Die Empfehlungen für Finanzinstitutionen
Die Empfehlung für die Finanzinstitutionen besteht darin, die Best Practices für die Cyber-Hygiene der SWIFT-Pflichtkontrollen in ihr übergreifendes Sicherheitsprogramm zu integrieren.
„Banken sollten die SWIFT-Kontrollelemente dabei nicht als „Einzelfälle“ betrachten, die getrennt behandelt werden müssen.“
So Dipl.-Ing. Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks.
Durch die Integration in ihr Cyber-Sicherheitsprogramm erreichen sie einen ganzheitlicheren Ansatz und können eine fortlaufende Compliance sicherstellen.
Dipl.-Ing. Thorsten Henning beschäftigt sich seit über 20 Jahren mit Netzwerken und IT-Sicherheit. Er leitet bei Palo Alto Networks das Systems Engineering für Zentral- und Osteuropa und berät Großkunden zu IT-Sicherheitslösungen der nächsten Generation – Netzwerk, Cloud und Endpoints inbegriffen. Zuvor war Thorsten Henning für namhafte Hersteller wie 3Com, Ascend Communications, Lucent Technologies und Juniper Networks tätig.
Die wichtigsten Kontrollmaßnahmen
- Schutz der SWIFT-Umgebung (1.1): Die Segmentierung der lokalen SWIFT-Infrastruktur vom Rest der IT-Umgebung wäre ein wichtiger erster Schritt. Dies würde den Zugriff auf/von den lokalen SWIFT-Elementen durch Angreifer auf potenziell kompromittierten Endpunkten und sogar durch bösartige Insiderakteure beschränken.
- Betriebssystem-privilegierte Kontenüberwachung (1.2) und Multi-Faktor-Authentifizierung (4.2): Zusätzlich zu der Richtlinie der geringsten Rechte sollten Konten auf Administratorebene mit Multi-Faktor-Authentifizierung (MFA) geschützt werden. Natürlich sollte MFA auch für den Zugang zu kritischen Systemen wie SWIFT eingerichtet sein. Dies begrenzt den Wert der Zugangsdaten, die von einem Angreifer gestohlen wurden.
- Sicherheit des internen Datenflusses (2.1) und logische Zugangskontrolle (5.1): Um die Integrität der Kommunikation zwischen SWIFT-bezogenen Komponenten zu gewährleisten, erhalten Banken Einblick in den Datenverkehr und steuern ihn basierend auf Anwendungen, Benutzern und Inhalten. Sicherheitsrichtlinien können dann mit dem Kontext der tatsächlichen Anwendung und Benutzeridentität definiert werden, um einen autorisierten Zugriff auf die Daten auf sichere Weise zu ermöglichen.
- Sicherheitsupdates (2.2), Malware-Schutz (6.1) und Software-Integrität (6.2): Das rechtzeitige Patchen von Software auf Sicherheitslücken ist eine Notwendigkeit. Es gibt jedoch Fälle, in denen dies aufgrund von Software nach Ablauf des Supports oder aus anderen Gründen nicht möglich ist. Hier ist ein erweiterter Endpunktschutz gegen Malware und Exploits eine sinnvolle Alternative zur Aufrechterhaltung der Integrität der Produktionsumgebung. Generell ist der erweiterte Endpunktschutz herkömmlichen Antiviren- und Anti-Malware-Lösungen ohnehin überlegen.
- Protokollierung und Überwachung (6.4): Wenn die lokale SWIFT-Infrastruktur durch die Netzwerksegmentierung geschützt ist, verfügen diese Firewalls über wichtige Informationen sowohl über normale als auch über unerwartete Datenflüsse in die Umgebung und aus der Umgebung heraus. Diese Firewall-Protokolle sollten auf Anomalien in den Verkehrsmustern überprüft werden, da diese auf unerwünschte Aktivitäten hindeuten können.
Angriffe auf SWIFT-Mitglieder
Die beiden zuletzt publik gewordenen Angriffe auf SWIFT-Mitglieder erfolgten im Oktober 2017 in Taiwan und Nepal. Davor gab es im Dezember 2016 einen Angriff in der Türkei. Obwohl man sagen könnte, dass sich das Tempo der Angriffe auf SWIFT-Mitglieder seit dem Höhepunkt, der Mitte 2016 zu beobachten war, verlangsamt hat, ist nicht ratsam, die empfohlenen Sicherheitskontrollen zu ignorieren. Unabhängig von SWIFT lohnt es sich, dafür zu sorgen, dass die grundlegende Cyber-Sicherheit und Cyber-Hygiene Teil des eigenen Sicherheitsprogramms ist.
