Phishing: Wie können Banken sich schützen?

Phishing, Bank

4,13 Millionen Euro. So viel kostet eine Datenschutzpanne in Deutschland – im Durchschnitt. Laut einer Untersuchung des Ponemon Institute und IBM Security liegt Deutschland damit auf Platz drei hinter den USA und Kanada. Da stellt sich die Frage, wie gut sind unsere heimischen Unternehmen und insbesondere Banken geschützt?

Oftmals entstehen Datenschutzpannen durch Phisher: 2022 hat die Anti-Phishing Working Group weltweit einen neuen Rekordwert von rund 4,7 Millionen Phishing-Attacken aufgezeichnet. Allein zwischen 2019 und 2022 stieg die Anzahl der registrierten Phishing-Attacken jährlich im Schnitt um den Faktor 1,5. Geldinstitute sind ein besonders lukratives Ziel für Cyber-Attacken jeglicher Art, insbesondere dann, wenn die Angreifer Malware oder Ransomware einsetzen. Das geht häufig mit einer Beeinträchtigung der Reputation einher, da Kund:innen der Bank nach einem Vorfall nicht mehr vertrauen. Zusätzlich kann ein immenser finanzieller Schaden entstehen, denn Phisher verlangen oftmals Lösegeld bei Ransomware-Attacken. 

Anzeige

Gemäß der Studie “Cyber Security zu Cyber Resilience” von KPMG und Lünendonk nehmen 84 Prozent der befragten Finanzunternehmen eine Zunahme der Bedrohung durch solche Online-Angriffe wahr. Nahezu 66 Prozent aller Banken betrachten Phishing-Angriffe als bedeutenden Faktor für eine gesteigerte Bedrohung im Bereich der Cybersicherheit. Wie können sich Banken optimal vor derartigen Phishing-Angriffen in Bezug auf den Angriffsvektor Domain schützen?

Relevante Angriffs-Muster kennen

Es existieren charakteristische Vorgehensweisen von Phishing-Angriffen, die über E-Mails oder SMS versendet werden. Kund:innen werden in Nachrichten dazu aufgefordert, ihre Bankdaten einzugeben oder sich über einen bereitgestellten Link in ihren Banking-Account einzuloggen.  Diese Links führen jedoch nicht zur offiziellen Bankwebseite, sondern zu sorgfältig getarnten Domains. Mitarbeiter:innen sind ebenfalls Ziel solcher Phishing-Angriffe, allerdings nicht mit dem Ziel, die Zugangsdaten zu erhalten, sondern in die Systeme der Bank zu gelangen. Einige dieser Phishing-Angriffe sind leicht zu erkennen, da sie etwa in fehlerhaftem Deutsch geschrieben sind, oftmals wurden sie mit einem Übersetzungsdienst geschrieben.

Ein weiterer Hinweis auf solche Mitteilungen sind Zeichensatzfehler, wie etwa kyrillische Buchstaben oder fehlende Umlaute. Manche Phishing-Nachrichten sind jedoch so gut getarnt, dass die E-Mail-Adresse des Absenders vertrauenswürdig erscheint, das Deutsch fehlerfrei ist und die verwendete Domain der Bank-Domain ähnelt.

Anzeige

Die Aufklärung der Kund:innen und Mitarbeiter:innen durch die Bank, inklusive Aufrufe zur Meldung verdächtiger Phishing-Versuche, stellen sinnvolle erste Schutzmaßnahmen dar. Sie allein reichen  jedoch nicht aus.

Die Domain-Strategie als vorbeugende Maßnahme

Oftmals sind Vertipper-Domains oder Domainendungen mit finanziellem Kontext oder die dem Hauptdomainnamen ähneln, das primäre Einfallstor für Phisher. Eine sorgfältig durchdachte, präventive Domain-Strategie ist deshalb für Bankinstitute von elementarer Bedeutung. Sie agiert als Schutzschild für die Bank selbst, die Kundschaft und die Reputation der Marke. Banken sollten von Anfang an eine klare Leitlinie für Hauptdomains und sinnvolle Zusatzdomains definieren, entsprechend ihrer Zielgruppen, Marktgebiete und ihrer eigenen Webseitenstruktur. Hierbei sollten auch Vertipper-Domains sowie glaubwürdige Domainendungen wie “.bank” oder “.insurance” in Betracht gezogen und registriert werden.

Bei international operierenden Banken gewinnt die Nutzung passender Länderendungen (ccTLDs) zusätzlich an Bedeutung, ebenso wie gegebenenfalls die Registrierung generischer Domainendungen, die die Marke unterstützen. Es ist allerdings nicht möglich, sämtliche denkbaren Domains zu registrieren und somit den Angriffsvektor “Domain” vollständig zu eliminieren. Zudem setzen Phisher häufig auch auf Subdomains, was wiederum durch eine präventive Domain-Strategie nicht unterbunden werden kann.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Gefahren durch Domain-Monitoring frühzeitig erkennen

Mit Blick auf ein zentrales Security-Monitoring besteht in der Finanzbranche Nachholbedarf. Laut KPMG und Lünendonk hat nur eines von fünf Finanzinstituten ein zentrales Security-Monitoring. Fehlt es, wird die Überwachung der gesamten IT-Landschaft deutlich erschwert. Dies betrifft auch die Domain-Sicherheit. Finanzinstitute sollten ein Domain-Monitoring implementieren, welches festgelegte Schlüsselbegriffe erfasst. Sobald der Begriff durch Dritte als Domain registriert wird, bekommt die Bank eine Benachrichtigung und kann sofort handeln.

Das Monitoring der Schlüsselbegriffe ist eine weitere Maßnahme neben der präventiven Registrierung der Haupt-, Zusatz- und Vertipperdomains. Solche Begriffe können den Banknamen, Produktbezeichnungen, Abkürzungen, Marken oder spezifische Angebote umfassen. Mittels eines Domain-Monitorings für die festgelegten Ausdrücke kann die Bank eine effektive Schutzvorrichtung einführen. Gleichzeitig ist es empfehlenswert, dass Banken auch ein System zur Meldung von Kund:innen einrichten, die gegenwärtig mit den beschriebenen Phishing-Angriffen konfrontiert sind. Eine wirkungsvolle Sicherheitsstrategie fährt mehrgleisig, das heißt Banken und Finanzinstitute sollten sich präventiv absichern, Reaktionsszenarien entwickeln und ein kontinuierliches Monitoring betreiben. Hierdurch können viele Phishing-Angriffe frühzeitig erkannt und wirkungsvoll abgewehrt werden.

Domain-Angriffe durch reaktive Maßnahmen abwehren

Sobald eine problematische Domain aufgespürt wird, sollte zeitnah reagiert werden. Der erste Schritt umfasst die Kontaktaufnahme mit dem Registrar, der die erfasste Domain hostet, um die Domain zu sperren. Parallel dazu, insbesondere wenn eine Verletzung von Markenrechten vorliegt, sollte ein sogenannter alternativer Streitbeilegungsprozess in Gang gesetzt werden. Diese Verfahren haben das Ziel, entweder die Domain auf den rechtmäßigen Markeninhaber zu übertragen (dies geschieht im Rahmen des UDRP-Verfahrens), oder aber die unzulässige Nutzung zu unterbinden (mittels des in der Regel rascheren URS-Verfahrens, welches für eindeutige Markenrechtsverletzungen geeignet ist).

Retrospektiven für zukünftige Domain-Attacken

Phisher werden auch zukünftig immer raffiniertere Systeme entwickeln, um an die wertvollen Daten von Bankkund:innen zu gelangen. Infolgedessen sollten Banken eine retrospektive Analyse der aktuellen Phishing-Attacke durchführen und mögliche Muster ableiten, wie beispielsweise verwendete Domains, Nameserver und Registrare. Diese Erkenntnisse können daraufhin in die eigene Domain-Strategie einfließen und helfen, potenzielle Bedrohungen schneller zu erkennen. Die aktive Einbeziehung der Kund:innen in diese Präventionsmaßnahmen ist unerlässlich, um die Meldeschleifen für zukünftige Vorfälle möglichst kurz zu halten.

Es muss auch betont werden, dass allein das Domain-Monitoring nicht ausreicht, um Phishing-Attacken vollständig zu unterbinden. Dennoch sollte es ein integraler Bestandteil eines umfassenden Sicherheitskonzepts sein, das verschiedene Maßnahmen wie Kundeninformation, Schulungen, Authentifizierungsverfahren und Sicherheitslösungen umfasst.

Maximilian

Burianek

CEO

united-domains AG

Maximilian Burianek ist seit 2020 CEO der united-domains AG und hat 15 Jahre Erfahrung als Strategieberater und Manager in Technologieunternehmen, bei The Boston Consulting Group und bei Munich Re. Vor seinem Eintritt bei united-domains leitete er als Senior Category Leader die Bereiche Movies sowie Books & Kindle bei Amazon Deutschland.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.