neue Service beruht auf den Erfahrungen mit Ethical Hacking, die BT in Zusammenarbeit mit führenden Finanzinstituten über zwei Jahrzehnte gemacht hat. Innerhalb eines strikt definierten Auftrags konnten die ethischen Hacker von BT zahlreiche Schwachstellen aufdecken. So konnten sie unter anderem

• >> Auszüge aus Datenbanken mit zehntausenden von Sozialversicherungs- und Kreditkartennummern beschaffen

• >> eingereichte Schecks abfangen und manipulieren

• >> firmeneigene Verschlüsselungsverfahren durch "Reverse Engineering" überwinden

• >> Wertkarten mit Guthaben von fremden (Test-)Konten aufladen

• >> sich mit Hilfe gefälschter E-Mails, die von arglosen Mitarbeitern geöffnet wurden, Administratorenrechte verschaffen

• >> Remote-Access-Verbindungen manipulieren, um Zugriff auf die Kommandoebene (Shell) von IT-Systemen zu bekommen und darüber eine direkte Verbindung (Tunnel) ins Unternehmensnetz aufzubauen

• >> Geldbeträge zwischen unautorisierten Testkonten transferieren

• >> vollständige Kontodaten für alle Nutzer abgreifen, indem sie die M2M-Kommunikation zwischen Backend-Systemen angriffen*.

Das übergeordnete Ziel dieser Tätigkeit besteht dabei immer darin, Schwachstellen zu identifizieren, die geschäftskritische Prozesse und somit auch das Ansehen und die Marke eines Unternehmens gefährden.

Im Rahmen von Assure Ethical Hacking for Finance nutzt BT CREST-zertifizierte STAR-Services (Simulated Targeted Attack and Response), um Finanzdienstleister bei der Entwicklung zuverlässiger Sicherheitslösungen zu unterstützen, so dass sensible Kundendaten bestmöglich geschützt werden. BT wurde als eines der ersten Unternehmen weltweit von CREST für die Bereitstellung von STAR-Services akkreditiert.

CREST hat die STAR-Zertifizierung entwickelt, um kontrollierte, maßgeschneiderte und intelligente Testverfahren im Bereich Cybersicherheit zu etablieren. STAR wurde in Zusammenarbeit mit der Bank of England und der britischen Regierung konzipiert. Mithilfe fortschrittlicher Penetrationstests und umfassender Bedrohungsanalysen sollen die Cyber-Gefahren noch präziser simuliert werden.

Mark Hughes, President BT Security, sagte: "Vertrauliche Finanzdaten sind für viele Hacker ein lohnendes Ziel. Kaum ein Unternehmen ist deshalb so attraktiv für Cyberkriminelle wie eine Bank. Abgesehen von den unmittelbaren finanziellen Verlusten kann eine schwerwiegende Sicherheitsverletzung irreparable Imageschäden nach sich ziehen. Auch wenn vor allem Privatkundenbanken im Visier der Täter stehen, sind Investmentbanken ebenso betroffen wie auch Geschäftskundenbanken, die Dienstleistungen wie Währungsumrechnungen und Handelstransaktionen für große Geschäftskunden bereitstellen. Wir raten allen Finanzinstituten, rigorose Tests zur Prüfung der Sicherheitsstandards durchzuführen. Unsere Ethical Hacker gehen dabei bis an die Grenzen der Sicherheitssysteme, die in Finanzinstitutionen implementiert sind." (BT: ra)

BT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Security & Safety-Services

  • Neue Dienstleistung zur Bedrohungsüberwachung

    Bitdefender bietet Hilfe durch hauseigene Security-Spezialisten: Das Unternehmen startete den Dienst "Bitdefender GravityZone Managed Endpoint Detection and Response" (MEDR). Im Rahmen dieses neuen Services überwacht ein hochqualifiziertes Team Unternehmensumgebungen, um diese vor schwer erkennbarer Malware zu schützen und IT- und Sicherheitsteams über potenzielle Risiken zu informieren. Darüber hinaus empfiehlt es geeignete Präventions- und Abwehrmaßnahmen. Bitdefender MEDR bietet Bedrohungsüberwachung, automatisierte Alarmierung und Alarmanalyse. Unternehmen erhalten so einen erweiterten Schutz und höchste Transparenz hinsichtlich ihrer aktuellen Bedrohungslage.

  • MSP-Optionen für One-Click Orchestrated Recovery

    StorageCraft stellt ihre erweiterten Disaster Recovery-as-a-Service (DRaaS) Cloud-Dienste für Managed Service Provider (MSP) vor. "StorageCraft DRaaS" für MSPs beinhaltet jetzt zudem Cloud-Pooling, One-Click Orchestrated Recovery und eine 30 Tage kostenlose Replikation von virtualisierten Infrastrukturen. MSPs bietet dies zusätzliche Umsatzmöglichkeiten, bessere Margen und ein erweitertes Marktpotenzial. Die StorageCraft Cloud Services wurden speziell für Notfallwiederherstellung und eine gesicherte Geschäftskontinuität entwickelt und werden in Tier-3-Rechenzentren gehostet, die Sicherheit der Enterprise-Klasse sowie 99,999prozentige Verfügbarkeit bieten.

  • Gegen Malware und Ransomware

    Mit "Threat 360", einem neuen "Cyber Threat Intelligence (CTI) Assessment Service", stellt Fujitsu eine Lösung vor, die Unternehmen vor Lücken in ihren Sicherheitssystemen und damit vor besonderer Anfälligkeit gegenüber Cyber-Angriffen schützen soll. Der "Threat 360 Service" von Fujitsu versetzt die Nutzer in die Lage, die Lücken zu schließen und damit auch besonders raffinierten Angreifern zu widerstehen. Das bedeutet mehr als "nur" die unmittelbare Sicherheit der Systeme - auch vor den Folgekosten, regulatorischen Strafen oder einem Imageschaden brauchen sich die Unternehmen nicht mehr zu fürchten. Threat 360 hilft entscheidend beim Kampf gegen Malware, Ransomware und Datenverlust.

  • Service erkennt Malware

    Angriffe auf Unternehmen und sensible Geschäftsdaten gehören mittlerweile zur Tagesordnung. Dabei gehen die Cyberkriminellen immer professioneller und gezielter vor. So lassen sich Spam-Mails aufgrund korrekter Sprache und einem glaubwürdigen Design oftmals nicht sofort als solche identifizieren. Erst auf den zweiten Blick erkennt man, dass es sich hierbei um eine manipulierte E-Mail mit bösartigem Anhang handelt. Die Hacker nutzen Dateien wie Microsoft Word-Dokumente als Mittel, um Malware einzuschleusen. Dabei kann schon eine einzige, mit einer Schadsoftware infizierte, Datei ein ganzes Unternehmen lahmlegen.

  • IT-Sicherheitsteams sind unterbesetzt & überlastet

    Trend Micro erweitert ihr Portfolio um einen neuen Dienst für Managed Detection & Response. Die IT-Sicherheitsanbieterin setzt dabei auf künstliche Intelligenz (KI) und eine umfassende Datenbank mit Bedrohungsinformationen. Trend Micro kündigt einen neuen Dienst für Managed Detection and Response (MDR) an. Zusätzlich wird das gesamte Lösungsportfolio um neue KI-gestützte Fähigkeiten erweitert. Dadurch können Security Operations Center (SOCs) kritische Bedrohungsmeldungen noch besser selektieren und priorisieren.