Cyberattacke auf Schweizer Fintechs: Überwachung kann fatale Folgen verhindern

Kommentar von Dr. David Gugelmann, Gründer und CEO, Exeon

Zürich, 15. Februar 2021 - Verschiedene Medien berichten heute über eine Warnung des Cybersecurity-Unternehmens Eset. Dieses hatte berichtet, dass die Hacker-Gruppe „Evilnum“ seit Dezember 2020 gezielt Schweiz Fintech-Firmen ins Visier nimmt. Mit sogenannten Spear-Phishing-Mails, also Attacken gegen ausgewählte Ziele im Unternehmen, sollen Empfänger dazu gebracht werden, einen Link zu einer ZIP-Datei anzuklicken und diese zu extrahieren. Die Datei enthält neben einer Rechnung und Ausweisdokumenten auch ein Schadprogramm. Auf den ersten Blick sehen die enthaltenen Unterlagen vertrauenswürdig aus, wie Eset schreibt. Mit der Operation wolle Evilnum die anvisierten Unternehmen infiltrieren und an sensible Informationen über die Finanzinstitute sowie deren Kunden gelangen. Sie nutzten dabei die für Unternehmen in der Finanzbranche üblichen Know-your-Customer-Verfahren aus.

Phishing zielt darauf ab, dass Mitarbeitende ein unbekanntes Attachment öffnen oder einen Link auf eine Hacker-Website anklicken. Der Nutzer merkt dabei oft gar nicht, dass er Opfer von Phishing wurde. Die Angriffsmethode ist bei Cyberkriminellen dadurch sehr beliebt und kommt oft professionell daher. Sie ist damit ein Einfallstor für alle Arten von Cyberangriffen wie Malware, Ransomware, oder Datendiebstahl.

Es gibt Rollen im Unternehmen, die müssen Anhänge anklicken und können ihrer Aufgabe gar nicht anders nachkommen. Diese Mitarbeitenden werden in erster Instanz zwar durch Antiviren-Programme und Firewalls geschützt, diese präventiven Massnahmen sind aber relativ einfach zu umgehen. Wenn die Angreifer erstmal im Netzwerk sind, helfen die traditionellen Abwehr-Mechanismen nicht mehr - gerade auch, weil Angreifer wie Evilnum sehr ausgeklügelt vorgehen, wenn sie sich im Netzwerk verbreiten. Die Folgen können verheerend sein, gerade im Finanzsektor.

Schnelle Entdeckung und Reaktion sind entscheidend

Deshalb ist es wichtig, auch das Netzwerk konstant zu überwachen, um Angriffe zu erkennen und Abwehrmassnahmen einzuleiten. Denn der Schaden entsteht nicht beim eigentlichen Einbruch, sondern erst mit der Entwendung von Daten. Die Angreifer müssen sich dafür zuerst mit dem Netzwerk vertraut machen. Sie müssen die für sie relevanten Daten finden, sich entsprechende Admin-Rechte besorgen, Kommunikationskanäle nach aussen aufbauen, Software installieren, usw.

Alle diese Aktivitäten hinterlassen Spuren im Netzwerk, die eigentlich auffallen müssten, wie:

  • neue, unübliche Kommunikationskanäle, die erstellt werden (intern wie extern)
  • untypischer Traffic und auffällige Kommunikationsmuster
  • “laterale Bewegungen“ wenn Hacker sich durch das Netzwerk hangeln
  • Software, die Daten sammelt oder sendet
  • Software, die das Netzwerk scannt
  • Software, die grosse Datenmengen liest und schreibt, etwa zur Verschlüsselung

Verdächtige Netzwerkaktivitäten sind wichtige Hinweise, um Attacken wie jene von Evilnum schnell abwehren zu können. Doch obwohl die Spuren eigentlich klar zu sehen wären, gehen sie in der schieren Menge an Netzwerkdaten oftmals unter. Deshalb geht es im Schnitt über 200 Tage, bis ein Cyberangriff bemerkt wird – und dann ist es oftmals zu spät. Abhilfe schafft der Einsatz von künstlicher Intelligenz (KI) in der Netzwerksicherheit. KI kann laufend nach typischen Angriffsmustern suchen, und schnell normale von verdächtigen Aktivitäten unterscheiden. Bedrohungen können so innert Minuten oder Stunden entdeckt und dem IT-Team angezeigt werden. Wie eine Alarmanlage, die dann anschlägt, wenn das Türschloss vom Einbrecher geknackt oder umgangen wurde.

Diese Alarmanlage heisst “Network Detection & Response” (NDR). Die Technik alarmiert aber nicht nur, sie hilft dem Security Team darüber hinaus auch dabei, Bedrohungen zu verstehen und Angriffe schnell abzuwehren. So kann NDR Attacken wie jene von Evilnum zwar nicht unbedingt verhindern, aber sie kann Bedrohungen aufdecken und eliminieren, noch bevor Schaden entsteht. Ein Sicherheitsnetz, das die Prävention effektiv ergänzt und damit zu einem Must-have der modernen Cybersecurity geworden ist.

Über Exeon

Exeon ist ein Schweizer Cybersecurity-Unternehmen, das sich auf die automatische Sicherheitsüberwachung von IT-Netzwerken und -Infrastrukturen spezialisiert. Das Kernprodukt „ExeonTrace“ bietet KI-gestützte Erkennung und Bekämpfung von Cyberbedrohungen, basierend auf über zehn Jahren preisgekrönter Forschung an der ETH Zürich. Exeon wurde kürzlich in die Top-5 der Schweizer Start-ups gewählt, ist international aktiv und zählt namhafte Firmen wie PostFinance und den Logistikkonzern Planzer zu seinen Kunden. Weitere Informationen unter: www.exeon.com.