Wie Finanzdienstleister durch Anwendungssicherheit das Risiko von Datendiebstählen verringern

Während Unternehmen ihre digitale Transformation beschleunigen und Verbraucher einen digitalen, ständig verfügbaren Zugang fordern, häufen sich die Statistiken weiter: 

• 37 % aller befragten Finanzdienstleistungs- und Versicherungsmanager gaben an, dass digitale und mobile Technologien derzeit die Hälfte oder mehr ihres Umsatzes ausmachen – Tendenz steigend (Adobe 2021-Bericht zu Finanzdienstleistungs- und Versicherungstrends) 

• Die durchschnittlichen Gesamtkosten einer Datenschutzverletzung betragen 4.35 Millionen US-Dollar (IBM Kosten eines Datenschutzverletzungsberichts 2022) 

• 39 % der Datenschutzverletzungen waren das Ergebnis von Anwendungsschwachstellen (Verizon Data Breach Investigations Report 2021) 

Die Finanzdienstleistungsbranche, zu der Banken, Versicherungen und Investmentfirmen gehören, ist ein offensichtliches Ziel von Cyberkriminellen. Das macht Sinn, da liegt das Geld. Da Finanzdienstleistungen ihren digitalen Fußabdruck jedoch ausbauen, nimmt ihre Gefährdung durch Bedrohungsakteure immens zu. Diese Expansion wurde durch die digitale Transformation, die Nachfrage der Kunden nach Komfort und die COVID-Pandemie vorangetrieben. Immer mehr Kunden nutzen täglich Mobil- und Web-Apps, um auf ihre Konten zuzugreifen. Und dadurch hat sich die Angriffsfläche deutlich vergrößert. 

Mittlerweile hat Agile die Entwicklungszeiten verkürzt und DevOps hat die Bereitstellungszeiten von Wochen auf Tage oder in einigen Fällen sogar auf Stunden verkürzt. Dies ermöglicht es Finanzinstituten, die Bereitstellung neuer/aktualisierter Anwendungen zu beschleunigen. Durch die Verwendung von Open-Source-Code wird die Sicherheit der Apps komplexer. 

Das Ergebnis? Aus Stand 2021 von Contrast Security Application Security im Finanzdienstleistungsbericht: 

• 67 % der befragten Unternehmen haben 20 oder mehr schwerwiegende Schwachstellen pro Anwendung in der Entwicklung 

• 48 % haben 10 oder mehr schwerwiegende Schwachstellen pro Anwendung in der Produktion 

• 98 % haben im vergangenen Jahr mindestens drei erfolgreiche Anwendungs-Exploits erlebt 

Entwickler stehen unter Druck, kontinuierlich neue Features und Funktionen bereitzustellen. Ihr Fokus liegt auf diesen neuen Artikeln, nicht auf der Sicherheit. Daher rückt die Sicherheit später im Entwicklungszyklus nach rechts. 

Wir haben unseren Vizepräsidenten für Produkt gefragt: Mike Woodard, um dieses Szenario zu kommentieren und hier ist, was er sagte:

„Ihr Team entwickelt also eine neue öffentlich zugängliche App. Sie haben die Scan-Tools ausgeführt, die jemand in Ihrer Organisation ausgewählt hat, um sicherzustellen, dass Sie kein Müllcontainerfeuer verschicken, das darauf wartet, angezündet zu werden (schmerzhaft, aber notwendig). Die Backend-Produktionsumgebung ist betriebsbereit und Netzwerksicherheitstools sind vorhanden (mehr Overhead und Verzögerung). Sie können Benutzer bereitstellen und Ihre Tests zeigen, dass alles wie erwartet funktioniert. Das Marketing hat seinen Teil dazu beigetragen und die Welt wartet darauf, dass Sie die Schleusen öffnen. Sie stehen kurz vor der Auszahlung, auf die Sie gewartet haben – zumindest denken Sie das. 

Aufgrund der potenziellen Nutzerzahl und des vorläufigen Marktinteresses haben Sie die Aufmerksamkeit einiger Schattenleute auf sich gezogen. Für einen Bruchteil dessen, was Sie ausgegeben haben, hoffen sie auch, von Ihren Bemühungen zu profitieren. Sie haben in letzter Zeit hart gearbeitet, Ihre neueste Beta-Version durchforstet und nach Schwachstellen gesucht. Und da Ihre App funktioniert, haben sie ein Beispiel dafür, wie die Interaktion mit Ihren Backend-Servern funktionieren soll (das wissen sie übrigens zu schätzen). Nachdem sie den Code zerlegt, den Kontrollfluss analysiert und beobachtet haben, was passiert, wenn ungewöhnliche Eingaben bereitgestellt werden, freuen sie sich genauso auf den Starttermin wie Sie.

Das Problem, das zu Ihren zukünftigen Problemen führen wird, ist, dass Sie keine Ahnung haben, was sie tun. Sie merken nicht, dass sie mittlerweile mit der Funktionsweise Ihrer App bestens vertraut sind. Und sie können geduldig sein, während sie ihren Angriff verfeinern, denn die kleinen Fehler, die sie verursachen, gehen im Lärm aller anderen Benutzer unter, die Ihre App auf Herz und Nieren prüfen. Also optimieren sie methodisch, optimieren, optimieren, bis ihre Leistung wie eine Statue aus dem Marmor auftaucht. Damit beginnt der Verlust von Zahlungsinformationen, PII und IP (es tut mir leid, Ihnen den Tag zu verderben – es ist nicht persönlich). 

Wenn Sie das Albtraumszenario noch nicht erlebt haben, spulen Sie das Szenario noch einmal zurück und fügen Sie einige Schutzmechanismen hinzu. Fügen Sie Verschleierung hinzu, um die Analyse zu erschweren. Fügen Sie Manipulationsschutzmechanismen hinzu, um nicht standardmäßige Umgebungen und Änderungen automatisch zu erkennen und darauf zu reagieren. Fügen Sie Berichts- und Überwachungsfunktionen hinzu, damit Sie sehen können, was sie tun, während sie es tun – und damit Sie darauf reagieren können, indem Sie Schwachstellen beheben.

Wir alle wünschen uns, dass solche Maßnahmen nicht notwendig wären, aber die Büchse der Pandora ist offen, und das können wir nicht rückgängig machen. Früher brauchten wir auch keine Autoalarmanlage oder Zwei-Faktor-Authentifizierung, aber die Zeiten haben sich geändert und wir alle müssen mithalten oder die Konsequenzen tragen. 

Ich sage mir und anderen gerne: „Die Realität ist dein Freund!“ Die Welt, von der Sie hoffen, dass sie Ihnen dabei hilft, gute Entscheidungen zu treffen. Werfen Sie also einen realistischen Blick auf Ihre Welt und entscheiden Sie, ob Sie Ihr aktuelles Risikoniveau akzeptieren können oder nicht. Wenn nicht, nehmen Sie Ihre eigenen Anpassungen vor, bis Sie eine Situation mit einem wahrscheinlicheren Ergebnis erreichen.“

Kein Finanzdienstleister möchte aus dem falschen Grund in die Schlagzeilen geraten, insbesondere wenn dies vermeidbar wäre. Erfahren Sie, wie Sie Ihre Apps schützen können, ohne Ihren Veröffentlichungsplan zu beeinträchtigen. So geht's: 

• Erfahren Sie in diesem 30-minütigen On-Demand-Webinar, wie Kriminelle Ihre App dekonstruieren können, um den Quellcode einzusehen und Schwachstellen zu identifizieren. Wie eine Blaupause für sichere Software erstellen 

• Oder wenden Sie sich an Vereinbaren Sie einen Anruf mit einem unserer Sicherheitsexperten 

Besuche unsere Seite mit Lösungsseite um mehr zu erfahren.