Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
1
Security Potpourri 2018
ALLES SICHER ? Das Spannungsfeld zwischen Regulatorien und Cyberangriffen – Aktuelle Herausforderungen im Finanzbereich
Andreas SchauppErste Group – Head of Group Information Security and Data Protection
Oktober 2018
Public
Agenda
• Digitalisierung im Finanzsektor• Motivationen für mehr Security-Maßnahmen ?• Aktuelle Security-Vorgaben für den Finanzsektor • Resultierende Vorteile für Bankkunden ?• Conclusio
2
PublicOE 0196 1901
I
N
T
E
R
N
E
T
Änderungen in der Beziehung und Kommunikationzwischen Bank, KundInnen und Angreifern
FilialeTelefon-Banking
Mobile-Banking
Technologiebietet
Vorteile
3
globalerCyberspace
anonymOnline-Banking
PublicOE 0196 1901
I
N
T
E
R
N
E
T
Änderungen in der Beziehung und Kommunikationzwischen Bank, KundInnen und Angreifern
FilialeTelefon-Banking
Mobile-Banking
Technologiebietet
Vorteile
4
Angreifer folgen dem Geldfluss
Attacken mit Social Engineering & Malware
t
globalerCyberspace
anonymOnline-Banking
PublicOE 0196 1901
Klassisches Online Banking Szenario
Kundenkonto / Payment account
KundInnen(Payment service user / PSU)
Internet Bankingund mBanking Services
Kontoführender Zahlungsdienstleister (ASPSP)
OE 0196 1901
ASPSP … Account Serving Payment Service Provider
Public
5
Klassisches Online Banking Szenario –Attacken zielen auf die Kommunikation zwischen Bank und KundInnen ab
Kundenkonto / Payment account
KundInnen(Payment service user / PSU)
Internet Bankingund mBanking Services
Kontoführender Zahlungsdienstleister (ASPSP)
OE 0196 1901
ASPSP … Account Serving Payment Service Provider
Public
6
Angreifer = Man in the Middle
• Anonym• Grenzenlos• Global• Zu jeder Zeit
Wie kann die Echtheit der Kommunikation mit
Partner inkl. der Bank nachgewiesen /
sichergestellt werden?
Wie kann die Identität der KundInnen auf
sichere, bequeme und kostengünstige Weise
überprüft werden?
zu lösende
Problematiken
Internet
Phishing
Attacken gegen Internet basierende Business -Kommunikation
• Spam eMails• gegen jeden bekannten eMail Nutzer• brauchen mittlerweile viel Bandbreite• sehr oft der erste aktive Schritt einer Attacke• zusätzliche Gefahr der Malware-Infektion
• (Verfeinertes) Phishing• gegen unsere Kunden (und damit uns)• mit eMail, Telefonanruf und Social Media (zB
Facebook)• seit einigen Jahren auch gegen mBanking
• CEO / ‚Fake President‘ Fraud• gegen unsere Kunden und gegen uns
• Rechnungsbetrug / Invoice Fraud• nach Ausspähen der Geschäftsbeziehungen
• Personalisierte Erpressungs-eMails
Public
8OE 0196 1901
Cyber-Bedrohungstrends in Europe und im Finanzbereich
Quelle: ENISA Threat Landscape 2017
Top Bedrohungen
OE 0196 1901Public
9
ZunehmendeCyber Attacken in der Finanzindustrie
Ban
ken
Ban
k-K
unde
n
Phishing
Aktuell typischesPhishing Attacken -Szenario
zB mit QRecorder App
Public
10
OE 0196 1901
b)
a)
Aktuelles Beispiel:Android App mit Banking Trojaner
PublicOE 0196 1901
11
Aktuelles Beispiel:Android App mit Banking Trojaner
PublicOE 0196 1901
12
Braucht ‚normale‘ Berechtigungen, aber kontaktiert im Hintergrund C&C Server Download 2te APK (=Banking Trojaner) vom
C&C Server
Trojaner tarnt sich als ‚Google Service‘ Braucht mehr Berechtigungen Konfiguration vom C&C Server
Bei Aufruf einer Banking-App wird Banking Trojaner App aktiv Overlay Attacke mit Maske der jeweiligen Bank SMS (TAN) Forwarding
Aktuelles Beispiel:Modifizierte Android App mit Banking Trojaner
PublicOE 0196 1901
13
Customer Security Program v1 -> v2
ISO27001/2ISO27032ISO27035
Update Datenschutzgesetz CyberSecurity Gesetz , …
EBA Guidelines‘Security of Internet Payments’
‘Major Incidents Reporting’‘Security Measures for Operational & Security Risks’
‘Reporting Fraud Data’‘ICT Risk Assessment / SREP’
‘Outsourcing to Cloud Service Providers’ECB Cyber Incident Reporting
Payment Service Directive v2RTS on SCA and CSC
Update Bankwesen-Gesetz, …
EU
FINANZ-INDUSTRIEALLGEMEIN
A7700
General Data Protection Regulation NIS DirectiveePrivacy Regulation
Policies
Schutzmaßnahmen
National
PCI DSS v3
CyberAttacken -> CyberCrimeRegulatoren und Industriegruppen antworten mit neue n Regulatorien
OE 0196 1901Public
Legend: Blau … Mitte 2017, Rot… gültig in 2018, Violett … gültig in 201914
Finanzmarkt Sicherheitsleitlinien (zB von FMA)
RTSSCA & CSC________
(Security) Anforderungen aus der Zahlungsdiensterichtlinie #2 / PSD2
EBA GLIncident. Reporting________
PSD2________________
EBA GL Sec. of IN Pay.______
EBA GLSecurity Meas.f.Ops________
OE 0196 1901
01/2018
09/2019
01/2018
01/2018
08/2015
Public
15
In Kraft ab:
Zahlungsdienste-Richtlinie #2
Starke Authentifizierung und 3rd Party Zugriff
Reporting maßgeblicher Incidents
(Umfangreiche) Maßnahmen zur Risiko-Reduktion
vorab, temporäre Security-Vorgaben
Überblick über neue Security -Anforderungenaus PSD2 RTS on SCA and CSC
RTS definiert u.a. verschiedene (Sicherheits-) Anforderungen …
2 von 3 notwendig !
OE 0196 1901Public
17
bedi
ngen
akt
ualis
iert
e Lö
sung
en
Starke Authentifizierung für Loginund Transaktionsautorisierung
(Fraud) Transaction Monitoring vor Transaktionsausführung
a. apply the procedure of strong customer authentication (SCA) incl. Transaction Monitoring (TM)
b. exempt the application of the security requirements of SCA , … conditions based on level of risk, … of the payment transaction and of the payment channel used …
c. protect the confidentiality and the integrity of the payment service user’s personalised security credentials
Ausblicke/mBanking Schutzmaßnahmen mit PSD2 RTS
e/mBankingZugriff vom
Kundensystem
Konto-Login
-> Datenzugriff
ErstelleTransaktion
Transaktions-Durchführung
Schritte einer Online-Banking Aktivität
Inte
rnet
OE 0196 1901
18
Public
Ausblicke/mBanking Schutzmaßnahmen mit PSD2 RTS
• Definierte Autorisierungs-Ausnahmen
• Starke 2 (of 3) -FactorAutorisierung
• Simple Authentifizierung
• Cyber ThreatIntelligence(um bekannte Betrugs-Szenarien zu erkennen)
• Verhaltens-basierendesFraudTransactionMonitoring
PS
D2
Opt
iona
lP
SD
2A
nfor
deru
ng
• Starke 2 (of 3) -FactorAuthentifizierung
• ‚Front end‘ Schutz inkl. Malware-Erkennung
e/mBankingZugriff vom
Kundensystem
Konto-Login
-> Datenzugriff
ErstelleTransaktion
Transaktions-Durchführung
Schritte einer Online-Banking Aktivität
Inte
rnet
• Phishing-Seiten Erkennung und Shutdown
PublicOE 0196 1901
19
Ausblicke/mBanking Schutzmaßnahmen mit PSD2 RTS
• Definierte Autorisierungs-Ausnahmen
• Starke 2 (of 3) -FactorAutorisierung
• Simple Authentifizierung
• Cyber ThreatIntelligence(um bekannte Betrugs-Szenarien zu erkennen)
• Verhaltens-basierendesFraudTransactionMonitoring
PS
D2
Opt
iona
lP
SD
2A
nfor
deru
ng
• Starke 2 (of 3) -FactorAuthentifizierung
• ‚Front end‘ Schutz inkl. Malware-Erkennung
e/mBankingZugriff vom
Kundensystem
Konto-Login
-> Datenzugriff
ErstelleTransaktion
Transaktions-Durchführung
Schritte einer Online-Banking Aktivität
Inte
rnet
• Phishing-Seiten Erkennung und Shutdown
PublicOE 0196 1901
20
PSD2 RTS SCA & CSC ‚Open Banking‘ Ziel-Szenario
Kundenkonto / Payment account
Kunde(Payment service user / PSU)
Third Party Provider / TPP(AISP / PISP)
Internet Bankingund mBanking Services
PSD2 API
Kontoführender Zahlungsdienstleister (ASPSP)
OE 0196 1901
Starke AuthentifizierungScreen Scraping *
* nur als FallbackMethode
Sicheres Zahlungsdienstleister Environment
AISP… Account Information Service ProviderPISP… Payment Initiation Service Provider
ASPSP … Account ServingPayment Service Provider
Public
21
Internet
Angriffe und regulkatorische Anforderungen resultieren inMehrere Schichten von CyberSecurity Maßnahmen
DDoS Vorbeugung
DLP
Firewall
AntivirusIDS
IPS
APT
Anti-SkimmingSchutz
I
N
T
E
R
N
E
T
AufwändigerPerimeter& interner
Schutz
Significant Critical Critical
Ser
ious
Minor Low
Hig
hM
ediu
m
Critical
Significant
MinorMinor
ImportantImportant
SignificantImportant
Probability
Se
ve
rity‚Secure
by design‘ Applikationen
Sec.Dok.s Risiko Entscheidung
Pen.testing
Security-Center
Kunden
Aw
aren
ess-
MM
Ass
nahm
en
Mitarbeiter
OE 0196 1901
Cyber Threat IntelligenceServices Frühwarnung
IoCsIndicators of Compromise
Externe / Internet basierendeErkennung& (Re-)aktion
Tools & Service
Phishing-Seiten
Shutdown
Public
SCA & Transaction Monitoring
22
Starke Authentifizierung und Autorisierung mit Mobile Token App ‚s Identity‘Das Login für reine Kontoinfo ist nicht aufwendig:
o George-App Einstieg mit easy-access
PSD2-konforme Strong Customer Authentication mit s Identity:o keine verzögerte SMS Zustellungo 25 Überweisungen (mix) oder 15 SEPA-
Lastschriften gemeinsam zeichneno „Besonders sicher“
kein Passwort-Phishing, keine SMS-Trojaner technische Bindung des Gerätes an Verfüger +
App Mehr Infos bei Freigabe
o Login bei Verlust des Smartphones ist nicht mehr möglich:o Reaktivierung notwendigo Aktivierungscodes in Foyers der s Gruppe
Public
23
OE 0196 1901
(PSD2) Fraud Transaction Monitoring funktioniert (auch) für unsere Kunden
Ein Kunde wurde Opfer einer CEO Fraud Attacke:• Österreichisches Unternehmen Kunde A wurde von einem europäischen Konzern gekauft
• Der vermeintliche, neue Chef B ruft den CEO von Kunde A an• ‚Chef B‘ fordert CEO A auf in einen privaten, nicht abhörbaren Bereich zu gehen• ‚Chef B‘ erzählt von einer weiteren Übernahme und braucht dafür 2 Mio Euro• Nach bilateraler Diskussion sagt CEO A eine mögliche Gesamtzahlung von 400.000,-- Euro von 2 Konten zu
• Zahlungsmodalitäten werden von einem (angeblichen) Rechtsanwalt direkt an CEO A kommuniziert
• CEO initiiert die Transaktion von 300.000 Euro vom Kundenkonto nach China• Erste & Sparkassen Fraud Transaction Monitoring kennzeichnet die Transaktion als verdächtig
• sCall Center ruft Kunde A an• CEO von Kunde A bestätigt die Gültigkeit der Transaktion -> Transaktionsdurchführung wird gestartet• Durch den Call Center Anruf wurde CEO A skeptisch und ruft beim Chef B an -> CEO Fraud (Attacke) wird erkannt
• Der unmittelbar folgende Rückholversuch für die 300.000 Euro ist erfolgreich • Über den Verbleib der anderen 100.000.- Euro ist uns nichts bekannt
24
PublicOE 0196 1901
www.sparkasse.at/sicherheitscenter/sicherheit
PublicOE 0196 1901
25
Conclusio
Cyber-Angreifer werden uns weiterhin auf unserem Weg der Digitalisierung ‚begleiten‘
Die Erste & Sparkassen-Gruppe schützt• sich selbst und • die KundINNenentsprechend • ‚Best Practice‘• Regulatorischer Vorgaben wie PSD2+
Wir können viel abwenden, aber wir brauchen die aktive Zusammenarbeit mit Ihnen , um die Cyber-Angreifer in Schach zu halten !
PublicOE 0196 1901
26
“Die größte Verwundbarkeit ist die Unwissenheit.”Sun Tzu, um 500 v.Chr.
Vielen Dank für Ihre Aufmerksamkeit
27
Dipl-HTL-Ing Andreas Schaupp MSc MScHead of GISM&DP / Group CISO
Erste Group Bank AG
OE 0196 1901Public
Info zum Vortragenden
Dipl-HTL-Ing Andreas Schaupp MSc MSc MAS,Head of Group Infomation Security & Data Protection / CISO,Erste Group Bank AG
Ausbildung Nachrichtentechnik -> IT Netzwerke -> Informationssicherheit Telematik Management MSc und Information Security Management MSc Verschiedene IT-, Netzwerk- und Sicherheits-Zertifizierungen: CCIE, ITILv3, CISSP,
CISA, ISO27001 Lead Auditor, CEH, CHFI, CSA, PCI-P, …
Erfahrung 35 Jahre Beschäftigung mit IT, Telekommunikation und Sicherheit 20+ Jahre IT, Netzwerk und Informationssicherheit Consulting 15+ Jahre in der Finanzindustrie
9+ Jahre CISO in internationalen Bankengruppen
14+ Jahre Vortragstätigkeit an Hochschulen (zB Donau Universität, FH St.Pölten)
PublicOE 0196 1901
28