Hacker Privacyblog

Fintechs im Fadenkreuz: Mit Technik gegen Datenklau?

Klassische Banken waren gestern: Die Zukunft gehört den Fintechs! Bezahldienste wie Paypal oder Klarna, aber auch Finanz-Startups wie N26 sind längst nichts Ungewöhnliches mehr und gehören für Millionen Deutsche bereits zum Alltag. Durch ihre hohe Verbreitung werden diese Dienste allerdings für Hacker immer interessanter: Laut einer aktuellen Kaspersky-Studie nehmen sich Cyberkriminelle 2020 verstärkt Fintechs als Ziele vor.

Schon jetzt müssen Fintech-Anbieter strengste Compliance-Anforderungen erfüllen, da sie im Rahmen ihrer Dienstleistungen schützenswerte Finanzdaten und personenbezogene Daten speichern, übertragen und verarbeiten. Entsprechend empfindlich sind die Strafen bei Verstößen gegen diese Anforderungen: Erst im Mai 2019 hat die Berliner Datenschutzbehörde ein Bußgeld von 50.000 Euro gegen eine App-Bank verhängt.

Social Engineering: „Faktor Mensch“ als Schwachstelle

Müssen sich Fintech-Anbieter im kommenden Jahr also noch stärker absichern als bisher? Die Experten von Kaspersky jedenfalls raten Anbietern dazu, sich vor allem auf Cloud-Infrastrukturen zu konzentrieren. Außerdem warnen sie explizit vor Social Engineering.

Was das bedeutet? Uniscon-CTO Dr. Hubert Jäger: „Beim Social Engineering manipulieren Cyberkriminelle ihre Opfer und versuchen, so an vertrauliche Informationen zu gelangen“. So erbeuten die Angreifer beispielsweise Zugangsdaten von Fintech-Mitarbeitern. Damit könnten sich Hacker dann Zugriff zu den Systemen des Unternehmens verschaffen und dort beispielsweise vertrauliche Kundendaten manipulieren oder entwenden.

Besonders kritisch ist das in Verbindung mit privilegierten Nutzerkonten, wie sie in vielen Rechenzentren für administrative Aufgaben vorgesehen sind. Denn oft verfügen diese Konten über uneingeschränkte Zugriffsrechte. „Selbst, wenn die Daten verschlüsselt übertragen und gespeichert werden, müssen sie zur Verarbeitung unverschlüsselt auf den Unternehmensservern vorliegen“, sagt Jäger. In diesem Zustand sind sie den Cyberkriminellen beinahe schutzlos ausgeliefert.

Also lieber nicht in die Cloud?

Es spielt keine große Rolle, ob die Fintech-Anbieter auf externe Cloud-Infrastrukturen zurückgreifen oder Kundendaten im eigenen Rechenzentrum verarbeiten: Die meisten Server-Architekturen sehen privilegierte Administroator-Zugriffe vor, die von Angreifern potenziell missbraucht werden können. Und vor den perfiden Methoden der Cyberkriminellen sind weder die Mitarbeiter der Cloud-Dienstleister noch die eigenen Mitarbeiter gefeit. Jäger betont: „Solange die Schwachstelle Mensch existiert, werden Hacker versuchen, sie auszunutzen.“

Datensicherheit durch technische Versiegelung?

Wie also können Fintechs sich und die Daten ihrer Kunden vor Manipulationen und unerwünschten Zugriffen schützen? „Die Art der Infrastruktur macht den Unterschied“, sagt Jäger. Betreibersichere Infrastrukturen wie die Sealed Cloud setzen etwa auf einen Satz aus rein technischen Maßnahmen, um Daten zuverlässig gegen unerwünschte Zugriffe zu schützen. Privilegierte Zugänge sind nicht vorgesehen und lassen sich daher auch nicht ausnutzen.

Eine IT-Infrastruktur ohne den „Risikofaktor Mensch“ also? „Genau das“, sagt Jäger. „Bei der Entwicklung dieser Basistechnologie haben wir strengste Datenschutzgrundsätze von Anfang an berücksichtigt.“ Durch den Verzicht auf organisatorische Maßnahmen und privilegierte Zugriffsrechte erreichen versiegelte Infrastrukturen ein Sicherheitsniveau, das den meisten Business-Cloud-Angeboten deutlich überlegen ist.

Dr. Hubert Jäger: „Dank dieses „Privacy by Design„-Ansatzes erleichtern versiegelte Infrastrukturen Compliance und verhindern zuverlässig jeden unbefugten Datenzugriff.“ Die Fintechs können sich so auf ihr Basisgeschäft konzentrieren und neue Dienste und Services entwickeln – ohne sich Gedanken um Hacker oder Social Engineering machen zu müssen!

Was gilt es bei der Wahl eines Cloud-Dienstes zu beachten? Jetzt Gratis-Checkliste anfordern!

Unsere Checkliste unterstützt Sie bei der Wahl der passenden Public Cloud für Ihr Unternehmen. Laden Sie das PDF hier kostenlos herunter.