Fast die Hälfte aller Schweizer Unternehmen wurde bereits einmal Opfer einer Cyberattacke. Ziel eines solchen Angriffs sind Daten, die sich zu Geld machen lassen, oder aber die Möglichkeit, hohe Geldsummen auf digitalem Weg zu stehlen. Gerade im Bankwesen ist deshalb das Thema Cybersecurity so wichtig und aktuell wie nie. Eine Möglichkeit, Schwachstellen im eigenen System zu finden und auszumerzen, bevor ein Angriff erfolgen kann, ist das sogenannte Bug Bounty Programm. Wir haben es ausprobiert – und erstaunliche Erkenntnisse gewonnen.
Kino- und Filmfans können sich bestimmt noch an den Spielfilm «Verlockende Falle» (Original: Entrapment) aus dem Jahr 1999 erinnern. In besagtem Film geht es darum, dass in der Nacht der Jahrtausendwende die Clearance Bank in Singapur durch das Ausnützen einer kurzen Stromabschaltung ausgeraubt werden soll. Dafür müssen sich die Diebe Zutritt zum Gebäude verschaffen. Sie erwerben auf dem Schwarzmarkt eine Kopie der Zutrittskarte zum gesicherten Serverraum und die dazugehörigen Zugangscodes. Ebenso treiben sie die Baupläne des Gebäudes auf und verschaffen sich dadurch Zutritt zum Serverraum. Dort schliessen sie einen speziell programmierten Laptop an den Zentralcomputer an, und versuchen auf diesem Weg, mehrere Milliarden Dollar zu stehlen. Ob es ihnen gelungen ist, lassen wir an dieser Stelle offen – schliesslich wollen wir ja niemandem den Spass verderben. 🙂
Gefahr durch Cyberattacken
Heute – gut 20 Jahre später – sind Gebäude und Zutrittsüberwachungen für Kriminelle kein Hindernis mehr; längst müssen sich Diebe nicht mehr zwingend einer physischen Gefahr durch Einbruch aussetzen. Cyberkriminelle, auch Hacker genannt, verschaffen sich stattdessen Zugriff auf das Computersystem und ferngewartete Maschinen: indem sie beispielsweise Schadprogramme, so genannte Malware, einschleusen, sich Zugangsdaten durch Phishing-Mails beschaffen oder durch das gezielte Hacken fremder Netzwerke. Damit schädigen sie den Ruf von Unternehmen, verunstalten und manipulieren deren Websites oder erpressen hohe Geldsummen, indem sie damit drohen, die gestohlenen Daten zu veröffentlichen. Ein Horrorszenario für jede Bank!
Angriffe auf KMU und Banken
Auch in der Schweiz haben Cyberattacken stark zugenommen – fast die Hälfte aller Schweizer Unternehmen wurde bereits einmal Opfer einer solchen. Man muss davon ausgehen, dass eine Attacke ein KMU im Schnitt CHF 5 Mio. kostet (Quelle: Präsentation Bug Bounty Switzerland, 21.07.2020). Zugleich droht der Verlust der Vertrauenswürdigkeit gegenüber Kundinnen und Kunden.
Banken sind seit Beginn der Cyberkriminalität besonders beliebte Ziele. Vielfach bedienen sich Kriminelle der Phishing-Methode, um Zugriff auf E-Banking-Konten zu erhalten. Eine andere Variante ist der sogenannte CEO-Fraud. In diesem Fall gibt der Täter durch gefälschte E-Mails im Namen eines Vorgesetzten Überweisungen bei der Buchhaltung in Auftrag – und ehe man sich’s versieht, wechseln hohe Geldbeträge irrtümlicherweise den Besitzer. Ein weiteres vielfach unterschätztes Risiko liegt in der mit dem Internet verbundenen Infrastruktur eines Unternehmens: Ferngewartete Produktionsmaschinen, Heizsysteme oder auch die Gebäudetechnik sind beliebte Angriffsziele für Hacker.
In der digitalen Welt lautet die Frage nicht, ob man angegriffen wird, sondern wann (Quelle: Vorlesung HWZ CAS Cybersecurity, Compliance & RegTech, Umberto Annino, 17.10.2020). Deshalb ist Prävention das Wort der Stunde. Im Bankwesen wird bei der Zusammenarbeit mit IT-Partnern grössten Wert auf maximale Sicherheit der Infrastruktur gelegt, um die Daten und damit letztlich das Vermögen der Kundinnen und Kunden zu schützen.
Cybersecurity bei der Bernerland Bank
Sicherheit, insbesondere im Bereich der IT, ist uns bei der Bernerland Bank ein besonderes Anliegen. Darum arbeiten wir mit etablierten Partnern zusammen, unter anderem mit der Swisscom (Schweiz) AG, Finnova und Esprit Netzwerk AG. Die Sensibilisierung unserer Mitarbeitenden auf Sicherheitsthemen und ein regelmässiges Testen der Infrastruktur haben bei uns oberste Priorität. Diesen Fokus haben wir in der Zusammenarbeit mit Bug Bounty Switzerland GmbH nochmals untermauert: Im August 2020 entschieden wir uns, einen Reality Check, also ein zeitlich limitiertes Bug Bounty Programm, für eines unserer IT-Systeme durchzuführen.
Bug Bounty Programm
Im Bug Bounty Programm suchen ethische Hacker nach Schwachstellen, sogenannten «Bugs», innerhalb einer bestehenden IT-Umgebung; alles ganz legal im Rahmen eines Auftragsverhältnisses und gegen Bezahlung. Daher das Wort «Bounty», was Prämie bedeutet. Solche Programme gehören bei international tätigen Unternehmen inzwischen zum IT-Sicherheitsstandard und können sowohl öffentlich als auch privat aufgesetzt werden. Bei einem öffentlich ausgeschriebenen Programm steht die Teilnahme jedem mit Hacking-Know-how frei. Bei privaten Programmen erhalten nur ausgewählte Hacker eine Einladung zur Teilnahme.
Vor dem Start unseres Reality Checks haben wir mit Bug Bounty Switzerland folgende Rahmenbedingungen vereinbart:
- Als Testobjekt haben wir ein in sich geschlossenes IT-System der Bernerland Bank definiert.
- Die Dauer des Checks haben wir auf maximal zwei Wochen begrenzt.
- Eingeladen haben wir vier ethische Hacker.
- Als Bounty haben wir eine Summe im unteren 5-stelligen Bereich festgelegt.
Wichtig zu wissen: Die teilnehmenden Hacker erhalten im Bug Bounty Programm nur dann eine Entschädigung, wenn sie eine Schwachstelle aufdecken. Die Höhe der Belohnung richtet sich dabei jeweils nach der Brisanz der gefundenen Sicherheitslücke: tief, mittel oder hochkritisch.
Und, wie war’s? Unsere Erkenntnisse nach erstmalig durchgeführtem Bug Bounty Programm.
Um es gleich vorweg zu nehmen: Das Resultat war ernüchternd. Unser Reality Check dauerte lediglich drei Tage. In diesem Zeitraum haben die Hacker vier kritische Sicherheitslücken aufgedeckt. Damit war das gesprochene Budget aufgebraucht. Die gefundenen Sicherheitslücken hätten es einem Hacker mit kriminellen Absichten ermöglicht, das getestete System zu manipulieren. Dank den detaillierten Berichten aus dem Bug Bounty Programm konnten wir die Sicherheitslücken sofort identifizieren und schliessen.
Was tun, wenn es passiert?
Ist ein Unternehmen entgegen aller Sicherheitsvorkehrungen Opfer eines Cyberangriffs geworden, gilt es, den entstandenen Schaden und dessen Ausmass schnell zu dokumentieren und entsprechende Massnahmen zu treffen; sei es im Einspielen eines Backups oder in der Kommunikation gegenüber Kundinnen und Kunden, Lieferanten und Partnern. Hierfür ist zentral, das Prozedere vorgängig zu definieren und zu üben. Ein professionelles Handeln in einer schwierigen Situation stärkt den Ruf des Unternehmens und erhält das Vertrauen von aussen. Besteht eine Cyberversicherung, erhält das geschädigte Unternehmen je nach Versicherungsumfang Unterstützung von spezialisierten Teams bei der Wiederherstellung der IT-Infrastruktur und der Daten sowie in der Kommunikation und bei Rechtsfragen.
Fazit
Wir haben aus unserem ersten Bug Bounty Programm gelernt, dass Massnahmen wie die Schulung der Mitarbeitenden, traditionelle Sicherheitstests und eine sorgfältige Auswahl unserer IT-Partner eine gute Basis im Bereich Cybersecurity bilden. Bei der Bernerland Bank werden regelmässige Reality Checks wie das Bug Bounty Programm wichtig bleiben, denn wir sind davon überzeugt, dass wir damit die Sicherheit unserer IT-Infrastruktur aufrechterhalten können – im Wissen darum, dass kein System zu 100 Prozent sicher ist. Dennoch können wir mittels Reality Check Schwachstellen frühzeitig erkennen und Risiken minimieren. Aufgrund der gemachten Erfahrung erachten wir es auch für unsere KMU-Kundschaft als wertvoll, ihre individuelle IT-Umgebung unter diesem Aspekt neu zu beurteilen. Die digitale Transformation wird uns allen noch besser gelingen, wenn wir unser Risikomanagement um die Dimension Cybersecurity-Testing erweitern.