Die digitale Transformation hat den Finanzsektor auf den Kopf gestellt und Banken mit großen Herausforderungen konfrontiert. Wenn Anfang 2018 die neuen PSD2 (Payments Services Directive)-Richtlinien in Kraft treten, wird es zu weiteren tiefgreifenden Veränderung im Bankwesen kommen, denn dann können Bankkunden ihre Finanzgeschäfte auch über Drittanbieter wie Finanz-Startups oder Telekommunikationsanbieter abwickeln. Die Sicherheit unserer Daten und unseres Geldes ist damit mehr denn je in Gefahr.
Wenn Drittanbieter ab dem nächstem Jahr offizielle Teilnehmer auf dem Zahlungsverkehrsmarkt sind, müssen Banken und Finanzinstitute ihnen den Zugang zu den Konto- und Zahlungsdaten ihrer Privat- oder Geschäftskunden gewähren, die diese Services nutzen möchten. Für Kunden bedeutet PSD2 also eine noch nie da gewesene Flexibilität, für Finanzdienstleister, Fintechs und ihre Softwarenbieter jedoch ein weiteres Sicherheitsrisiko. Damit der Datenaustausch zwischen Banken und anderen Drittparteien reibungslos klappt, bedarf es dem Einsatz von Standardschnittstellen sogenannten Application Programming Interfaces (APIs). Dabei handelt es sich um ein Set von Befehlen oder Routinen zur Interaktion mit einem anderen System – ganz egal ob mit einem anderen Server oder mit einer Applikation. Da Entwickler verschiedene APIs in ihre Software integrieren und auf diese Weise auch komplexe Aufgabenstellungen bewältigen können, sind APIs im Banken- und Finanzumfeld sehr beliebt. Hier garantieren Schnittstellen die reibungslose Kommunikation von verschiedensten Finanz-Apps mit den Servern anderer Banken sowie mit anderen Anwendungen oder Services.
APIs: Praktisch aber gefährlich
Doch so praktisch APIs im Bankenumfeld auch sind, so gefährlich sind sie auch, denn sie enthalten letztlich alle kritischen Schlüssel, die Hacker brauchen, um in die sensiblen Bankensysteme einzudringen. Viele API Management-Lösungen nutzen nur einfache Authentifizierungsverfahren, um die Echtheit einer Kunden-App zu bestätigen und Zugriff auf die Serverressourcen zu gewähren. Das Challenge-Response Verfahren, das hier eingesetzt wird, ist normalerweise eine kryptographische Operation, sprich der mobile Client enthält einen geheimen Schlüssel für ein asymmetrisches Verschlüsselungsverfahren.
Wenn es Cyberangreifern nun gelingt, den Code einer Applikation zu dekompilieren und die sensiblen Schlüssel freizulegen, sind sie in einem zweiten Schritt der Lage, das System zu überlisten, sich als legitimer Kunde auszugeben und sich auf diese Weise mit allen Systemen und Programmen zu verbinden, für die das API autorisiert ist. Ist eine Banking-App betroffen, die Zugriff auf den Bank-Server sowie auf Bezahl- und Transaktions-Aktivitäten hat, käme das dann einem Bankraub gleich, bei dem der Räuber die Schlüssel zur Bank, Tresorräumen und Schließfächern auf der Straße finden würde.
Wie gelingt Erfolgreiche Hackerabwehr?
Um Sicherheitslücken wie diese zu schließen, reichen herkömmliche Schutzmaßnahmen längst nicht mehr aus. Um APIs und Applikationen wirksam vor Hackerangriffen und Manipulationen zu schützen, müssen in Sachen Sicherheitstechnologie größere Geschütze aufgefahren werden, vor allem um die Challenge-Response-basierte Authentifizierung und die sensiblen kryptographischen Schlüssel zu schützen. Hierbei empfiehlt sich der Einsatz von Whitebox-Kryptographie-Maßnahmen. Hier wird der Original-Key durch eine Falltür-Funktion, also . eine einseitige, nicht-reversible Funktion, in ein völlig neues Format umgewandelt. Da dieses neue Schlüsselformat nur mit der entsprechenden White-box-Kryptographie-Software genutzt werden kann, ist der Schlüssel wirksam vor dem Ausspähen durch Hacker geschützt.
Da die Versiertheit der Cyberkriminellen keine Grenzen kennt, sollten Entwickler gerade im Banking-Sektor jedoch auf ein Netzwerk mehrerer Schutzmaßnahmen zurückgreifen. Um Software und Applikationen vor Angriffen und Manipulationen während der Laufzeit zu schützen, sollten so genannte Anti-Tamper-Techniken eingesetzt werden, die eine Runtime Application Self-Protection integriert haben. Im Falle von schädlichen Modifikationen sind sie in der Lage, die Applikationen zu beenden und den App-Betreiber über den Angriff zu informieren.
Der Konkurrenzdruck fördert das Sicherheitsbewusstsein
Die gute Nachricht für die Verbraucher: Bei vielen Finanzdienstleistern hat in Sachen effektiver Cybersicherheit und insbesondere Applikationsschutz bereits ein Umdenken stattgefunden. Sie haben die Notwendigkeit eines neuen Sicherheitsmanagements bereits erkannt und fangen langsam an zu handeln. Vor allem hinsichtlich des wachsenden Marktes für Finanz-Apps und des steigenden Konkurrenzdrucks wird der Sicherheitsaspekt schon bald ein wichtiges Unterscheidungs- und Alleinstellungsmerkmal der Anbieter sein. Das haben viele erkannt. Apps und ihre Anbieter werden beweisen müssen, dass sie gegen alle gängigen Bedrohungen gewappnet sind, wenn sie konkurrenzfähig sein möchten.
