Kontrollierter Cyber-Angriff auf eine Bank

Kontrollierter Angriff auf eine Bank – wie geht das? Mittels einer Attack Simulation haben Security Tester der Redguard AG die Schwyzer Kantonalbank (SZKB) attackiert – selbstverständlich in enger Zusammenarbeit mit den Verantwortlichen der SZKB. Ziel dieses simulierten Angriffs war eine umfangreiche Standortbestimmung hinsichtlich der IT- und Informationssicherheit. Banken sind besonders beliebte Angriffsziele für Cyber-Angriffe und es ist daher notwendig, die Sicherheit auf allen Ebenen regelmässig zu überprüfen, die Resultate zu bewerten und geeignete Massnahmen umzusetzen.



Die Schwyzer Kantonalbank

Die Schwyzer Kantonalbank ist seit 1890 die führende Bank im Kanton Schwyz und beschäftigt rund 540 Mitarbeitende. Mit ihren 23 Filialen kümmern sie sich um die Anliegen ihrer Kunden rund um Kundenkonten, Immobilien- und Firmenfinanzierung sowie Anlagenstrategien und Vermögensverwaltungsmandate. Im Zentrum des täglichen Handels steht stets der Kunde und dessen Bedürfnisse. Deshalb ist die SZKB bestrebt, Kunden und ihre Daten optimal zu schützen.

Ziel und Zweck

Sowohl für die Schwyzer Kantonalbank als auch für die Security Tester von Redguard war es wichtig, die Ziele sowie den eigentlichen Zweck der Attack Simulation von Anfang an klar zu definieren. An diesem Leitfaden wurde während der ganzen Projektzeit festgehalten und daraufhin gearbeitet. Der SZKB war es insbesondere wichtig, möglichst realitätsnahe Angriffe zu simulieren und den Security Testern nur die notwendigsten Informationen zur Verfügung zu stellen. Die Simulation verfolgte die folgenden Zielsetzungen:

  • Eine globale Übersicht des aktuellen Sicherheitsstandes bei der Schwyzer Kantonalbank zu erhalten.
  • Strategisch verwertbare und fundierte Aussagen in Bezug auf den aktuellen Sicherheitsstand zu treffen.
  • Allfällig schwerwiegende Sicherheitsprobleme innerhalb der Schwyzer Kantonalbank zu identifizieren.
  • Gegenmassnahmen und Handlungsfelder zu definieren, um den identifizierten Sicherheitsdefiziten zu begegnen.
  • Eine Simulation echter Angriffe durchzuführen, um die Reaktion der Bank als Gesamtorganisation in diesem Fall zu beurteilen.

Mit massgeschneiderten Szenarien zum Ziel

Um an wertvolle Informationen wie Finanzdaten der Kunden oder getätigte Transaktionen zu kommen, sind mehrere Wege möglich. Heutzutage existieren Daten nicht nur physisch, sondern vermehrt oder ausschliesslich in elektronischer Form. Dies bringt auch eine lange Liste an Möglichkeiten mit sich, wie ein Hacker an Finanzdaten der Schwyzer Kantonalbank gelangen kann. Umso wichtiger ist es, die Widerstandsfähigkeit gegenüber Cyber-Angriffen gesamtheitlich zu überprüfen. Um diese Widerstandsfähigkeit zu testen, wurden gemeinsam in einem Workshop mit den Security Testern sowie der Schwyzer Kantonalbank gezielte und massgeschneiderte Angriffsszenarien definiert. Diese basierten auf dem Redguard Attack Simulation Framework.

Externer Angriff

Im ersten Schritt wurde versucht, mittels öffentlichen IP-Adressen der Bank, so viele Informationen wie möglich über die vorhandenen IT-Systeme in Erfahrung zu bringen. Mit Hilfe dieser Informationen konnten mögliche Einstiegspunkte ins interne Netzwerk identifiziert werden, welche daraufhin kritisch geprüft wurden. Ein wichtiger Punkt für die Schwyzer Kantonalbank war es, zu wissen, ob ihre Perimetersicherheit einem Angriff von aussen Stand halten kann und wo sich mögliche Einfallstore befinden, welche zusätzlich gestärkt werden müssen.

Spear Phishing

Phishing E-Mails sind ein sehr beliebtes Instrument von Hackern, um an Zugangsdaten der Mitarbeitenden zu gelangen. Aber nicht nur Zugangsdaten sind gefährdet, sondern auch die ungewollte Installation einer Schadsoftware auf den Geräten sind ein gängiges Mittel, um ins Innere der Bank vorzudringen. Die Schwyzer Kantonalbank erstellte zu Beginn eine Liste von Mitarbeitenden, die mit einer Phishing-E-Mail angegriffen werden sollten. In diesem Phishing sollten die Mitarbeitenden in einem ersten Schritt dazu gebracht werden, ihre Zugangsdaten preiszugeben und in einem zweiten, Schadsoftware herunterzuladen und auszuführen. Die Tester von Redguard gingen dann aber noch einen Schritt weiter und setzten in Absprache mit der Schwyzer Kantonalbank ein zweites Phishing auf, welches dazu diente, auch den zweiten Faktor bei einer Anmeldung über den externen Citrix-Zugang abzufangen. Diese beiden Phishing-E-Mails verfolgten jedoch nicht ausschliesslich die Absicht, an Zugangsdaten zu gelangen, um diese im weiteren Projektverlauf zu verwenden. Das Ziel war es auch, herauszufinden, wie die Mitarbeiten auf einen solchen Vorfall reagieren und wie gut der bestehende Meldeprozess in der Unternehmung verankert ist. Darauf basierend, können zukünftig gezielte Awareness-Kampagnen und -Massnahmen umgesetzt werden.

Malware Infektion

In diesem Szenario wurde eine Infektion eines SZKB Client-Computers mit Schadsoftware (Malware) simuliert, um an sensitive Daten zu gelangen. Denn wenn ein Angreifer sich Zugang zu einem Client-Gerät verschaffen kann, ist es für ihn je nach dem gar nicht erst notwendig, in zentrale Server einzudringen. Häufig finden sich die gewünschten Daten und Informationen auch auf den Geräten geeigneter Mitarbeitender oder können von dort aus abgefragt werden. Für dieses Szenario haben die Security Tester eine entsprechende Malware geschrieben, um herauszufinden, ob es möglich ist, Kommunikationskanäle aus der Bank heraus ins Internet zu öffnen und Daten zu entwenden. Die Tests sollten Klarheit über die eingesetzten Data-Loss-Prevention-(DLP)-Systeme sowie bezüglich Abwehrmassnahmen wie Intrusion-Detection- und -Prevention-Systemen (IDS/IPS) schaffe.

Social Engineering

Unbekannte Gesichter innerhalb eines Firmenstandorts sollten immer direkt angesprochen und falls nötig gemeldet werden. Auch die Schwyzer Kantonalbank wollte wissen, ob ein unbefugter Zutritt möglich ist, ohne dass dieser auffällt. Hierzu wurde durch Redguard ein professioneller Schauspieler eingesetzt, welcher versuchte, in die Räumlichkeiten des Hauptgebäudes und einer Filiale der Bank zu gelangen. Bei solchen Einsätzen werden dann verschiedene Tricks angewendet und den Mitarbeitenden eine falsche Identität vorgespielt. Gerade Banken sollten auf ein solches Szenario vorbereitet sein, weil nicht nur sensitive Daten, sondern vor allem Bargeld und Wertgegenstände in den Filialen vorhanden sind.

Interner Angriff

Alle vorhergehenden Szenarien versuchen eigentlich immer das gleiche Ziel zu erreichen: Dem Angreifern Zugang ins Innere der Firma und somit auch ins interne IT-Netzwerk zu verschaffen. Dieses Szenario basiert auf der Annahme, dass mindestens eines der vorherigen Szenarien erfolgreich war, und die Tester platzierten sich somit mit ihren Geräten direkt bei der Schwyzer Kantonalbank vor Ort. Dieses Szenario lieferte fundierte Aussagen über den Sicherheitsstand des internen Netzwerks und es wurde simuliert, welches Schadenspotential ein Versagen der Perimeter-Sicherheit mit sich bringt. Angreifer zielen hier meist auf Passwort-Datenbanken, Administrationsrechte, welche weitere Türen öffnen oder die direkte Übernahme eines Domain-Controllers ab. Gleichzeitig soll dieses Szenario auch prüfen, wie schnell und effizient ein solcher Angriff von der internen IT oder externen Partnern erkannt und verhindert werden kann. Die daraus hervorgehenden Resultate können in der Zukunft für die Verbesserung der Monitoring- und Incident-Response-Prozesse herangezogen werden.

Zusammenarbeit mit Redguard

Die Schwyzer Kantonalbank empfiehlt sowohl Banken wie auch anderen Unternehmen mit hohen Sicherheitsanforderungen, solche umfassende Angriffssimulationen regelmässig durchzuführen. So kann die reale Maturität der vorhandenen Sicherheitsvorkehrungen und -prozesse beurteilt werden. Durch die von den Security Testern von Redguard vorgeschlagenen Handlungsfelder sowie Gegenmassnahmen konnten umgehend nach dem Projektabschluss weitere Sicherheitsvorkehrungen getroffen wie auch längerfristige Massnahmen eingeplant werden. Die SZKB schätzte die offene Kommunikation von Redguard und profitierte vom umfassenden Know-how der Security Tester. Die Verantwortlichen der IT sowie Drittpartner konnten nach Abschluss der Angriffssimulation ihre fachlichen Fragen gezielt stellen und auch Redguards Einschätzung für weitergehende Schritte einholen.


< zurück