Wie eine neue Generation digitaler Bankfilialen durch Cyberangriffe gefährdet ist.
Banken konzentrieren sich seit vielen Jahren auf Cybersicherheit, aber die Risiken, denen sie ausgesetzt sind, scheinen größer als je zuvor. Da die Branche einen schnellen digitalen Wandel in ihren Dienstleistungen und digitalen Bankfilialen neuen Stils durchläuft, sollte gleichzeitig ein Fokus auf die Modernisierung von Cybersicherheitsstrategien gelegt werden.
Einige der geäußerten Bedenken lassen sich darauf zurückführen, ob der Krieg in der Ukraine zu Cyberangriffen auf das Bankensystem führen wird. Eine Warnung der Europäischen Bankenaufsichtsbehörde im Frühjahr 2022 deutete darauf hin, dass das Risiko dieses Ereignisses gestiegen sei. Auf ihrem Risiko-Dashboard sagte die EBA, dass die Gefahren des Zusammenbruchs osteuropäischer Banken weniger bedrohlich seien als „Zweitrundeneffekte“ wie Cyberangriffe, die „aus Sicht der Finanzstabilität wesentlicher sein könnten“.
Unabhängig davon, ob sie von Nationalstaaten angetrieben werden oder nicht, zielen cyberkriminelle Banden weiterhin auf Bankdienste – insbesondere Geldautomaten – ab, um Geld und wertvolle Finanzinformationen über Kunden zu stehlen und Unterbrechungen der Geschäftskontinuität und Dienstunterbrechungen zu verursachen.
Laut Zion belief sich der globale Markt für Geldautomaten im Jahr 15.1 auf 2020 Milliarden US-Dollar und soll bis 21.2 auf 2028 Milliarden US-Dollar steigen, was einer jährlichen Wachstumsrate von rund 4.8 % zwischen 2021 und 2028 entspricht. Die Finanzdienstleistungsbranche befindet sich in einem rasanten digitalen Wandel. Banken können es sich nicht leisten, Cybersicherheitsstrategien zu vernachlässigen, insbesondere in Zeiten erhöhter Risiken und Bedrohungen.
Die European Association for Secure Transactions (EAST), die Betrugsangriffe auf Geldautomaten für Finanzinstitute in der EU verfolgt, meldete 202 erfolgreiches Jackpotting (Geldautomaten-Malware und logische Angriffe) im Jahr 2020; Dies führte zu Verlusten von 1.24 Millionen Euro (ca. 1.4 Millionen US-Dollar oder etwa 7,000 US-Dollar pro Angriff). Während andere Arten von Geldautomatenbetrug, wie Karten-Skimming und physische Angriffe, rückläufig waren, bedeuteten Jackpot-Angriffe einen 44-prozentigen Anstieg der Anzahl der Angriffe und einen 14-prozentigen Anstieg der Verluste gegenüber 2019.
Diese Angriffe auf Finanzdienstleistungen können lukrative Gelderträge generieren, was Banden dazu ermutigt, beträchtliche interne Budgets in Forschung und Entwicklung zu investieren, um Angriffe vorzubereiten.
Banken können jedoch immer noch vorbeugende Maßnahmen ergreifen, um die Wahrscheinlichkeit von Angriffen zu verringern und den verursachten Schaden zu mindern. Das Cybersicherheitsmanagement muss Digitalisierungsprogramme ergänzen und parallel dazu bestehen, insbesondere bei der Bereitstellung selbst der fortschrittlichsten Geldautomaten und unterstützten Selbstbedienungsterminals (ASSTs), die jetzt in Filialen der nächsten Generation und digitalen Bankzentren eingesetzt werden, die besonders anfällig sind Attacke. Sicherheitsverantwortliche sollten diese für die Überprüfung der Cybersicherheit verfeinern und berücksichtigen Zero Trust Modell. Es hilft, kritische Endpunkte und andere Teile der Bankdienstinfrastruktur zu sichern. Für Sicherheitsteams ist es geschäftskritisch, die Angriffsfläche zu minimieren, einen besseren Überblick über das Geschehen zu erhalten und schneller Einblick in anomale Aktivitäten zu erhalten, die verdächtig sein könnten (oder sind).
Zero Trust wird durch ein Cybersicherheitssystem definiert, das das Maß an implizitem Vertrauen minimiert, sodass ein System nur dann auf Software zugreift und verwendet wird, wenn strenge Prüfungen durchgeführt werden. Dieses wichtige Konzept kann erfolgreich auf Geldautomaten und ASSTs angewendet werden, da sie mehrere Softwareschichten umfassen, darunter ein Betriebssystem, eine Hardwareanbieter-/Softwareschicht, die Multi-Vendor-Schicht sowie die verschiedenen Tools für Betrieb, Überwachung, Sicherheit usw. Im Gegensatz zu PCs ist die Softwareaktualisierung auf diesen Geräten in der Regel reaktiv, was bedeutet, dass unbeabsichtigt Verbindlichkeiten in die Software einfließen können – was das Konzept von Zero Trust entscheidend macht, um eine Schicht zu isolieren, die nicht gepatcht ist.
Hier ist eine nützliche Checkliste, die Sie berücksichtigen sollten, wenn Sie einen modernen Ansatz zum Schutz von Flotten von Geldautomaten und ASSTs verfolgen, die als digitale Knotenpunkte in Bankfilialen neuen Stils verwendet werden:
• Reduzieren Sie die Angriffsfläche. Der Zugriff wird nur bei Bedarf und nicht nur dann gewährt, wenn er legitim ist, sondern nur, wenn der Benutzer für den ordnungsgemäßen Betrieb zertifiziert wurde.
• Kontrollieren Sie, wer den Geldautomaten physisch manipulieren wird. Standardlösungen wie Antivirenprogramme bieten jederzeit das gleiche Schutzniveau, aber wenn kritische Geräte von Dritten manipuliert werden, müssen Banken in der Lage sein, das Schutzniveau zu kontrollieren und in diesem bestimmten Moment bestimmte Richtlinien zu aktivieren. Die Bank sollte in der Lage sein, zu überwachen, was der Techniker in einer Zeit höchster Belastung tut.
• Cybersicherheit für Banking vereinfacht. Konsolidieren Sie Schutzmaßnahmen auf einer einzigen Plattform, z. B. Anwendungs-Whitelisting, vollständige Verschlüsselung aller Festplatten und Medien, Dateisystemintegritätsschutz, Hardwareschutz und eine Firewall, um Netzwerkangriffe zu stoppen.
Der Wert der Zero-Trust-Strategie liegt in ihrer Fähigkeit, Finanzinstituten zu ermöglichen, digitales Self-Service-Banking zu sichern, ohne auf die angenommene Sicherheit von Mainstream-Software zu vertrauen. Dieses Misstrauen ist wichtig, weil Cyber-Angreifer dies tun werden
Entführen Sie legitime Tools und Software, um einen Angriff zu starten. Zero Trust für Banking-Endpunkte sollte sich auf Tools und Dienste von Drittanbietern erstrecken, die die Berechtigung haben, auf Geldautomaten und ASSTs zuzugreifen, wenn diese Geräte gewartet werden. Effektive Cybersicherheit muss den Zugriff abfragen und sicherstellen, dass er jederzeit korrekt oder autorisiert ist.
