1

Security Potpourri 2018

ALLES SICHER ? Das Spannungsfeld zwischen Regulatorien und Cyberangriffen – Aktuelle Herausforderungen im Finanzbereich

Andreas SchauppErste Group – Head of Group Information Security and Data Protection

Oktober 2018

Public

Agenda

• Digitalisierung im Finanzsektor• Motivationen für mehr Security-Maßnahmen ?• Aktuelle Security-Vorgaben für den Finanzsektor • Resultierende Vorteile für Bankkunden ?• Conclusio

2

PublicOE 0196 1901

I

N

T

E

R

N

E

T

Änderungen in der Beziehung und Kommunikationzwischen Bank, KundInnen und Angreifern

FilialeTelefon-Banking

Mobile-Banking

Technologiebietet

Vorteile

3

globalerCyberspace

anonymOnline-Banking

PublicOE 0196 1901

I

N

T

E

R

N

E

T

Änderungen in der Beziehung und Kommunikationzwischen Bank, KundInnen und Angreifern

FilialeTelefon-Banking

Mobile-Banking

Technologiebietet

Vorteile

4

Angreifer folgen dem Geldfluss

Attacken mit Social Engineering & Malware

t

globalerCyberspace

anonymOnline-Banking

PublicOE 0196 1901

Klassisches Online Banking Szenario

Kundenkonto / Payment account

KundInnen(Payment service user / PSU)

Internet Bankingund mBanking Services

Kontoführender Zahlungsdienstleister (ASPSP)

OE 0196 1901

ASPSP … Account Serving Payment Service Provider

Public

5

Klassisches Online Banking Szenario –Attacken zielen auf die Kommunikation zwischen Bank und KundInnen ab

Kundenkonto / Payment account

KundInnen(Payment service user / PSU)

Internet Bankingund mBanking Services

Kontoführender Zahlungsdienstleister (ASPSP)

OE 0196 1901

ASPSP … Account Serving Payment Service Provider

Public

6

Angreifer = Man in the Middle

• Anonym• Grenzenlos• Global• Zu jeder Zeit

Wie kann die Echtheit der Kommunikation mit

Partner inkl. der Bank nachgewiesen /

sichergestellt werden?

Wie kann die Identität der KundInnen auf

sichere, bequeme und kostengünstige Weise

überprüft werden?

zu lösende

Problematiken

Internet

Phishing

Attacken gegen Internet basierende Business -Kommunikation

• Spam eMails• gegen jeden bekannten eMail Nutzer• brauchen mittlerweile viel Bandbreite• sehr oft der erste aktive Schritt einer Attacke• zusätzliche Gefahr der Malware-Infektion

• (Verfeinertes) Phishing• gegen unsere Kunden (und damit uns)• mit eMail, Telefonanruf und Social Media (zB

Facebook)• seit einigen Jahren auch gegen mBanking

• CEO / ‚Fake President‘ Fraud• gegen unsere Kunden und gegen uns

• Rechnungsbetrug / Invoice Fraud• nach Ausspähen der Geschäftsbeziehungen

• Personalisierte Erpressungs-eMails

Public

8OE 0196 1901

Cyber-Bedrohungstrends in Europe und im Finanzbereich

Quelle: ENISA Threat Landscape 2017

Top Bedrohungen

OE 0196 1901Public

9

ZunehmendeCyber Attacken in der Finanzindustrie

Ban

ken

Ban

k-K

unde

n

Phishing

Aktuell typischesPhishing Attacken -Szenario

zB mit QRecorder App

Public

10

OE 0196 1901

b)

a)

Aktuelles Beispiel:Android App mit Banking Trojaner

PublicOE 0196 1901

11

Aktuelles Beispiel:Android App mit Banking Trojaner

PublicOE 0196 1901

12

Braucht ‚normale‘ Berechtigungen, aber kontaktiert im Hintergrund C&C Server Download 2te APK (=Banking Trojaner) vom

C&C Server

Trojaner tarnt sich als ‚Google Service‘ Braucht mehr Berechtigungen Konfiguration vom C&C Server

Bei Aufruf einer Banking-App wird Banking Trojaner App aktiv Overlay Attacke mit Maske der jeweiligen Bank SMS (TAN) Forwarding

Aktuelles Beispiel:Modifizierte Android App mit Banking Trojaner

PublicOE 0196 1901

13

Customer Security Program v1 -> v2

ISO27001/2ISO27032ISO27035

Update Datenschutzgesetz CyberSecurity Gesetz , …

EBA Guidelines‘Security of Internet Payments’

‘Major Incidents Reporting’‘Security Measures for Operational & Security Risks’

‘Reporting Fraud Data’‘ICT Risk Assessment / SREP’

‘Outsourcing to Cloud Service Providers’ECB Cyber Incident Reporting

Payment Service Directive v2RTS on SCA and CSC

Update Bankwesen-Gesetz, …

EU

FINANZ-INDUSTRIEALLGEMEIN

A7700

General Data Protection Regulation NIS DirectiveePrivacy Regulation

Policies

Schutzmaßnahmen

National

PCI DSS v3

CyberAttacken -> CyberCrimeRegulatoren und Industriegruppen antworten mit neue n Regulatorien

OE 0196 1901Public

Legend: Blau … Mitte 2017, Rot… gültig in 2018, Violett … gültig in 201914

Finanzmarkt Sicherheitsleitlinien (zB von FMA)

RTSSCA & CSC________

(Security) Anforderungen aus der Zahlungsdiensterichtlinie #2 / PSD2

EBA GLIncident. Reporting________

PSD2________________

EBA GL Sec. of IN Pay.______

EBA GLSecurity Meas.f.Ops________

OE 0196 1901

01/2018

09/2019

01/2018

01/2018

08/2015

Public

15

In Kraft ab:

Zahlungsdienste-Richtlinie #2

Starke Authentifizierung und 3rd Party Zugriff

Reporting maßgeblicher Incidents

(Umfangreiche) Maßnahmen zur Risiko-Reduktion

vorab, temporäre Security-Vorgaben

Überblick über neue Security -Anforderungenaus PSD2 RTS on SCA and CSC

RTS definiert u.a. verschiedene (Sicherheits-) Anforderungen …

2 von 3 notwendig !

OE 0196 1901Public

17

bedi

ngen

akt

ualis

iert

e Lö

sung

en

Starke Authentifizierung für Loginund Transaktionsautorisierung

(Fraud) Transaction Monitoring vor Transaktionsausführung

a. apply the procedure of strong customer authentication (SCA) incl. Transaction Monitoring (TM)

b. exempt the application of the security requirements of SCA , … conditions based on level of risk, … of the payment transaction and of the payment channel used …

c. protect the confidentiality and the integrity of the payment service user’s personalised security credentials

Ausblicke/mBanking Schutzmaßnahmen mit PSD2 RTS

e/mBankingZugriff vom

Kundensystem

Konto-Login

-> Datenzugriff

ErstelleTransaktion

Transaktions-Durchführung

Schritte einer Online-Banking Aktivität

Inte

rnet

OE 0196 1901

18

Public

Ausblicke/mBanking Schutzmaßnahmen mit PSD2 RTS

• Definierte Autorisierungs-Ausnahmen

• Starke 2 (of 3) -FactorAutorisierung

• Simple Authentifizierung

• Cyber ThreatIntelligence(um bekannte Betrugs-Szenarien zu erkennen)

• Verhaltens-basierendesFraudTransactionMonitoring

PS

D2

Opt

iona

lP

SD

2A

nfor

deru

ng

• Starke 2 (of 3) -FactorAuthentifizierung

• ‚Front end‘ Schutz inkl. Malware-Erkennung

e/mBankingZugriff vom

Kundensystem

Konto-Login

-> Datenzugriff

ErstelleTransaktion

Transaktions-Durchführung

Schritte einer Online-Banking Aktivität

Inte

rnet

• Phishing-Seiten Erkennung und Shutdown

PublicOE 0196 1901

19

Ausblicke/mBanking Schutzmaßnahmen mit PSD2 RTS

• Definierte Autorisierungs-Ausnahmen

• Starke 2 (of 3) -FactorAutorisierung

• Simple Authentifizierung

• Cyber ThreatIntelligence(um bekannte Betrugs-Szenarien zu erkennen)

• Verhaltens-basierendesFraudTransactionMonitoring

PS

D2

Opt

iona

lP

SD

2A

nfor

deru

ng

• Starke 2 (of 3) -FactorAuthentifizierung

• ‚Front end‘ Schutz inkl. Malware-Erkennung

e/mBankingZugriff vom

Kundensystem

Konto-Login

-> Datenzugriff

ErstelleTransaktion

Transaktions-Durchführung

Schritte einer Online-Banking Aktivität

Inte

rnet

• Phishing-Seiten Erkennung und Shutdown

PublicOE 0196 1901

20

PSD2 RTS SCA & CSC ‚Open Banking‘ Ziel-Szenario

Kundenkonto / Payment account

Kunde(Payment service user / PSU)

Third Party Provider / TPP(AISP / PISP)

Internet Bankingund mBanking Services

PSD2 API

Kontoführender Zahlungsdienstleister (ASPSP)

OE 0196 1901

Starke AuthentifizierungScreen Scraping *

* nur als FallbackMethode

Sicheres Zahlungsdienstleister Environment

AISP… Account Information Service ProviderPISP… Payment Initiation Service Provider

ASPSP … Account ServingPayment Service Provider

Public

21

Internet

Angriffe und regulkatorische Anforderungen resultieren inMehrere Schichten von CyberSecurity Maßnahmen

DDoS Vorbeugung

DLP

Firewall

AntivirusIDS

IPS

APT

Anti-SkimmingSchutz

I

N

T

E

R

N

E

T

AufwändigerPerimeter& interner

Schutz

Significant Critical Critical

Ser

ious

Minor Low

Hig

hM

ediu

m

Critical

Significant

MinorMinor

ImportantImportant

SignificantImportant

Probability

Se

ve

rity‚Secure

by design‘ Applikationen

Sec.Dok.s Risiko Entscheidung

Pen.testing

Security-Center

Kunden

Aw

aren

ess-

MM

Ass

nahm

en

Mitarbeiter

OE 0196 1901

Cyber Threat IntelligenceServices Frühwarnung

IoCsIndicators of Compromise

Externe / Internet basierendeErkennung& (Re-)aktion

Tools & Service

Phishing-Seiten

Shutdown

Public

SCA & Transaction Monitoring

22

Starke Authentifizierung und Autorisierung mit Mobile Token App ‚s Identity‘Das Login für reine Kontoinfo ist nicht aufwendig:

o George-App Einstieg mit easy-access

PSD2-konforme Strong Customer Authentication mit s Identity:o keine verzögerte SMS Zustellungo 25 Überweisungen (mix) oder 15 SEPA-

Lastschriften gemeinsam zeichneno „Besonders sicher“

kein Passwort-Phishing, keine SMS-Trojaner technische Bindung des Gerätes an Verfüger +

App Mehr Infos bei Freigabe

o Login bei Verlust des Smartphones ist nicht mehr möglich:o Reaktivierung notwendigo Aktivierungscodes in Foyers der s Gruppe

Public

23

OE 0196 1901

(PSD2) Fraud Transaction Monitoring funktioniert (auch) für unsere Kunden

Ein Kunde wurde Opfer einer CEO Fraud Attacke:• Österreichisches Unternehmen Kunde A wurde von einem europäischen Konzern gekauft

• Der vermeintliche, neue Chef B ruft den CEO von Kunde A an• ‚Chef B‘ fordert CEO A auf in einen privaten, nicht abhörbaren Bereich zu gehen• ‚Chef B‘ erzählt von einer weiteren Übernahme und braucht dafür 2 Mio Euro• Nach bilateraler Diskussion sagt CEO A eine mögliche Gesamtzahlung von 400.000,-- Euro von 2 Konten zu

• Zahlungsmodalitäten werden von einem (angeblichen) Rechtsanwalt direkt an CEO A kommuniziert

• CEO initiiert die Transaktion von 300.000 Euro vom Kundenkonto nach China• Erste & Sparkassen Fraud Transaction Monitoring kennzeichnet die Transaktion als verdächtig

• sCall Center ruft Kunde A an• CEO von Kunde A bestätigt die Gültigkeit der Transaktion -> Transaktionsdurchführung wird gestartet• Durch den Call Center Anruf wurde CEO A skeptisch und ruft beim Chef B an -> CEO Fraud (Attacke) wird erkannt

• Der unmittelbar folgende Rückholversuch für die 300.000 Euro ist erfolgreich • Über den Verbleib der anderen 100.000.- Euro ist uns nichts bekannt

24

PublicOE 0196 1901

www.sparkasse.at/sicherheitscenter/sicherheit

PublicOE 0196 1901

25

Conclusio

Cyber-Angreifer werden uns weiterhin auf unserem Weg der Digitalisierung ‚begleiten‘

Die Erste & Sparkassen-Gruppe schützt• sich selbst und • die KundINNenentsprechend • ‚Best Practice‘• Regulatorischer Vorgaben wie PSD2+

Wir können viel abwenden, aber wir brauchen die aktive Zusammenarbeit mit Ihnen , um die Cyber-Angreifer in Schach zu halten !

PublicOE 0196 1901

26

“Die größte Verwundbarkeit ist die Unwissenheit.”Sun Tzu, um 500 v.Chr.

Vielen Dank für Ihre Aufmerksamkeit

27

Dipl-HTL-Ing Andreas Schaupp MSc MScHead of GISM&DP / Group CISO

Erste Group Bank AG

OE 0196 1901Public

Info zum Vortragenden

Dipl-HTL-Ing Andreas Schaupp MSc MSc MAS,Head of Group Infomation Security & Data Protection / CISO,Erste Group Bank AG

Ausbildung Nachrichtentechnik -> IT Netzwerke -> Informationssicherheit Telematik Management MSc und Information Security Management MSc Verschiedene IT-, Netzwerk- und Sicherheits-Zertifizierungen: CCIE, ITILv3, CISSP,

CISA, ISO27001 Lead Auditor, CEH, CHFI, CSA, PCI-P, …

Erfahrung 35 Jahre Beschäftigung mit IT, Telekommunikation und Sicherheit 20+ Jahre IT, Netzwerk und Informationssicherheit Consulting 15+ Jahre in der Finanzindustrie

9+ Jahre CISO in internationalen Bankengruppen

14+ Jahre Vortragstätigkeit an Hochschulen (zB Donau Universität, FH St.Pölten)

PublicOE 0196 1901

28