Cybersicherheit – ein Wettlauf gegen die Zeit

Praktisch jeder ist Cyberrisiken in irgendeiner Form ausgesetzt», stellten IWF-Experten letztes Jahr in einem Papier fest. Das klingt so banal wie die Mahnung der Polizei vor Unfallgefahren. Wie wirkt diese Botschaft auf Sie, Herr Hofmann?

Ich glaube nicht, dass sich die Unfallgefahren im Strassenverkehr in den letzten Jahrzehnten so stark entwickelt haben wie die Cyberrisiken. Die kriminellen Hacker sind heute wesentlich besser organisiert als noch vor wenigen Jahren und verfügen über vielfältige Ressourcen. Sie agieren wie ein global tätiges Unternehmen. Das hat die Gefahrenlage massiv verändert. Ein anderer Aspekt ist, dass die Angriffsfläche breiter geworden ist: die Digitalisierung, die Öffnung unserer Netzwerke zum Internet – das gilt insbesondere für die Kunde-Bank-Schnittstelle. Nehmen wir Open Banking als Schlagwort oder Internet of Things oder die Regulierung mit PSD2, die mithilfe von APIs die Kundenschnittstelle für Drittanbieter öffnet.

SWIFT hat vor zwei Jahren als Reaktion auf den Cyberbankraub bei der Zentralbank von Bangladesch eine Reihe von Sicherheitsmassnahmen angekündigt und unter dem Namen «Customer Security Programme (CSP)» eingeführt – in clearit 12/2017 erschien dazu ein Beitrag. Bis Ende letzten Jahres sollten alle SWIFT-Kunden nachweisen, dass sie die obligatorischen Sicherheitskontrollen einhalten. 89% haben dies offenbar getan. Was passiert mit denjenigen, die nicht mitgemacht haben?

Ich bin erfreut, dass mittlerweile über 90% unserer 12‘000 Kunden ihre Selbstattestierung abgeschlossen haben. Und diese Zahl wächst, während wir hier sprechen. Das ist eine gute Nachricht. Bei näherer Betrachtung der Zahlen stellen wir zudem fest, dass diese Zahl über 99% aller SWIFT-FIN-Meldungen abdeckt. Bis Ende 2018 streben wir 100% an und werden den verbliebenen Kunden helfen, die CSP-Attestierung durchzuführen. Und da rennen wir grundsätzlich offene Türen ein, denn die SWIFT Community hat ein stetig steigendes gemeinschaftliches Interesse an ihrer Sicherheit. Gemeinsam mit unseren Stakeholdern tun wir alles, um dieses Ziel zu erreichen. Dazu zählt auch, dass wir diejenigen, die die Anforderungen nicht einhalten, an die zuständigen Aufsichtsbehörden melden.

Apropos Community: In einer solchen würde man erwarten, dass ein reger Austausch von Informationen und Erfahrungen zwischen den einzelnen Mitgliedern stattfindet. Das scheint nach unseren Informationen nicht immer der Fall zu sein. Zumindest gibt es nur wenige Banken, die am Status des «Security attestation» der Gegenparteien interessiert wären. Woran liegt das?

Das deckt sich nicht mit meiner persönlichen Beobachtung. Ich sehe tatsächlich das Gegenteil: ein viel stärkeres und gewachsenes Interesse an der Sicherheit von Gegenparteien. Und das gilt nicht nur für Gegenparteien, das gilt für alle Beziehungen mit Drittparteien – im Gegensatz zu früher, als man sich primär auf die eigene Sicherheit beschränkte. Ich habe in vielen Banken beobachtet, dass dort Vorgaben und Prozesse eingerichtet wurden, um die Sicherheit bei den Partnern zu gewährleisten. Und auch die Anfragen nach Attestierungsinformationen wachsen weltweit. Da wir ja in einem Lernprozess sind, haben wir selbstverständlich noch Luft nach oben.

Wie viele Betrugsfälle über welchen Gesamtbetrag konnten aufgrund der CSP-Aktivitäten verhindert werden?

Wir haben tatsächlich greifbaren und messbaren Fortschritt gemacht in der Bekämpfung von Betrugsfällen. Ich kann dabei nicht mit Zahlen oder gar Einzelfällen dienen. Wir haben aber zahlreiche Fälle beobachtet, wo der Zahlungsbetrug mit unseren Massnahmen verhindert werden konnte. Ein weiterer wichtiger Aspekt ist, dass unsere Kunden ein deutlich höheres Bewusstsein zeigen für die eigene Sicherheit und – wie ich vorhin angedeutet habe – auch die der Gegenparteien, die ihre Fähigkeit, Bedrohungen zu erkennen, ebenfalls erhöhen. Also wir werden besser. Meine Beobachtung ist jedoch, dass die Anzahl der Betrugsversuche nicht wirklich zurückgeht. Das Gegenteil ist der Fall. So lange die Angreifer die Hoffnung haben, sie könnten damit Geld verdienen, werden sie ihre Aktivitäten nicht stoppen.

Gibt es Hinweise, dass die Hacker ihre kriminellen Aktivitäten aufgrund des CSP in der Zwischenzeit auf andere Kanäle und Gebiete verlagert haben?

Wir wissen, dass die kriminellen Hacker immer mehr Aufwand betreiben, um die Sicherheitsmassnahmen zu umgehen. Also egal, was die Finanzinstitute eingeführt haben, Kriminelle versuchen, einen Weg drum herum zu finden. Mit der so genannten Deception Technology simulieren wir u.a. falsche Server und Konten, um sie in die Falle zu locken. Darauf reagieren sie mittlerweile, und das wird mit anderen Massnahmen ebenso passieren. Das CSP ist da keine Ausnahme. Was heisst das für uns? Das heisst, wir dürfen uns nicht ausruhen, sondern müssen fortwährend hinterfragen, ob unsere Massnahmen angemessen sind, und müssen logischerweise immer eine Schippe drauflegen. Viele Betrugsversuche stellen wir sehr früh mit unserem Integritätscheck-Tool fest, das aufzeigt, wenn eine Meldung verfälscht übermittelt wird.

Apropos Tool: Mit dem neuen Service «Payment Controls» hat SWIFT ein neues Tool zum Schutz vor Betrug eingeführt – das Echtzeit-Screening ausgehender Zahlungen. Warum nicht auch für eingehende Zahlungsaufträge?

Zunächst einmal ist es die Pflicht eines jeden Unternehmens, die ausgehenden Meldungen dahingehend zu überprüfen, ob sie nicht betrügerisch sind. Und das ist der Grund, warum wir an diesem Ende angefangen haben. Die zukünftige Erweiterung auf die Empfängerseite ist damit nicht ausgeschlossen.

Das ist dann im Wettrennen mit den Kriminellen eine der nächsten Etappen ...

Möglicherweise ja. Die Sache ist nur, Sie müssen am Ende die ganze Community mitnehmen können. Die wenigsten Dinge funktionieren ja so, dass ich einen Schalter umlege, und dann haben wir einen Effekt für die ganze Community. Sondern bei den meisten Dingen ist es eine gemeinsame Anstrengung. Und damit gilt: Wir müssen uns zusammen mit unseren Kunden überlegen, wo unsere Prioritäten sind und wo wir den besten Effekt erzielen mit Blick auf die aktuelle, aber auch auf die antizipierte Gefährdungslage.

Cyberbedrohung ist die Kehrseite der Digitalisierung. Politik, Wirtschaft und Gesellschaft scheinen den Ernst der Sache erkannt zu haben. Um nur einige Beispiele zu nennen: EU-Staaten schaffen gemeinsam schnelle Cybereingreiftruppen, der Schweizer Bundesrat bekommt einen oder eine «Mr./Mrs. Cyber Security», und in Deutschland soll das weltgrösste Forschungszentrum für IT-Sicherheit entstehen (Cispa) mit einem Masterstudiengang in Cybersicherheit. Wie vernetzt sich SWIFT im Wettrennen um die Schaffung von Sicherheit mit den weltweiten Initiativen?

Zunächst mal halte ich das für ein extrem wichtiges Thema, um die Zusammenarbeit im Kampf gegen die Kriminalität zu fördern – und da sind nicht nur Banken oder unsere Kunden gemeint, sondern auch Strafverfolgungsbehörden. Ich glaube, dass die Zusammenarbeit oder zumindest der Informationsaustausch über den Modus Operandi der Cyberkriminellen mit staatlichen Stellen, aber auch mit Universitäten, eine der kritischen Fähigkeiten sein wird, um uns effektiv verteidigen zu können. Deshalb haben wir in dieser Hinsicht bereits zahlreiche Schritte unternommen und planen weitere. Zum Beispiel arbeiten wir mit Organisationen wie dem Internationalen Währungsfonds oder der Weltbank zusammen. Wir sind beispielsweise in der FS-ISAC, einer Organisation der Finanzbranche, die ihre 7000 Mitglieder weltweit mit Informationen über Cybergefahren versorgt. Kürzlich fand der jährliche Gipfel in Miami statt, wo die Chief Information Security Officers der Banken sich berieten und Tacheles redeten.

Diese Zusammenarbeit ist wohl wichtig, ist sie aber auch strategisch?

Definitiv. Aus verschiedenen Gründen. Der nächstliegende Grund ist die nachrichtendienstliche Zusammenarbeit. So teilen wir mit der SWIFT Community zeitnah die so genannten «Indicators of Compromise», also Daten über Bedrohungen wie Schadprogramme oder Tätergruppen, damit sie ihre Verteidigung auch kurzfristig anpassen kann. Diese speisen sich aus Erfahrungen, die andere gesammelt haben. Ich halte es für äusserst wichtig, dass wir solche Informationen austauschen und uns gegenseitig vor potenziellen Gefährdungslagen warnen. Und tatsächlich konnten wir uns gegen einige Attacken – wir haben vorhin über «Wo waren wir effektiv gegen Cyberbetrug?» gesprochen – erfolgreich verteidigen.

Ein weiterer strategischer Aspekt ist, dass wir das Bewusstsein in der gesamten SWIFT Community in diesem Kontext schärfen wollen. Wir geben Beispiele, wie Vorgehensweisen bei Attacken funktionieren und wie kriminelle Angreifer das machen; dass diese teilweise sehr, sehr geduldig sind, dass sie nach dem Eindringen in das Netzwerk eines Unternehmens über Monate oder über ein Jahr lang unbemerkt die Umgebung und Benutzeraktivitäten ausspähen, bevor sie zuschlagen. Wir haben Erkenntnisse darüber, dass die Kriminellen ganz geschickt an nationalen Feiertagen oder Wochenenden zuschlagen, um das Verhalten lokaler Betreiber auszunutzen. Diese Informationen müssen wir teilen und das Risikobewusstsein für konkrete Situationen erhöhen, damit Unternehmen dann auch gezielt dort investieren, wo es am meisten Sinn macht. Wir sollten nicht mit der Giesskanne herumlaufen und vergeblich versuchen, alles gleichmässig zu schützen, sondern dort, wo der beste Effekt erzielt werden kann. Wirklich effektiv ist das nur mit Hilfe der Gemeinschaft möglich.

Der Masterplan von SWIFT für die Cybersicherheit ist nach vier Hauptkriterien strukturiert. Im ersten Punkt heisst es: Know your enemy. Wir kennen zwar das Know-your-customer-Prinzip. Aber wie und woran erkennt man einen Feind?

Sehr wichtig ist erst einmal die Erstellung von Bedrohungsanalysen. Der zweite Aspekt ist die Fähigkeit des jeweiligen Security Operations Center (SOC), Eindringlinge zu erkennen. Und das ist ein schwieriges Thema, denn die Hacker wollen ja unerkannt bleiben. Es gibt aber technische Unterstützung, z.B. im Bereich Network Behavior Analysis. Damit lässt sich ungewöhnliches Verhalten im Netzwerk aufspüren, um ihnen auf die Spur zu kommen. Diese Art Verhaltensanalyse ist wie die zuvor erwähnte Deception Technology eine weitere Möglichkeit, Awareness zu schaffen auf der technischen Seite, was die Infrastruktur anbelangt. Und dann gibt es selbstverständlich die Businessseite. Hier geht es darum, wie ich z.B. einen Zahlungsbetrug entdecken kann. Wir haben vorher kurz unseren neuen Service «Payment Controls» gestreift. Unser «Daily Validation Report» ist eine weitere Möglichkeit, die Prozesse rund um die tägliche Abstimmung von Transaktionen gegen Betrug abzusichern. Wenn ich eine Meldung habe, die zu einer ungewöhnlichen Uhrzeit eintrifft oder zu einem neuen, mir unbekannten Zahlungsempfänger weitergeleitet werden soll, muss klar sein, dass da etwas nicht in Ordnung sein kann. Und das ist just mit «Know your enemy» gemeint.

Diesen Sommer soll eine neue Version des CSP Framework publiziert werden mit Änderungen vieler Sicherheitskontrollen. Weshalb muss das Rahmenwerk angepasst werden? Hat die jetzt gültige Version wesentliche Aspekte ausser Acht gelassen?

Nein, das ist nicht der Fall. Aber egal wie ausgeklügelt wir uns gegen Cyberattacken verteidigen – die Kriminellen geben keine Ruhe und werden immer raffinierter. Das heisst, auch wir müssen uns weiter entwickeln. Das gilt ebenso für das CSP. Wir müssen die Kontrollen fortwährend hinterfragen und weiterentwickeln, wenn wir das Rennen nicht verlieren wollen. Da sich die Risiken samt der Gefährdungslage stetig verändern, müssen wir das CSP entsprechend anpassen. In diesem Sinn wird es in Zukunft mit Sicherheit neue obligatorische Sicherheitskontrollen geben – vielleicht fallen irgendwann auch einige weg. Auf jeden Fall erwarte ich, dass das Framework insgesamt noch mehr an Schärfe gewinnt.

Kann man daraus folgern, dass das Framework quasi einem Release-Zyklus unterworfen wird?

So ist es. Wir hinterfragen die Kontrollen fortwährend. In Absprache mit der Community werden wir einen solchen Zyklus einführen.

Bei der Zentralbank von Bangladesch haben die Hacker die betrügerischen Zahlungen zwischen dem Backoffice-System und SWIFT Alliance Access eingespeist. Die wirksamste Kontrolle gegen einen solchen Angriff ist «Back-office Data Flow Security». Wieso wird dieser Kontrollpunkt auch im neuen Framework weiterhin nur empfohlen und ist nicht obligatorisch?

Wir halten das für ein wichtiges Thema. Deshalb ist es auch Teil des Control Framework. Wir sind uns sicher, dass es bei der Weiterentwicklung des Framework Verschiebungen von «Advisory Controls» zu «Mandatory Controls» geben wird. Wir überprüfen regelmässig die Bedeutung und Angemessenheit der jeweiligen Kontrollen und erwägen dann ein Upgrade zum Mandatory Control.

Und in einem nächsten Release wird das eingespielt ...

So ist es.

Seit zwanzig Jahren steht SWIFT aufgrund ihrer systemischen Bedeutung für die Stabilität des weltweiten Finanzsystems unter der Aufsicht der G-10-Zentralbanken. Wie legt SWIFT ihrerseits Rechenschaft über ihre eigenen Bemühungen um Cybersicherheit ab?

Natürlich ist das Thema Cybersicherheit nicht nur für die Community, sondern insbesondere für unsere eigene Statussicherheit äusserst wichtig. Das heisst, wir geben dem Thema höchste Aufmerksamkeit bei uns im Haus. Gleichzeitig haben wir in der Vergangenheit – und tun es weiterhin – substanziell in unsere Infrastruktur und in unsere Cyberstrategie investiert. Wir beziehen uns laufend auf internationale Standards (z.B. ISO) sowie Best Practices und eruieren, wo wir noch eine Extrameile gehen können. Über all das, was wir hier tun, halten wir die G-10 regelmässig auf dem Laufenden, um ihnen ihre Governance-Aufgaben zu ermöglichen.

Welches sind Ihrer Meinung nach aktuell die grössten Hindernisse für die Gewährleistung von Cybersicherheit in der SWIFT Community?

Tatsächlich ist es so, dass zwar nicht die Mehrheit, aber doch viele unserer Kunden den Austausch von Informationen noch scheuen. Einige betrachten es als Wettbewerbsvorteil, diese für sich zu behalten. Das gilt insbesondere für Informationen über Störfälle. Wenn ich mir etwas wünschen dürfte, wäre es, dass sich ausnahmslos alle Unternehmen sofort an uns wenden, wenn ein Verdacht auf Missbrauch aufkommt, so dass wir helfen können. Oder dass wir Informationen – natürlich erst nach ihrer Freigabe – anonymisiert über unseren Kanal teilen können, um Schaden bei anderen Unternehmen abzuwenden. Nach meiner Erfahrung sind leider viele Unternehmen gar nicht in der Lage, bei einem Verdachtsfall mit uns zu agieren. Erstens weil sie schlicht und einfach nicht wissen, an wen sie sich in Sachen Legal & Compliance intern wenden müssen, um eine Freigabe für den Informationsaustauch zu bekommen. Auch wenn dieses Wissen vorhanden ist, braucht es für die Freigabe manchmal zu lange, womöglich Tage, sei es weil die Verantwortlichen im Urlaub oder zumindest nicht abrufbereit sind.

Der zweite Punkt ist, dass Unternehmen das unter Umständen technisch gar nicht mehr können. Ich habe bei einigen Attacken beobachten können, dass Kriminelle sehr viel an der Infrastruktur des Unternehmens (z.B. Server, inklusive Mail-Server) zerstört hatten, um ihre Spuren zu verwischen. Entweder löschen sie Einträge aus Datenbanken oder sie gehen extrem zerstörerisch vor und verschlüsseln oder löschen einfach alles, was ihnen in den Weg kommt. Mit anderen Worten, die Kunden konnten technisch gar nicht schnell reagieren. Die kriminellen Angreifer wollen im Prinzip die Abstimmung der Zahlungsein- und -ausgänge verhindern oder zumindest verzögern. Am Ende ist es ein Wettlauf um die Zeit. Es gibt nichts Wichtigeres als Zeit, um die Rückforderung von Mitteln voranzutreiben. Das wissen die Hacker auch, und deshalb wollen sie ihre Spuren verwischen und die Reaktion der Geschädigten verlangsamen.