Nach einem sensationellen Angriff mit 81 Millionen US-Dollar Beute hat die SWIFT neue Regeln für Finanzdienstleister erarbeitet. Ein Artikel der aktuellen iX geht auf die Hintergründe des CSP ein.

Ein spektakulärer Raubzug konnte nur noch durch manuelle Kontrollen verhindert werden, doch trotzdem erbeuteten Cyberkriminelle im Februar 2016 noch immer rund 81 Millionen US-Dollar. Glück im Unglück, denn wie André Clerc in der aktuellen iX 12/2017 schreibt, hatten es die schweren Jungs auf über 950 Millionen US-Dollar vom Konto der Bangladesh Bank bei der Federal Reserve Bank of New York abgesehen.

Was eigentlich nach einem Remake des dritten Stirb Langsam für das digitale Zeitalter klingt, sollte im Laufe des Jahres immer wieder vorkommen. Kriminelle nutzten Schwächen der bankseitigen Komponenten aus, um gefälschte Zahlungsaufträge in das System der SWIFT einzuschleusen. Nach dem Einstieg in die IT eines Finanzinstituts folgte das Ergattern von Nutzerdaten eines Mitarbeiters; die gefälschten Aufträge erschienen dank eines manipulierten PDF-Programms wie echte.

Neues Customer Security Programme

Bei solchen Summen und einer eigentlich auf ihre Sicherheit peinlich bedachten Branche zauderte die SWIFT nicht lange: Die eigenen Systeme blieben zwar unangetastet – aber da die Angreifer einfach die schwächsten Glieder der Kette ausnutzen können, rief die SWIFT das für alle Inhaber eines BIC 8 geltende Customer Security Programme (CSP) ins Leben.

Konkret orientieren sich die Sicherheitskontrollen an internationalen Standards, doch viele Unternehmen dürften zur Umsetzung dennoch Zeit brauchen. Hierbei lohnt sich in jedem Fall, nicht nur wie gefordert die an das System der SWIFT angeschlossene Infrastruktur zu sichern, sondern die gesamte hauseigene IT auf einen Stand zu bringen.

Aber nicht nur Maßnahmen der internen IT stehen an, auch will die SWIFT sicherstellen, dass alle Unternehmen stärker für den Fall eines Angriffs planen, letztere erkennen können und vor allem Informationen zu Attacken austauschen. Interessierte und Betroffene finden im Artikel mehr Details zum CSP, dem Customer Security Controls Framework und dem anvisierten Zeitrahmen ihrer Umsetzung.

Siehe dazu auch: