Sind klassische Banken überholt? Fintechs, also Bezahldienste wie Paypal oder Finanz-Startups wie N26, haben sich längst durchgesetzt und gehören für Millionen Deutsche zum Alltag. Durch die hohe Verbreitung finden aber auch Hacker diese Bezahldienste immer interessanter: Laut einer aktuellen Kaspersky-Studie nehmen sich Cyberkriminelle 2020 verstärkt Fintechs als Ziele vor.
Schon jetzt müssen Fintech-Anbieter strengste Compliance-Anforderungen erfüllen, da sie im Rahmen ihrer Dienstleistungen schützenswerte personenbezogene Daten sowie Finanzdaten speichern, übertragen und verarbeiten. Entsprechend empfindlich sind die Strafen bei Verstößen gegen diese Anforderungen: Erst im Mai 2019 hat die Berliner Datenschutzbehörde ein Bußgeld von 50.000 Euro gegen eine App-Bank verhängt.
Social Engineering: Schwachstelle Mensch
Müssen sich Fintechs im kommenden Jahr also noch stärker absichern als bisher? Die Experten von Kaspersky jedenfalls raten Anbietern dazu, ihr Augenmerk auf Cloud-Infrastrukturen zu legen und warnen explizit vor Social Engineering. Beim Social Engineering manipulieren Hacker ihre Opfer um an vertrauliche Informationen zu gelangen. Mit diesen können sie sich dann Zugriff zu den Systemen des Unternehmens verschaffen und dort etwa sensible Kundendaten entwenden oder manipulieren.
Besonders problematisch ist dies in Verbindung mit privilegierten Nutzerkonten, wie sie in vielen Rechenzentren und Unternehmen für Admin-Aufgaben vorgesehen sind. Denn diese Konten verfügen häufig über uneingeschränkte Zugriffsrechte. Selbst, wenn die Daten verschlüsselt übertragen und gespeichert werden, müssen sie zur Verarbeitung unverschlüsselt auf den Servern vorliegen. In diesem Zustand sind sie den Cyberkriminellen nahezu schutzlos ausgeliefert.
Eigene Server sicherer als die Cloud?
Dabei spielt es keine Rolle, ob die Fintechs dazu auf externe Cloud-Infrastrukturen zurückgreifen oder Kundendaten im eigenen Rechenzentrum verarbeiten. Die meisten Server-Architekturen sehen privilegierte Admin-Zugriffe vor, die von Angreifern missbraucht werden können. Und vor den Methoden der Cyberkriminellen sind weder die eigenen Mitarbeiter noch die Mitarbeiter der Cloud-Dienstleister gefeit.
Solange die Schwachstelle Mensch existiert, werden Hacker versuchen, sie auszunutzen.