{"id":25844,"date":"2020-12-11T14:12:57","date_gmt":"2020-12-11T12:12:57","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=25844"},"modified":"2020-12-11T14:12:57","modified_gmt":"2020-12-11T12:12:57","slug":"security-tips-for-trading-platforms","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/security-tips-for-trading-platforms\/25844\/","title":{"rendered":"Ein kurzer Leitfaden zu Fragen der Fintech-Security"},"content":{"rendered":"

Die Schwachstellen von Apps<\/h2>\n

Wie jede Software haben Handelsplattformen Schwachstellen. Im Jahr 2018 fand der Cybersicherheitsexperte Alejandro Hern\u00e1ndez verschiedenste Schwachstellen in 79 solcher Anwendungen<\/a>. Dazu geh\u00f6rten unter anderem, dass sie keine Verschl\u00fcsselung zum Speichern oder \u00dcbertragen von Daten verwenden (jeder k\u00f6nnte sie sehen oder \u00e4ndern) und dass sie Benutzer nach einer Zeit der Inaktivit\u00e4t nicht ausloggen. Zu den Entwicklungsfehlern geh\u00f6rte die Zulassung schwacher Passw\u00f6rter.<\/p>\n

Ein Jahr sp\u00e4ter f\u00fchrten die Analytiker von ImmuniWeb \u00e4hnliche Untersuchungen durch<\/a> und kamen zu einem ebenso negativen Ergebnis: Von den 100 Fintech-Entwicklungen, die sie testeten, waren alle bis zu einem gewissen Grad anf\u00e4llig. Probleme wurden sowohl in Web- als auch in mobilen Anwendungen gefunden, wobei viele Fehler von Drittentwicklungen und Tools \u00fcbernommen wurden, die von den Programmierern verwendetet wurden. F\u00fcr einige der Schwachstellen gab es bereits seit langem Patches, die jedoch noch nicht eingesetzt worden waren. Ein solcher Patch wurde bereits 2012 ver\u00f6ffentlicht, aber die Autoren der Fintech-App kamen nie dazu, ihn zu installieren.<\/p>\n

Falls ein Produkt Sicherheitsprobleme hat, werden sie sich \u2013 so sicher wie die Nacht auf den Tag folgt \u2013 bemerkbar machen, was dem Ruf von Unternehmen schaden und Kunden abschrecken kann. Und falls Benutzer aufgrund eines Fehlers in einer Anwendung ein Datenleck oder einen finanziellen Verlust erleiden, wird der Entwickler m\u00f6glicherweise mit einer hohen Geldstrafe belegt oder zur Zahlung von Schadenersatz gezwungen.<\/p>\n

Manchmal ist der Sch\u00f6pfer einer Plattform das einzige Opfer. So haben die Autoren der Robinhood Trading App beispielsweise einen Fehler \u00fcbersehen<\/a>, der es Premium-Nutzern erlaubte, unbegrenzt Geld von der Plattform zu leihen, um Wertpapiere zu handeln \u2013 und ein Nutzer lieh sich eine Million Dollar gegen eine Kaution von nur 4.000 Dollar. Die Trader nannten ihn den \u201einfinite money cheat code\u201c (Betrugscode f\u00fcr unbegrenztes Geld).<\/p>\n

Um Verluste zu vermeiden, die mit Bugs und Schwachstellen verbunden sind, m\u00fcssen die Programmierer von Handelsplattformen bereits in der Entwicklungsphase die Sicherheit ber\u00fccksichtigen, indem sie im Voraus an Dinge wie automatische Benutzerabmeldung, Verschl\u00fcsselung und ein Verbot schwacher Passw\u00f6rter denken. Au\u00dferdem sollten sie den Code regelm\u00e4\u00dfig auf Fehler \u00fcberpr\u00fcfen und diese umgehend beheben.<\/p>\n

Supply-Chain Attacks \u2013 Angriffe auf die Zulieferer<\/h2>\n

Um Zeit und Geld zu sparen, schreiben die meisten Unternehmen nicht nur ihren eigenen Code, sondern setzen auch Entwicklungen, Frameworks und Dienstleistungen Dritter ein. Sollte jedoch die Infrastruktur eines Anbieters kompromittiert werden, k\u00f6nnen auch die Unternehmen, die sie nutzen, darunter leiden.<\/p>\n

So erging es zum Beispiel dem W\u00e4hrungsbroker Pepperstone<\/a>. Im August 2020 infizierten Cyberkriminelle die Computer eines Auftragnehmers eines Unternehmens und verschafften sich Zugang zu dessen Konto im CRM-System von Pepperstone. Obwohl der Angriff schnell abgewehrt wurde, gelang es den Eindringlingen dennoch, einige Kundendaten zu stehlen. Der Makler sagt, seine Finanz- und Handelssysteme seien nicht betroffen gewesen. Gleichwohl sei daran zu erinnern, dass Datenlecks f\u00fcr Unternehmen sehr kostspielig<\/a> sein k\u00f6nnen, selbst wenn der Code Dritter schuld ist.<\/p>\n

Um potentielle Datenverluste zu vermeiden, w\u00e4hlen Sie stets zuverl\u00e4ssige, sicherheitsbewusste Partner und verlassen Sie sich niemals allein auf deren Schutzmechanismen. Jedes Unternehmen im Finanzbereich sollte eine strenge Sicherheitspolitik verfolgen.<\/p>\n

Spear-Phishing<\/h2>\n

Der menschliche Faktor<\/a> ist oft die Ursache von Cyber-Zwischenf\u00e4llen. Aus diesem Grund benutzen Angreifer Firmenmitarbeiter, um die Infrastruktur von Unternehmen zu infiltrieren.<\/p>\n

In diesem Zusammenhang haben Cybersicherheitsforscher im Juli dieses Jahres eine Serie von Angriffen auf Fintech-Einrichtungen in der EU, Gro\u00dfbritannien, Kanada und Australien mit der APT-Gruppe Evilnum<\/a> in Verbindung gebracht. Die Cyberkriminellen schickten E-Mails mit einem Link zu einem ZIP-Archiv, das in einem legitimen Cloud-Service gehostet wurde, an Mitarbeiter von Unternehmen. Die Nachrichten waren als Gesch\u00e4ftskorrespondenz getarnt, der Inhalt des Archivs als Dokumente oder Bilder. Obwohl das angek\u00fcndigte Dokument oder Bild auf dem Bildschirm erschien, setzte das \u00d6ffnen die Infektionskette in Gang.<\/p>\n

Manchmal verschaffen sich Angreifer Zugang zu E-Mail-Konten von Unternehmen, was ihr Phishing noch \u00fcberzeugender macht. Im August dieses Jahres traf ein solcher Angriff das Handelsunternehmen Virtu. Nach Angaben von Firmenvertretern drangen Cyberkriminelle in die Mailbox eines Top-Managers ein<\/a> und verbrachten die n\u00e4chsten zwei Wochen damit, E-Mails an die Buchhaltungsabteilung zu schicken, in denen sie die Anweisung gaben, gro\u00dfe Geldsummen nach China zu \u00fcberweisen. Dieses blinde Vertrauen kostete das Unternehmen fast 11 Millionen Dollar.<\/p>\n

Um solche Angriffe abzuwehren, muss das Personal der Cybersicherheit entsprechend geschult werden. Sie sollten ein paar Regeln festlegen, bei denen bei verd\u00e4chtigen E-Mails automatisch die Alarmglocken l\u00e4uten, falls ein Kollege, Partner oder Kunde Sie bittet (oder zu bitten scheint), ein paar Millionen \u2013 oder auch etwas weniger \u2013 an Jane Doe zu schicken.<\/p>\n\n

Benutzerprobleme<\/h2>\n

Manchmal verlieren Benutzer ohne Verschulden Ihres Unternehmens oder Ihrer Anwendung Geld \u2013 durch das Herunterladen von Malware, die Eingabe von Passw\u00f6rtern auf Phishing-Websites oder anderweitig unvern\u00fcnftiges Verhalten. Auch hier k\u00f6nnen Anspr\u00fcche gegen die Handelsplattform geltend gemacht werden. In einigen L\u00e4ndern sind Unternehmen gesetzlich verpflichtet, zumindest herauszufinden, was passiert ist. Es lohnt sich also, die H\u00e4ndler von Zeit zu Zeit vor m\u00f6glichen Gefahren zu warnen und sie aufzufordern, sich zu sch\u00fctzen (und damit auch sich selbst).<\/p>\n

Es ist auch eine gute Idee, die Kunden periodisch daran zu erinnern, dass jede Software von Drittanbietern, insbesondere dann, wenn sie raubkopiert ist oder aus dubiosen Quellen stammt, eine Bedrohung darstellen kann. Sie k\u00f6nnte zum Beispiel Passw\u00f6rter stehlen, auch solche f\u00fcr Handelskonten.<\/p>\n

Warnen Sie Kunden, dass sich Cyberkriminelle als Dienstleister ausgeben k\u00f6nnten, um ihre Zugangsdaten zu erlangen. Raten Sie ihnen, E-Mails \u00fcber Probleme mit dem Dienst aufmerksam zu lesen und die Absenderadresse und die Nachricht sorgf\u00e4ltig auf Tippfehler und schlechte Grammatik zu \u00fcberpr\u00fcfen. Empfehlen Sie ihnen, die URL manuell in einem Browser einzugeben, die App zu \u00f6ffnen oder im Zweifelsfall den Kundendienst anzurufen.<\/p>\n

So sch\u00fctzen Sie Ihr Geld und Ihre Reputation<\/h2>\n

Der Umgang mit Geld ist mit gro\u00dfer Verantwortung verbunden, und die Vernachl\u00e4ssigung der Sicherheit kann Fintech-Unternehmen viel kosten. Deshalb sollten Sie folgende Grunds\u00e4tze beachten:<\/p>\n