Eine Analyse der Cybersicherheit in der Finanzindustrie gibt Anlass zur Sorge. Mastercard hat fast 6000 Vorfälle untersucht und teils miserable Noten vergeben.
Fast die Hälfte der Hackangriffe auf Schweizer Firmen und Organisationen geht auf das Konto von finanziell motivierten Hackern. Dahinter folgen aber bereits politisch Angetriebene, die für fast ein Drittel der Attacken hierzulande verantwortlich sind.
Der Finanzsektor ist ein lukratives Angriffsziel für die professionellen Cyberkriminellen. So zielen 17% der finanziell motivierten Hackern auf Banken und Versicherungen. Höher im Kurs stehen nur noch Regierungen und öffentliche Verwaltungen, die oft in den Fokus von illegalen Cyberaktivitäten geraten.
Das geht zumindest aus einer Analyse des Kreditkarten-Konzerns Mastercard hervor, der fast 6000 Meldungen zu Cybervorfällen auf seiner Plattform Cyberquant untersucht hat. Zudem hat die Firma mit einer hauseigenen Analysesoftware öffentlich zugängliche Domains gescannt. Die Sicherheit der untersuchten Banken und Versicherungen variiert demnach enorm.
Die Hälfte der Firmen erhielt eine Note über 8,5, also im oberen Bereich der Skala bis 10 Punkte. Rund 7% der untersuchten Finanzfirmen mussten wegen mehreren Lücken aber eine Wertung unter 7 Punkten verbuchen. Besonders die Bereiche Anwendungssicherheit, Webverschlüsselung und Systemhosting zogen die potentiell einfacheren Opfer nach unten.
Die Notenvergabe von Mastercard nach Bereichen. Grafik: Mastercard
Jedes 5. Unternehmen führte mindestens auf einem System ungepatchte Anwendungsserver aus, die grosse oder kritische Schwachstellen enthalten. Oft liefen laut Mastercard Anwendungen auf älteren Versionen von PHP 5 oder niedriger, die keine Updates zur Behebung von Schwachstellen mehr erhalten. Meist gehe es um Subdomains mit weniger wichtigen Inhalten, aber Mastercard hat auch Schwachstellen in primären Domains ausgemacht.
Bei 30% der Firmen seien die Content-Management-Systeme von allen Geräten zugänglich und lediglich mit Username und Passwort geschützt. Das öffne Tür und Tor für Brute-Force-Angriffe, schreibt Mastercard. Während es auch hier meist um relativ unsensible Anwendungen gehe, habe in einem Fall die offizielle Webseite mit Geschäftsberichten geöffnet und bearbeitet werden können.