Prävention gegen Datenklau

Der moderne Banküberfall funktioniert heute mit PC und Internet-Anschluss. Professionelle, nicht auf den ersten Blick erkennbare Phishing-Angriffe auf das Online-Banking der Sparkasse sind inzwischen die Herausforderung Nummer eins.

Der Gefahr, Datendieben zum Opfer zu fallen, begegnen Sparkassen unter anderem mit Testangriffen, die der Deutsche Sparkassenverlag (DSV) etwa im Rahmen vertiefender Audits anbietet. So zum Beispiel auch der Stadtsparkasse Wuppertal, die den Sicherheitsstatus ihres DSL-Netzes überprüfte, das rund 80 Mitarbeiter nicht nur für Internetrecherchen nutzen. Auf dieser Datenautobahn tauscht das Institut mit externen Dienstleistern Daten aus. Und via DSL-Technik unterstützt die Hotline des Electronic Banking die Kunden auch per Fernwartung bei Fragen rund um StarMoney-Software.

„Für einen Testangriff braucht man Erfahrung im Umgang mit Hacker-Werkzeugen“, begründet Frank Tesche, Informationssicherheitsbeauftragter der Stadtsparkasse, seine Entscheidung für einen externen Dienstleister. „Die DSV-Experten kennen außerdem die Sicherheitsarchitektur der Sparkassen-Finanzgruppe bestens, ein wichtiger Vorteil.“ Auch bei der Interpretation der Ergebnisse legen die Wuppertaler Wert auf die Erfahrung der Spezialisten: „Wir wissen jetzt, was sich nicht nur unter Sicherheitsaspekten weiter optimieren lässt – etwa in der Dokumentation unserer Systemumgebung.“

Wölfe im Schafspelz

Anders als die meisten Thin-Client-Arbeitsplätze sind viele Laptops und Tablets nicht ausreichend gegen sogenannte Drive-by-Downloads geschützt. Schon der Klick auf einen Link kann reichen und die Schadsoftware ist installiert. Regelmäßig stellt sich somit die Frage, ob Sparkassenmitarbeiter sensibilisiert sind, wenn es um betrügerische E-Mails oder Internet-Links geht. Mithilfe von im Vorfeld umfassend abgestimmten Testangriffen liefert der DSV Antworten - und passende Maßnahmen wie ein Sensibilisierungskonzept, das neben Präsentationsvorträgen unter anderem auch WBTs umfasst. Im Fall einer Sparkasse in Thüringen lockte eine Testmail mit dem Hinweis auf notwendige technische Funktionsprüfungen Institutsmitarbeiter auf die gefälschte Webseite eines etablierten Dienstleisters aus der Sparkassen-Finanzgruppe. Dort sollten sie dann OSPlus-Daten preisgeben. Dieser vom DSV kontrollierte Social Engineering-Angriff zeigte, dass 46 Prozent der Adressaten die verdächtige E-Mail öffneten und 26 Prozent auf den betrügerischen Link klickten. Dabei hätte bereits ein kritischer Blick auf den Absender der E-Mail und ein Mouseover über den Link die Phishing-Attacke erkennbar gemacht.

Unter den Datendieben finden sich immer wieder Innentäter, die gezielt von Kriminellen eingeschleust werden. Bekannt wurde zuletzt das Beispiel einer Auszubildenden, die Zugangsdaten zu OSPlus ausspähte, um Überweisungen auf ein Konto ihrer Auftraggeber tätigte. Die Stadtsparkasse Wuppertal setzt zur regelmäßigen Sensibilisierung ihrer Mitarbeiter Präsentationen ein; bei akuten Vorfällen informiert sie ad hoc über konkrete Gefährdungen und gibt Handlungsanweisungen.