04.04.2011, 11:01 Uhr
Von Bank-Hackern und Brokern ohne SuisseID
Bei Compliance- und Risiko-Management geht in der Finanzbranche nichts mehr ohne IT. Jedoch nimmt die Komplexität der Systeme immens zu, was für Manchen zum Verhängnis wird.
Im Zuge des WikiLeaks-Falls sperrten Kreditkartenunternehmen und die PostFinance-Bank Konten von Aktivisten. Als daraufhin die Webseiten der Finanzkonzerne attackiert wurden, schaltete sich der CEO eines US-amerikanischen Sicherheitsanbieters ein. Aaron Barr, Chef von HBGary Federal, bot seine Hilfe an: Er wollte anhand von Social-Engineering-Methoden die Angreifer identifiziert haben. Fortan schossen sich die Hacker auf Barr und seine Firma ein – mit verheerenden Auswirkungen, wie Stefan Friedli vom Zürcher Sicherheitsspezialisten scipausführte. Friedli sprach an der Tagung des «Information Center und IT-Services Manager Forum Schweiz» (ICMF/ITS) in Zürich über die Gefahren durch mangelhafte und nachlässige Sicherheitsmassnahmen. Obgleich HBGary Federal selbst Security-Dienstleistungen für öffentliche Verwaltungen offeriert, schien es der Geschäftsführer selbst mit der Sicherheit nicht so genau zu nehmen, erklärte Friedli. Denn die Angriffe auf die Internetpräsenz von HBGary Federal gewährten den Hackern Zugriff auf Benutzernamen und Passwort-Hashcodes von Mitarbeitern sowie Kunden. Als wenn das nicht schlimm genug wäre; CEO Barr richtete durch eine Nachlässigkeit noch weiteren Schaden an: Er nutzte sein Passwort mehrfach, unter anderem für Twitter (@aaronbarr), LinkedIn und Google Mail. Da Barr ausserdem Administrator für den firmeneigenen E-Mail-Server war – und hier selbstredend ebenfalls das gleiche Passwort nutzte – konnten die Angreifer nach dem Hack auch noch alle E-Mail-Konten von HBGary Federal auslesen. So wurden circa 30'000 Nachrichten an interne Mitarbeiter und Kunden entwendet.
Behörden-Schriftverkehr bei BitTorrent
Die Hacker räumten zudem die Dokumentenarchive von HBGary Federal leer. «Kunden wie die Bank of America, das US-Justizministerium und die US-Handelskammer können nun ihre Daten bei BitTorrent herunterladen», sagte Friedli. Hauptursache dafür ist nicht etwa ein zu wenig geschütztes System, sondern der Leichtsinn von CEO Barr, identische Passwörter für diverse Konten zu benutzen. Seit Ende Februar hat Barr seinen Geschäftsleitungsposten aufgegeben, um sich «auf die Wiederherstellung seiner Glaubwürdigkeit zu konzentrieren». Der Fall HBGary Federal zeige, dass die grössten Sicherheitslücken nicht immer komplizierte Schwachstellen seien, erinnerte Friedli. «Angriffe erfolgen zu 99,999 Prozent auf dem Weg des geringsten Widerstandes, etwa indem einen Access-Point an einer frei zugänglichen Netzwerkdose im Empfangsbereich eines Unternehmens platziert wird.» Effizienteste Schutzmassnahmen vor zielgerichteten Angriffen seien Logging, Monitoring und aktive Incident Response. Hätte sich HBGary Federal an Compliance-Richtlinien gehalten, wäre ein Schaden in diesem Ausmass nicht entstanden, meint Friedli. Nächste Seite: Warum Broker keinen USB-Hub mehr benötigen In der Schweiz gibt es circa 2000 Versicherungsmakler. Neben den Brokern sind gut 10'000 Personen hauptberuflich damit befasst, die Konditionen der rund 25 einheimischen Versicherungsgesellschaften zu prüfen, zu bewerten und zu vergleichen. Sollte für einen Kunden ein massgeschneidertes Versicherungsangebot erstellt werden, musste sich ein Broker jeweils mit einem Token auf dem gesicherten Portal einer Gesellschaft anmelden, dort die Daten eingeben und das Ergebnis speichern. Jede Versicherung verwendete einen eigenen Token; bis zu zehn Tokens für einen Vergleich waren üblich. Diese aufwändige Prozedur war dem Zürcher Branchenverein IG B2B ein Dorn im Auge, berichtete Adrian Berger von Ergon Informatik an der ICMF/ITS-Tagung.
Handy-Nachricht statt SuisseID
Für IG B2B entwickelte und implementierte Ergon ein Portal, von dem aus Broker und ihre Angestellten Zugriff auf die Internetseiten der Versicherungsgesellschaften haben. Per SAML (Security Assertion Markup Language) erfolgt die Authentifizierung eines Benutzers über die verschiedenen Seiten der Gesellschaften hinweg. Der Broker meldet sich einmalig mit Benutzername sowie Kennwort bei IG B2B an. Zusätzlich wurde ein Mobile-TAN-Verfahren eingeführt; der Benutzer erhält eine Kurznachricht auf sein Mobiltelefon, die ihm den Zugriff auf der IG-B2B-Portal freischaltet. «Den Einsatz der SuisseID für die sichere Authentifizierung haben wir erwogen, den Vorschlag jedoch verworfen. Die SuisseID hätte den Anmeldeprozess unnötig kompliziert gemacht, ausserdem ist sie zu wenig verbreitet», führte Berger aus. Jeder Broker und jeder Mitarbeiter besitze ein Handy, diese Lösung war komfortabler und günstiger. Heute managen Broker und ihre Mitarbeiter den Zugriff auf die Versicherungsseiten selbständig. USB-Tokens sind dafür nicht mehr notwendig. Auf der Administrationsoberfläche von IG B2B legen die Makler per Mausklick zum Beispiel einen neuen Benutzer an, wenn ein Mitarbeiter das Büro verstärkt. Auf welche Gesellschaften der neue Kollege Zugriff bekommt, entscheidet ebenfalls der Broker. Dabei könne er auf ein Rollensystem zurückgreifen, so dass nicht jede einzelne Berechtigung separat vergeben werden muss, erklärte Ergon-Mann Berger. Nächste Seite: Plötzlich Sarbanes-Oxley-compliant
Ende der neunziger Jahre kaufte der US-amerikanische Mischkonzern General Electric die Banque Procrédit. Das mittelständische Freiburger Unternehmen mit 240 Mitarbeitern besass eine selbst programmierte Finanzapplikation. Durch die Übernahme unterlag die Bank von heute auf morgen dem «Sarbanes Oxley Act». Die neue Gesellschaft, heute als GE Money Bank hierzulande aktiv, zog den Sicherheits-Dienstleister In&Out zu Rate, so Jörg Poell an der ICMF/ITS-Tagung. Das neue Unternehmen konnte nicht von einem auf den anderen Tag alle Compliance-Anforderungen des «Sarbanes Oxley Act» erfüllen. Dennoch war Eile geboten, berichtete Poell, denn zum Beispiel verlangt «Section 404» des Regelwerks die Wirksamkeitsprüfung des internen Kontrollsystems durch die Geschäftsleitung. Für Verstösse oder Missbrauch haftet das Management persönlich. Den Vorständen war also auch aus privaten Gründen am raschen Erfüllen der US-Vorschriften gelegen.
HR-Datenbank für die Rechtevergabe
Laut Poell gelang es innert sechs Monaten, die GE Money Bank für Sarbanes Oxley fit zu machen. Das Personalregister der Bank wurde als Grundlage für die Zugriffsrechteregelung verwendet. So liessen sich 36 Benutzerrollen definieren, anstatt für jeden der 240 Angestellten die Rechte für rund 250 Funktionen separat zu vergeben. Damit die Rechtevergabe in der Praxis funktioniert, ist zwingend eine permanent aktualisierte HR-Datenbank erforderlich. So können der Mitarbeiter eindeutig identifiziert, seine Rechte durch den Vorgesetzten definiert und Genehmigungsprozesse modelliert werden. Damit lässt sich im Geschäftsablauf etwa bestimmen, welche Eingabemasken ein Kreditberater ausfüllt und für welche Einträge er das O.K. seines Abteilungsleiters benötigt. Identitätsmanagement und Compliance seien damit keine reinen IT-Aufgaben mehr, sondern unterstützten das Business, resümiert IT-Risk-Manager Poell von In&Out.