•  

Sicherheitsrisiken von neuer Richtlinie zum Zahlungsverkehr

PSD2 kann neue Angriffsszenarien auf Unternehmen und Endverbraucher ermöglichen + Trend Micro hat einen neuen Forschungsbericht zur Cybersicherheit im Finanzwesen veröffentlicht. Daraus geht hervor, dass die neue PSD2-Zahlungsdiensterichtlinie die Angriffsoberfläche von Finanzdienstleistern und ihren Kunden drastisch vergrößern könnte.

Die Forscher gehen in ihrem Bericht auf die Auswirkungen der zweiten EU- Zahlungs-diensterichtlinie (Payment Services Directive, PSD2) ein. Diese soll den Nutzern größere Kontrolle über ihre Finanzdaten geben und es ermöglichen, diese mit innovativen Finanztechnologie-Unternehmen (FinTechs) zu teilen. Ähnliche Initiativen finden weltweit statt und werden auch mit dem Begriff „Open Banking“ bezeichnet.

„Der Finanzsektor war für Cyberkriminelle schon immer ein begehrtes Ziel. PSD2 eröffnet ihnen jetzt noch mehr Möglichkeiten, um vertrauliche persönliche Informationen und Finanzdaten zu stehlen“, sagt Udo Schneider, Security Evangelist bei Trend Micro. „Wir befürchten, dass die Branche noch nicht vollständig darauf vorbereitet ist, diese deutlich vergrößerte Angriffsoberfläche abzusichern. Deshalb wollen wir die Risiken verstehen, um FinTechs und traditionellen Finanzdienstleistern dabei zu helfen, ihre Assets zu schützen.“

Der Bericht stellt mehrere mögliche Angriffsszenarien dar, die unter der neuen Richtlinie möglich sind:

Angriffe auf Schnittstellen (APIs): Öffentliche Schnittstellen stellen das Herzstück von Open Banking dar. Durch sie können zugelassene Drittanbieter auf die Bankdaten von Nutzern zugreifen und damit innovative neue Finanzdienstleistungen anbieten. Implementierungsfehler in diesen Schnittstellen können es Hackern ermöglichen, Daten von Back-End-Servern zu stehlen.

Angriffe auf FinTech-Unternehmen: Nutzer müssen neuen Anbietern vertrauen, die in der Regel weniger Ressourcen und Erfahrungen mit dem Schutz von Daten haben als ihre Banken. Eine Kurzumfrage unter FinTechs durch Trend Micro ergab, dass diese im Durchschnitt 20 Mitarbeiter und keine dedizierten Sicherheitsfachleute beschäftigen. Dies macht sie zu einem idealen Ziel für Angreifer und weckt Sicherheitsbedenken hinsichtlich mobiler Apps, Schnittstellen, Technologien zum Datenaustausch und möglicherweise nicht korrekt implementierter Sicherheitsmodule.

Angriffe auf Apps oder mobile Plattformen: Die meisten Open-Banking-Dienste werden als mobile Apps bereitgestellt, was sie als Angriffsziele prädestiniert. Die Entdeckung von Benutzername, Passwort oder Verschlüsselungs-Key innerhalb der App würde es einem Kriminellen erlauben, auf Bankdaten zuzugreifen und sich als der Nutzer auszugeben.

Angriffe auf die Nutzer: Da immer mehr Verbraucher über Open-Banking-Apps auf ihre Finanzdaten und -dienstleistungen zugreifen werden, könnten Phishing-Angriffe massive Schäden verursachen.

Um einen wirksamen Schutz in dieser sich verändernden Technologielandschaft zu ermöglichen, gibt Trend Micro Empfehlungen, wie Finanzdienstleister ihre Cyber-Resilienz erhöhen können. Dazu gehört, dass sensible Informationen niemals in URL-Pfaden enthalten sein sollten. Zudem sollten sichere Protokolle priorisiert und riskante Handlungsweisen abgeschafft werden.

Gleichzeitig müssen Entwickler und Eigentümer von Open-Banking-Apps einen Security-by-Design-Ansatz wählen und regelmäßige Software-Audits durchführen.

Weitere Informationen

Weitere Informationen zu den Cyberrisiken durch PSD2 und Möglichkeiten, sich zu schützen, finden Sie im vollständigen Report Ready or Not for PSD2: The Risks of Open Banking. Dieser steht unter folgendem Link zum Download zur Verfügung: https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/the-risks-of-open-banking-are-banks-and-their-customers-ready-for-psd2



Autor: mir

Diesen Artikel empfehlen