Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Cyberkriminelle nehmen Mobile Banking ins Visier
Wir leben in einer vernetzten Welt. Ein Leben ohne unsere Mobilgeräte, die uns kontinuierlich Zugriff auf eine Fülle von Apps und Diensten ermöglichen, ist kaum vorstellbar.
All diese Annehmlichkeiten haben allerdings ihren Preis. Cyberkriminelle finden schnell so viele neue Möglichkeiten für Angriffe, dass Unternehmen es schwer haben, diesen standzuhalten.
Zu den vorrangigen Zielen gehören Bankgeschäfte. Mobile Banking-Dienstleistungen erfreuen sich großer Beliebtheit. Der Reiz des schnellen Geldes ist für Angreifer sämtlicher Couleur unwiderstehlich.
Die Banken kennen das und arbeiten hart daran, robuste Sicherheitsmaßnahmen und Vorkehrungen zum Schutz von Kundendaten in den Mittelpunkt ihrer Angebote für Mobilgeräte zu stellen.
Ebenso hart arbeitet jedoch eine ganze Untergrundindustrie, die sich der Suche nach neuen und innovativen Wegen widmet, um die Kontrolle über die Smartphones der Kunden zu übernehmen.
Sich dessen sehr wohl bewusst, setzen viele Unternehmen, insbesondere auf unternehmenseigenen Geräten, unterschiedlichste Sicherheitsmaßnahmen ein.
Eine dieser Maßnahmen besteht darin, für die automatische Aktivierung der Virtual Private Network (VPN)-Software durch die Mobilgeräte zu sorgen, wann immer sie sich über das Internet mit Remote Services verbinden. Auf diese Weise bleibt die digitale Kommunikation zu jeder Zeit verschlüsselt – auf dem Gerät, bei der Übertragung und im Speicher.
Den Code knacken
Im vergangenen Monat gab das FBI einen Sicherheitshinweis an gewerbliche Organisationen heraus, in der es auf die zunehmenden Gefahren von Angriffen hinwies, im Rahmen derer Schutzverfahren mit Zwei-Faktor- bzw. Multi-Faktor-Authentisierung (2FA/MFA) umgangen werden.
In seiner Erklärung verwies das FBI auf eine Reihe von Fällen, in denen US-Banken ins Visier genommen wurden. Anfang dieses Jahres machten sich Angreifer beispielsweise einen Website-Fehler zunutze, um ein zweistufiges Authentisierungsverfahren zu umgehen.
In der ersten Phase des Angriffs verwendeten Cyberkriminelle gestohlene Zugangsdaten, um sich in das Konto eines Opfers einzuloggen. Phase zwei beinhaltete das Einfügen einiger Codezeilen in die Web-URL. Dem System wurde vorgetäuscht, das Gerät des Betrügers gehöre einem echten Kunden. Dadurch konnten die Betrüger das Prozesselement aus PIN- und Sicherheitsfrage überspringen und mit der Durchführung von Transaktionen beginnen.
SIM-Swapping ist eine andere Möglichkeit, um die Zwei-Faktor- bzw. Multi-Faktor-Authentisierung der Banken zu schlagen.
Zuerst sammelt der Betrüger möglichst viele Informationen über das Opfer. Das beginnt möglicherweise mit einer Phishing-Mail, mit der die Betroffenen dazu gebracht werden, personenbezogene Informationen wie Geburtsdaten, Adressen und Telefonnummern preiszugeben.
Alternativ können die Daten auch von Daten-Dumps öffentlicher, Social-Media- oder Darknet-Websites abgegriffen werden.
Mit diesen Informationen gerüstet, kreiert der Betrüger eine falsche Identität. Anschließend kontaktiert er seinen Mobilfunknetzbetreiber und informiert ihn über den Verlust oder die Beschädigung seiner SIM-Karte.
Mit unfreiwilliger Hilfe des Kundendienstmitarbeiters wird dann die SIM-Karte oder Nummer des Opfers für den Betrüger aktiviert.
Banking-Apps hacken
Rund um die Welt sind kriminelle Gruppen zudem mit der Entwicklung von Schadsoftware für Mobilgeräte zwecks Erfassung persönlicher Bankdaten beschäftigt.
Laut einem aktuellen Bericht des Sicherheitsunternehmens Crowdstrike hat die Beliebtheit mobiler Bankgeschäfte einen Untergrundmarkt hervorgebracht, auf dem Entwickler Malware-as-a-Service für mobile Geräte zur Unterstützung krimineller Kampagnen anbieten.
Die neueste Banking-Malware verwendet eine Vielzahl von perfiden und ausgeklügelten Techniken, um an die Zugangsdaten ahnungsloser Nutzer zu kommen.
Eine besonders üble Bedrohung für Mobilgeräte stellt der Remote Access Trojaner (RAT) dar. Ein mit einem RAT infiziertes Mobilgerät kann Angreifern umfassenden Zugriff auf die Daten eines Opfers verschaffen sowie ihnen die Kontrolle über Mikrophone, Kameras und Navigationsgeräte ermöglichen.
Beliebte Methoden, um Nutzer von der Installation schädlicher Apps zu überzeugen, sind unter anderem der Versand von Spam-Mails mit Links zu gefälschten Websites oder sie zum Download von Fake-Apps zu bringen.
Unabhängig davon, wie die personenbezogenen Daten erfasst werden, ist das Ziel doch immer dasselbe: der Versuch, die gestohlenen Identitäten zum Umgehen des Banking-Sicherheitsmechanismus zu verwenden.
Sichere Praktik
Da Cyberkriminelle sich auf Mobile Banking verlegen, müssen Nutzer einen vorrangig auf Sicherheit ausgerichteten Ansatz einführen, um die Kompromittierung von Geräten zu verhindern.
Einen guten Anfang bilden dabei vernünftige Alltagspraktiken, wie zum Beispiel diese: Laden Sie Apps nur von offiziellen App-Stores und anderen vertrauenswürdigen Quellen herunter. Lernen Sie, wie man Phishing-Spam erkennt. Klicken Sie niemals auf eingebettete Links.
Genauso wichtig ist es, für die regelmäßige Einspielung von Software-Patches und Betriebssystem-Updates zu sorgen. Das Hinzufügen starker Passwörter und biometrischer Authentifizierungsverfahren wie etwa Fingerabdruck- oder Gesichtserkennung ist ebenfalls hilfreich.
Die Nutzung von Mobilgeräten am Arbeitsplatz eröffnet eine zusätzliche Dimension.
Nach Datenschutzvorschriften wie der DSGVO sind Unternehmen zur sicheren Aufbewahrung sensibler Kundendaten verpflichtet. Das bedeutet die Einführung von Maßnahmen zur Absicherung der unternehmenseigenen Mobilgeräte.
Eine Methode stellt das Mobile-Device-Management (MDM) dar. Durch Einschränkung der für den Download verfügbaren Applikationen schützt MDM gegen mobile Schadsoftware. Außerdem sorgt es für die automatische Installation von Sicherheitspatches.
Weitere Lösungen sind unter anderem Endpoint Detection and Response (EDR) für Mobilgeräte sowie ein VPN mit zentralem Management.
Ein professionelles, für Unternehmen geeignetes VPN ermöglicht dem IT-Administratorenteam eines Unternehmens die Verwaltung und Authentifizierung vieler hunderter standortferner Mobilgeräte.
Die gesamte digitale Kommunikation zwischen Remote-Mitarbeitern und Unternehmensnetzwerken bzw. Cloud-Anwendungen ist beim Austausch über das öffentliche Internet verschlüsselt.
IT-Supporttechniker können Remote Access VPN-Verbindungen so konfigurieren, dass sie „always on“ sind oder sie automatisch aktiviert werden, wann immer eine unsichere Umgebung – beispielsweise ein Coffee Shop oder ein Flughafen – erkannt wird.
Fazit: Mobile-Banking-Apps gewinnen zunehmend an Popularität, denn die Nutzer lernen die Annehmlichkeiten schätzen, ihre täglichen finanziellen Bedürfnisse von unterwegs aus regeln zu können.
Allerdings sind Mobilgeräte im Allgemeinen weniger gut geschützt als herkömmliche Computer und das Risiko, dass einzelne Verbraucher nicht versiert in Bezug auf das Thema Sicherheit sind, ist größer.
Mittlerweile existieren konkrete Beweise dafür, dass Cyberkriminelle keine Zeit vergeuden, dem Geld zu folgen.
Unternehmen müssen alles ihrerseits Mögliche unternehmen, um sicherzustellen, dass Mitarbeiter mit firmeneigenen Mobilgeräten nicht den Bemühungen von Schwindlern und Betrügern im Zusammenhang mit dem mobilen Banking erliegen.
Mit einem unternehmenstauglichen VPN können Unternehmen End-to-End-Verschlüsselung für die Mobilgeräte der Mitarbeiter bieten und sicherstellen, dass vertrauliche Unternehmensdaten stets sicher und geheim bleiben.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.