Ein kurzer Leitfaden zu Fragen der Fintech-Security

Was müssen Entwickler und Betreiber von Handelsplattformen beachten?

Die Schwachstellen von Apps

Wie jede Software haben Handelsplattformen Schwachstellen. Im Jahr 2018 fand der Cybersicherheitsexperte Alejandro Hernández verschiedenste Schwachstellen in 79 solcher Anwendungen. Dazu gehörten unter anderem, dass sie keine Verschlüsselung zum Speichern oder Übertragen von Daten verwenden (jeder könnte sie sehen oder ändern) und dass sie Benutzer nach einer Zeit der Inaktivität nicht ausloggen. Zu den Entwicklungsfehlern gehörte die Zulassung schwacher Passwörter.

Ein Jahr später führten die Analytiker von ImmuniWeb ähnliche Untersuchungen durch und kamen zu einem ebenso negativen Ergebnis: Von den 100 Fintech-Entwicklungen, die sie testeten, waren alle bis zu einem gewissen Grad anfällig. Probleme wurden sowohl in Web- als auch in mobilen Anwendungen gefunden, wobei viele Fehler von Drittentwicklungen und Tools übernommen wurden, die von den Programmierern verwendetet wurden. Für einige der Schwachstellen gab es bereits seit langem Patches, die jedoch noch nicht eingesetzt worden waren. Ein solcher Patch wurde bereits 2012 veröffentlicht, aber die Autoren der Fintech-App kamen nie dazu, ihn zu installieren.

Falls ein Produkt Sicherheitsprobleme hat, werden sie sich – so sicher wie die Nacht auf den Tag folgt – bemerkbar machen, was dem Ruf von Unternehmen schaden und Kunden abschrecken kann. Und falls Benutzer aufgrund eines Fehlers in einer Anwendung ein Datenleck oder einen finanziellen Verlust erleiden, wird der Entwickler möglicherweise mit einer hohen Geldstrafe belegt oder zur Zahlung von Schadenersatz gezwungen.

Manchmal ist der Schöpfer einer Plattform das einzige Opfer. So haben die Autoren der Robinhood Trading App beispielsweise einen Fehler übersehen, der es Premium-Nutzern erlaubte, unbegrenzt Geld von der Plattform zu leihen, um Wertpapiere zu handeln – und ein Nutzer lieh sich eine Million Dollar gegen eine Kaution von nur 4.000 Dollar. Die Trader nannten ihn den „infinite money cheat code“ (Betrugscode für unbegrenztes Geld).

Um Verluste zu vermeiden, die mit Bugs und Schwachstellen verbunden sind, müssen die Programmierer von Handelsplattformen bereits in der Entwicklungsphase die Sicherheit berücksichtigen, indem sie im Voraus an Dinge wie automatische Benutzerabmeldung, Verschlüsselung und ein Verbot schwacher Passwörter denken. Außerdem sollten sie den Code regelmäßig auf Fehler überprüfen und diese umgehend beheben.

Supply-Chain Attacks – Angriffe auf die Zulieferer

Um Zeit und Geld zu sparen, schreiben die meisten Unternehmen nicht nur ihren eigenen Code, sondern setzen auch Entwicklungen, Frameworks und Dienstleistungen Dritter ein. Sollte jedoch die Infrastruktur eines Anbieters kompromittiert werden, können auch die Unternehmen, die sie nutzen, darunter leiden.

So erging es zum Beispiel dem Währungsbroker Pepperstone. Im August 2020 infizierten Cyberkriminelle die Computer eines Auftragnehmers eines Unternehmens und verschafften sich Zugang zu dessen Konto im CRM-System von Pepperstone. Obwohl der Angriff schnell abgewehrt wurde, gelang es den Eindringlingen dennoch, einige Kundendaten zu stehlen. Der Makler sagt, seine Finanz- und Handelssysteme seien nicht betroffen gewesen. Gleichwohl sei daran zu erinnern, dass Datenlecks für Unternehmen sehr kostspielig sein können, selbst wenn der Code Dritter schuld ist.

Um potentielle Datenverluste zu vermeiden, wählen Sie stets zuverlässige, sicherheitsbewusste Partner und verlassen Sie sich niemals allein auf deren Schutzmechanismen. Jedes Unternehmen im Finanzbereich sollte eine strenge Sicherheitspolitik verfolgen.

Spear-Phishing

Der menschliche Faktor ist oft die Ursache von Cyber-Zwischenfällen. Aus diesem Grund benutzen Angreifer Firmenmitarbeiter, um die Infrastruktur von Unternehmen zu infiltrieren.

In diesem Zusammenhang haben Cybersicherheitsforscher im Juli dieses Jahres eine Serie von Angriffen auf Fintech-Einrichtungen in der EU, Großbritannien, Kanada und Australien mit der APT-Gruppe Evilnum in Verbindung gebracht. Die Cyberkriminellen schickten E-Mails mit einem Link zu einem ZIP-Archiv, das in einem legitimen Cloud-Service gehostet wurde, an Mitarbeiter von Unternehmen. Die Nachrichten waren als Geschäftskorrespondenz getarnt, der Inhalt des Archivs als Dokumente oder Bilder. Obwohl das angekündigte Dokument oder Bild auf dem Bildschirm erschien, setzte das Öffnen die Infektionskette in Gang.

Manchmal verschaffen sich Angreifer Zugang zu E-Mail-Konten von Unternehmen, was ihr Phishing noch überzeugender macht. Im August dieses Jahres traf ein solcher Angriff das Handelsunternehmen Virtu. Nach Angaben von Firmenvertretern drangen Cyberkriminelle in die Mailbox eines Top-Managers ein und verbrachten die nächsten zwei Wochen damit, E-Mails an die Buchhaltungsabteilung zu schicken, in denen sie die Anweisung gaben, große Geldsummen nach China zu überweisen. Dieses blinde Vertrauen kostete das Unternehmen fast 11 Millionen Dollar.

Um solche Angriffe abzuwehren, muss das Personal der Cybersicherheit entsprechend geschult werden. Sie sollten ein paar Regeln festlegen, bei denen bei verdächtigen E-Mails automatisch die Alarmglocken läuten, falls ein Kollege, Partner oder Kunde Sie bittet (oder zu bitten scheint), ein paar Millionen – oder auch etwas weniger – an Jane Doe zu schicken.

Benutzerprobleme

Manchmal verlieren Benutzer ohne Verschulden Ihres Unternehmens oder Ihrer Anwendung Geld – durch das Herunterladen von Malware, die Eingabe von Passwörtern auf Phishing-Websites oder anderweitig unvernünftiges Verhalten. Auch hier können Ansprüche gegen die Handelsplattform geltend gemacht werden. In einigen Ländern sind Unternehmen gesetzlich verpflichtet, zumindest herauszufinden, was passiert ist. Es lohnt sich also, die Händler von Zeit zu Zeit vor möglichen Gefahren zu warnen und sie aufzufordern, sich zu schützen (und damit auch sich selbst).

Es ist auch eine gute Idee, die Kunden periodisch daran zu erinnern, dass jede Software von Drittanbietern, insbesondere dann, wenn sie raubkopiert ist oder aus dubiosen Quellen stammt, eine Bedrohung darstellen kann. Sie könnte zum Beispiel Passwörter stehlen, auch solche für Handelskonten.

Warnen Sie Kunden, dass sich Cyberkriminelle als Dienstleister ausgeben könnten, um ihre Zugangsdaten zu erlangen. Raten Sie ihnen, E-Mails über Probleme mit dem Dienst aufmerksam zu lesen und die Absenderadresse und die Nachricht sorgfältig auf Tippfehler und schlechte Grammatik zu überprüfen. Empfehlen Sie ihnen, die URL manuell in einem Browser einzugeben, die App zu öffnen oder im Zweifelsfall den Kundendienst anzurufen.

So schützen Sie Ihr Geld und Ihre Reputation

Der Umgang mit Geld ist mit großer Verantwortung verbunden, und die Vernachlässigung der Sicherheit kann Fintech-Unternehmen viel kosten. Deshalb sollten Sie folgende Grundsätze beachten:

  • Überwachen Sie die Sicherheit Ihrer Anwendungen und Programme. Überprüfen Sie sie auf Schwachstellen und zeigen Sie Null-Toleranz für Bugs und Fehler.
  • Installieren Sie eine zuverlässige Sicherheitslösung auf den Arbeitsgeräten, idealerweise eine cloudbasierte Lösung, die über ein einziges Bedienfeld verwaltet wird.
  • Schulen Sie Ihre Mitarbeiter in den Grundlagen der Cybersicherheit, damit sie keine Fehler machen, die Sie und Ihre Kunden Geld und Nerven kosten.
  • Verwenden Sie die strengste praktikable Sicherheitsrichtlinie für Mitarbeiter und Drittanbieter.
  • Erinnern Sie Ihre Kunden daran, dass die Sicherheit ihres Geldes weitgehend von ihnen selbst abhängt. Empfehlen Sie ihnen, eine Sicherheitslösung auf dem Gerät, das sie für den Handel verwenden, zu installieren und es junk-frei zu halten.
  • Implementieren Sie vom 1. Tag an Sicherheitsmechanismen in Ihre Entwicklungen. Das beinhaltet, mit einem Verbot schwacher Passwörter, Verschlüsselung und automatischer Abmeldung inaktiver Benutzer als absolutes Minimum zu beginnen.
Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.