Hinter der Plattform YesWeHack verbergen sich legale Hacker - es handelt sich um einen sogenannten Bug-Bounty-Dienstleister, der Schwachstellen und Angriffspunkte von IT-Systemen identifiziert, damit sich Firmen besser schützen können. In einer aktuell beauftragten Studie kommen sie mit Blick auf Finanzdienstleister zu einem besorgniserregenden Ergebnis: Die große Mehrheit der Anbieter wurde in den letzten Monaten Opfer erfolgreicher Hacker-Angriffe. „Es geht nicht darum, ob ein Finanzinstitut von einem Cyberangriff getroffen wird – sondern wie“, ist folglich der Pressetext zur Studie überschrieben.

Anzeige

Nur sieben Prozent der Unternehmen von Hacker-Angriffen verschont

Konkret wurden für die Studie 208 Banken, Versicherer und Finanzdienstleister unterschiedlicher Größe in Deutschland, Österreich und der Schweiz befragt. Lediglich rund sieben Prozent der Studienbefragten gaben an, in den letzten zwölf Monaten keinem Cyberangriff zum Opfer gefallen zu sein. Mit 76 Prozent verzeichnete die Mehrheit der Befragten zwischen einer und 20 erfolgreicher Attacken. Jedes zehnte Finanzinstitut (11 Prozent) hatte mit 21 bis 50 Attacken zu kämpfen, rund vier Prozent sogar mit über 50.

Dabei spiele auch die Größe des Unternehmens eine wichtige Rolle, wie YesWeHack per Pressetext mitteilt. In der Umsatzklasse unter einer Milliarde Euro verzeichnete nur rund jede sechste Firma mehr als zehn Angriffe (17 Prozent), in der Umsatzklasse über zehn Milliarden Euro ist es schon fast jede zweite (46 Prozent).

Immer komplexere Angriffe

Die Hacker hätten dabei verstanden, dass sie mit einfachen und altmodischen Taktiken kaum noch Erfolg hätten, berichtet das IT-Haus. Stattdessen seien zunehmend komplexe Szenarien zu beobachten. Mehr als jedes zweite Unternehmen (53 Prozent) habe hierbei Angriffe über die Geschäftslogik beobachtet, sogenannte Business Process Compromise-Angriffe. Hierbei werden Schlupflöcher in Geschäftsprozessen, verwundbaren Systemen und angreifbaren Handlungsweisen ausgenutzt. Dabei suchen Hacker gezielt nach Schlupflöchern in den Unternehmensprozessen im Sinne von Logikfehlern, die sie für ihre Zwecke ausnutzen können.

Auf Rang zwei der häufigsten Attacken landet der Credential-Diebstahl: Hiermit wurden 51,0 Prozent der Unternehmen konfrontiert. Hierunter fallen Phishing-Attacken: also etwa der Versuch, über gefälschte Emails oder Kurznachrichten vertrauliche Informationen und Zugang zu den Systemen zu ergaunern. Rang drei belegen die Ransomware-Angriffe, zu denen Angriffe mittels Malware und Viren gehören.

YesWeHack

Rang vier und fünf bilden Insider Threats mit 38 Prozent und Attacken auf Datenbanken (beispielsweise über Brute-Force-Angriffe) mit 37 Prozent. Bei Insider Threads nutzen ehemalige Mitarbeiter oder Geschäftspartner ihr Wissen aus, um Kriminellen Zugang zu den Unternehmensdaten und -systemen zu verschaffen. Bei Brute-Force-Angriffen werden vermeintlich sichere Zugänge aufgebrochen, indem mit hoher Rechenleistung wiederholt Passwort-Varianten und Kombinationen ausprobiert werden.

Die Unternehmensgröße ist auch hier entscheidend: Business Process Compromise betrifft rund 50 Prozent der Firmen mit über 1.000 Beschäftigten, aber nur rund 35 Prozent der Firmen mit weniger als 500 Angestellten. Phil Leatham, Senior Account Executive von YesWeHack Deutschland, erläutert: „Wenn Unternehmen wachsen, nimmt die Anzahl und die Komplexität von Prozessen exponentiell zu, was vermutlich zu mehr Schwachstellen führt.“ Credentials-Diebstahl sind dagegen eher die kleineren Unternehmen ausgesetzt (52 Prozent vs. 37 Prozent). „Ähnliche Resultate sehen wir auch bei unseren eigenen Bug-Bounty-Programmen in den Branchen Banken, Finanzen und Versicherungen“, bestätigt Leatham.

Immerhin: Banken, Versicherungen und Finanzdienstleister sind laut Studie für Angriffe gerüstet: Nur rund ein Prozent der Institute erfüllen die neuesten „Bankaufsichtlichen Anforderungen an die IT“ – kurz BAIT – noch nicht. Diese schreiben regelmäßige Schwachstellen-Scans, Penetrationstests bzw. Simulation von Angriffen vor. 71 Prozent prüfen ihre IT-Systeme und Anwendungen mithilfe einmaliger Penetrationstests unabhängiger Dienstleister, 60 Prozent mithilfe einmaliger Tests durch unternehmenseigene Prüfer. 39 Prozent setzen auf eine regelmäßige Überprüfung im Rahmen von Bug-Bounty-Programmen externer Dienstleister. In vielen Unternehmen werden mehrere Prüfszenarien umgesetzt.

Anzeige

mit Pressematerial YesWeHack