Im digitalen Zeitalter treiben gerade mobile Apps und Web-Anwendungen das Geschäft einer Bank strategisch voran. Je weiter sich diese entwickeln und je stärker diese wachsen, desto mehr Programmierschnittstellen (API) werden parallel offengelegt. Dadurch vergrößert sich aber auch die Angriffsfläche und Cyber-Kriminelle machen sich dieses Phänomen gerne zunutze.
Sie greifen die Apps und APIs mit Methoden wie SQL-Injection, Cross-Site-Scripting und dem Einsatz automatischer Skripte, so genannter Bots an. Diese Angriffe können nicht nur einen kostspieligen Schaden anrichten, sondern zeigen auch, dass die Fähigkeit, die Anwendungen selbst zu schützen, noch nie so wichtig gewesen ist.
Die Erkennung und Verhinderung dieser Angriffe stellen eine Herausforderung dar, welche jede Bank nur dann bestehen kann, wenn sie für Apps spezifizierte Sicherheitsmaßnahmen implementiert, wie die Integration von Sicherheitslösungen und Sicherheitsstandards „ab Werk“. Sollten die Verantwortlichen dies unterlassen, sind die Folgen verheerend und können der Sicherheit der Kunden und damit dem Ruf der Bank großen Schaden zufügen.
Worauf kommt es also bei der IT-Sicherheit von Online-Banking-Apps an?
Um die für E-Banking notwendigen Web-Anwendungen abzusichern, müssen zunächst die APIs geschützt und automatisiert werden. Dafür braucht es einheitliche native Cloud-Sicherheit, die Assets und Workloads abschirmt und in der Lage ist, sie gegen Zero-Day-Angriffe und bösartigen Bot-Verkehr zu verteidigen.
Abgerundet werden diese Maßnahmen von einer Lösung, die Fehlinformationen vermeidet und von einer kontextbezogenen Künstlichen Intelligenz (KI) ergänzt wird. Neben der Skalierbarkeit sei jeder Bank eine automatisierte Lösung für öffentliche Clouds - ob AWS, Azure oder Kubernetes - ans Herz gelegt.
Da zahlreiche Unternehmen auf Multi-Cloud-Lösungen setzen, braucht es zudem eine entsprechende Software, die jedes Szenario und jede Kombination zuverlässig handhaben kann. Unverzichtbar sind hier ergänzende On-Prem-Multi-Apps, die Schutz für Milliarden von jährlichen Anwendungsanfragen bieten.
Wer alle Umgebungen und Anwendungen auf diese Weise automatisiert, kann zudem dafür sorgen, dass manuelle Abstimmungen gänzlich wegfallen und damit Betriebskosten sinken.
Statt hier nun aber auf einzelne Lösungen aus unterschiedlichen Händen zurückzugreifen, wodurch ein Wildwuchs entsteht, der kaum zu verwalten ist, sollte eine konsolidierte IT-Sicherheitsarchitektur gewählt werden – das ist einfacher, günstiger und sicherer. Alle Komponenten sind hier abgestimmt und arbeiten zusammen.
Da e-Banking zunehmend mobil abgewickelt wird, gilt es, auch die Applikationen für das Smartphone entsprechend zu schützen.
Zu den wichtigsten Aspekten gehören:
- Laufzeitschutz gegen Malware, Jailbreak/Root, MitM-Angriffe und Manipulationsversuche.
- Erkennung von bekannten und unbekannten Bedrohungen.
- Verhinderung von Kompromittierungen.
- Schnelle Versionsfreigabe und die Möglichkeit für Entwickler, zügig und sicher zu veröffentlichen.
- Geringstmöglicher Entwicklungs- und Testaufwand.
- Automatisierte Einhaltung von Vorschriften.
- Konformität mit den Finanzvorschriften ab dem ersten Tag (FFIEC, PSD2, PCI DSS etc.).
Somit dürfte jedem Finanzinstitut bewusst geworden sein: Banken müssen mobile und Web-Apps sowie APIs dringend umfangreich gegen Angriffe schützen und von Anfang an sichere mobile Apps entwickeln oder entwickeln lassen - oder nur auf entsprechende Anwendungen von Drittanbietern zurückgreifen.
Zum Schutz der Kunden und Vermögenswerte braucht es zudem eine Sicherheitslösung, welche die wichtigsten Kriterien moderner Sicherheitsstandards erfüllt. Hinzu kommt die Automatisierung der Abläufe und Wartung, um Fehler zu vermeiden und Kosten zu sparen. Wird dieses Konzept der konsolidierten IT-Sicherheit umgesetzt, dann sind die Kunden geschützt und ihr Vertrauen ist der Bank sicher.