Der Schutz von Banking-Apps ist angesichts der Sicherheitsverletzungen im Windschatten der COVID-19-Krise zum Gebot der Stunde geworden. Aber auch unabhängig von einer Pandemie ist es immer noch eine gute Idee, aktuelle Sicherheitsstrategie jetzt zu überdenken. Laut CSO Online besteht eine 28 %-ige Wahrscheinlichkeit, dass Unternehmen innerhalb der nächsten zwei Jahre Opfer einer Datenschutzverletzung werden. Angesichts der schwerwiegenden Auswirkungen von Datenschutzverletzungen reicht es nicht, Netzwerk- und Gerätsicherheit zu verbessern, wenn man Apps besser schützen will als bisher.
Leider sind gerade Web-Anwendungen und mobile Apps anfällig für Cyberangriffe. Deshalb sind Unternehmen - insbesondere Finanzdienstleister - verpflichtet, zusätzliche Vorsichtsmaßnahmen für mehr App-Sicherheit zu ergreifen. Ohne solche Vorkehrungen richten herkömmliche Sicherheitsvorkehrungen wie Firewalls und Antiviren-Software nicht viel aus. Glücklicherweise haben Firmen es zu einem Gutteil selbst in der Hand, Apps vor Reverse Engineering und Manipulationsversuchen zu schützen. Das hilft, eine kostenträchtige Problembeseitigung von vorneherein zu verhindern.
Warum sind Banking-Apps so anfällig?
Die Architektur von Banking-Apps weist an sich schon grundlegende Schwachstellen auf, die ihrerseits zu Datenschutzverletzungen führen können. Eine App ist eine Software, die mithilfe standardbasierter APIs (Application Programming Interfaces) mit dem Backend-System der Bank verbunden ist. Diese APIs sind in der Regel Open Source-basiert, was für Entwickler recht hilfreich ist. Andererseits entstehen so potenzielle Schwachstellen, die sich über herkömmliche Sicherheitstools wie Firewalls oder Web Application Firewalls (WAFs) nicht beheben oder reduzieren lassen. Beispielsweise bauen sowohl APIs als auch Mobile Banking-Apps Rechner-zu-Rechner-Kommunikation und verschlüsselte Interaktionen im Netzwerk auf. Angreifer können solche Rechner-zu-Rechner-Interaktionen ausnutzen, indem sie selbst Schatten-APIs erstellen. Schatten-APIs tauchen nicht als kompromittierte Endpunkte auf, sondern wirken wie legitime und zugelassene Benutzer – auch für einen Netzwerkfilter. Cyberkriminelle können unentdeckt im Hintergrund agieren.
Geteilte Verantwortung
Aber wer ist verantwortlich, wenn es darum geht, Banking-Apps zu schützen? Meistens wird die Verantwortung geteilt: zwischen einem In-House-Verantwortlichen und einem externen. In den meisten Branchen definiert üblicherweise ein Fachabteilungsleiter (LOB) die Anforderungen der Software definiert. Das Entwicklungsteam ist hauptsächlich für die Erstellung verantwortlich, und das IT-Ops-Team setzt sie ein.
Im Bankbereichen sind Fachabteilungsleiter auch für Mobile Banking-Apps verantwortlich, dazu kommt die IT-Abteilung und externe, die die App entwickeln und die ihre APIs verwalten müssen. Aus Sicherheitssicht ist eine durch drei geteilte Verantwortung eher problematisch, und man kann fast zwangsläufig davon ausgehen, dass tatsächlich etwas schief geht. Kommt es zu einer Datenschutzverletzung kann es zu Meinungsverschiedenheiten kommen, wer das Problem zu lösen hat.
Unsachgemäße Nutzung bei mobilen Plattformen
Die beiden mobilen Betriebssysteme Android und iOS bieten ihren Benutzern Sicherheitsfunktionen in Form von Berechtigungssystemen oder TouchID. Bei unsachgemäßer Bedienung führen sie aber leicht zu einer Bedrohung der Privatsphäre und gefährden personenbezogene Daten.
Unsichere Datenspeicher
Jede verwendete App braucht Speicherplatz für die betreffenden Daten. Wenn Sie sensible Daten speichern wollen, muss die Speicherlösung, einschließlich des internen Speichers, hochsicher sein. Das ist der erste Schritt, um einen Abfluss oder Missbrauch von Daten zu verhindern.
Anfällige Kommunikation
Mobile Apps kommunizieren zwangsläufig mit externen Datenquellen wie NFC, Bluetooth-Geräten, Servern und anderen mehr. Diese Kommunikation ist notwendig, da die App sonst nicht ihr volles Potenzial entfalten kann. Leider kann sie auch dazu führen, dass Daten geleaked werden.
PSD2 und die Folgen
Das Hauptziel von PSD2 (Payment Services Directive 2) ist es, die Betrugsgefahr zu senken und die Verbesserung der Sicherheit von Online-Zahlungen. Das Gesetz soll die Verwendung digitaler Dokumente stärken und die digitale Sicherheit verbessern. Darüber hinaus unterstützt PSD2 die Open-Banking-Idee und fördert den Wettbewerb innerhalb des Finanzsektors.
Das Gesetz zwingt Banken, qualifizierten Dritten automatisierten Zugriff auf die Transaktionskonten von Privat- und Firmenkunden zu gewähren. PSD2 ermöglicht es Fintech, Großunternehmen, Banken und Kunden, in enger Abstimmung mit Banken als PSPs zusammenzuarbeiten. Darüber verspricht das Gesetz mehr Sicherheit bei Online-Zahlungen und eine insgesamt bessere Kundenerfahrung.
Wie verhindern Sie Sicherheitsverletzungen bei Banking-Apps?
Banken müssen robuste Sicherheitsmaßnahmen ergreifen, um Apps vor Datenschutz- oder Sicherheitsverletzungen zu schützen. Die folgende Auflistung bietet Empfehlungen wie Banken ihre Apps angemessen schützen können:
- Kontinuierliche App-Scans und Schwachstellenanalysen, senken die Wahrscheinlichkeit von Datenschutzproblemen in Android- und iOS-Apps.
- Benutzer sollten ihre Internetverbindungen sichern, bevor sie mit Mobiltelefonen auf ihre Bankkonten zugreifen, insbesondere in öffentlichen Wi-Fi-Netzwerken.
- Banken sollten sämtliche Stakeholder während des App-Erstellungs- und Bereitstellungsprozesses einbeziehen, um Sicherheitsmängel vor der Veröffentlichung einer Banking-App zu verstehen und beheben zu können.
- Banken sollten in KI (Künstliche Intelligenz) investieren, um Mobile Banking-Apps sicherer zu machen und Kundengelder zu schützen.
- Beim Schutz mobiler Plattformen sollten Banken sich Best Practices leiten lassen.
- Und Banken sollten ihre Kunden in der sicheren Nutzung mobiler Plattformen schulen.
- Banken sollten sichere Algorithmen implementieren, um den internen App-Speicher zu schützen.
- Natürlich sollte man auch die Kommunikation der Apps schützen wie etwa durch effektive Verschlüsselungsalgorithmen und andere bewährte Methoden.
- Banken, Kunden, Anbieter von Online-Zahlungsdiensten und andere Stakeholder sollten PSD2 befolgen und Online-Zahlungsmechanismen mit qualifizierten Zertifikaten für die Website-Authentifizierung (QWAC) und qualifizierten Zertifikaten für elektronische Siegel (QSealC) zu sichern.
Zusammenfassung
Banken und Kunden sollten was die Sicherheit sensibler Finanzdaten anbelangt an einem Strang ziehen. Dazu gehören regelmäßig App-Scans und Schwachstellenanalysen, um die Leistung der Apps in Bezug auf Sicherheit und Datenschutz zu verbessern und um sicherzustellen, dass Datenschutzrichtlinien und -vorschriften, wie z.B. PSD2, eingehalten werden. Kunden übernehmen ihren Teil der Verantwortung, indem sie eine Antivirensoftware für mobile Anwendungen installieren und VPNs verwenden.
Hinweis: Dieser Blogbeitrag wurde von einem Gastautor verfasst, und gibt die Meinung des Autors wieder, die nicht unbedingt der von GlobalSign entspricht.
