2019 gab es zwei große Angriffe innerhalb des Bankensektors, einen auf Capital One und den anderen auf die Desjardins-Gruppe. Neben dem Verlust von Kundenvertrauen und Geschäft sehen sich beide Banken mit Hunderten von Millionen an Kosten für Schadensminderung konfrontiert. Capital One erwartet einen Schaden von rund 150 Millionen Dollar. Im Juli beglich das Kreditunternehmen Equifax Ansprüche aus einem Datenverstoß im Jahr 2017, der sensible Informationen von über 147 Millionen Verbrauchern enthüllte und rund 650 Millionen Dollar kostete.

Mit zunehmender Komplexität der Angriffe werden die Bußgelder für Datenschutzverletzungen immer höher, was die Notwendigkeit für die Fintech-Industrie unterstreicht, den Zustand der eingesetzten Mechanismen zur Datensicherheit genau zu überprüfen.

Was ist passiert?
Im Falle von Capital One verschaffte sich ein Softwareentwickler Zugang zu einem Server und erhielt Zugriff auf 140.000 Sozialversicherungsnummern, eine Million kanadische Sozialversicherungsnummern und 80.000 Bankkontonummern. Sie erhielt Zugangsdaten für WAF (Web Application Firewall) - was ihr dann erlaubte, eine Liste von mehr als 700 AWS S3 Buckets und Ordner aufzurufen und Daten daraus zu extrahieren. 

Status-Check der Fintech-Industrie
Die Fintech-Industrie wächst weltweit. Der CB Insights-Bericht legt nahe, dass 2018 allein in den USA 659 Investitionen im Wert von 11,89 Mrd. USD in Risikokapital (VC) getätigt wurden. Es gibt derzeit 48 VC-gestützte Fintech-Einhörner im Wert von insgesamt 187 Mrd. $.

Was sind die größten Risiken?
Das größte Risiko ist das gute alte Rätsel, den Innovationsbedarf und die Datensicherheit in Einklang zu bringen, da die meisten dieser Lösungen von Natur aus cloud-basiert sind, da das Innovationstempo in dieser hart umkämpften Branche nur von Cloud unterstützt werden kann.

Zu den spezifischen Herausforderungen für Cloud-Benutzer gehören Datenverluste, Datenverlust, Account-Hijacking, unsichere Schnittstellen, Denial-of-Service-Angriffe, Masquerading- und Phishing-Seiten.

Wir alle sind uns bewusst, dass die Sicherheitskontrollen, die Unternehmen in der Public Cloud durchführen, nicht geringer sein sollten als das, was sie in ihren eigenen Rechenzentren implementieren. Das Verständnis der gesamten IT-Mitarbeiter und die Aufteilung der Verantwortung zwischen eigener Organisation und Cloud-Anbietern ist entscheidend, um die Kontrolle zu behalten. 

Wer haftet?
Cloud-Dienstleister haben immer wieder darauf hingewiesen, dass die Haftung für die Daten beim Unternehmen und nicht bei ihnen liegt.
Betrachten wir das Ganze aus einer eher technischen Perspektive. Im Falle von Capital One haben wir Diskussionen von Branchenexperten gehört, in denen es heißt, dass man Folgendes tun könnte:

1. AWS hätte bessere Standard-Firewall-Konfigurationseinstellungen beibehalten können.
2. AWS hätte bekannte Schwachstellen in seiner API-Verarbeitungsfunktion, bekannt als Metadatendienst, beheben können (z.B. die Anforderung einer Zwei-Faktor-Authentifizierung für den Zugriff, die Anforderung, dass vom Dienst ausgegebene temporäre Anmeldeinformationen nur innerhalb des VPC-Netzwerks des Kunden verwendet werden dürfen oder die Anforderung, dass ein spezieller HTTP-Header für die Kommunikation mit dem AWS-Metadatendienst erforderlich ist). 
3. Oder AWS hätte eine bessere Kundenkommunikation und Benachrichtigungen herausgeben können.

Das alles sind valide Argumente. Es wäre jedoch schwierig, eines dieser Argumente vor Gericht zu bringen, weil die Cloud Service Provider ihre Verträge bewusst so gestalten, um sich vor solchen Situationen zu schützen.
Auf jeden Fall hätten beide Unternehmen bis zur Klärung der Angelegenheit Millionen von Dollar an Reputationsschäden und Folgegeschäften verloren.

Zwei goldene Regeln zur Sicherung Ihrer Cloud-Daten und Workloads
>> Verstehen, wer Zugriff auf die Daten hat.
Public Cloud-Dienste sollten ähnliche oder sogar strengere Authentifizierungs- und Autorisierungsmechanismen aufweisen. Einige bewährte Verfahren sind die Synchronisierung Ihrer On-Prem-AD mit der Cloud und die Implementierung von RBAC (rollenbasierte Zugriffskontrolle), so dass Mitarbeiter nur gemäß den ihnen zugewiesenen Berechtigungen Zugriff auf Daten haben.
>>Schützen Sie Ihre Daten sowohl in Transit als auch at Rest.
Selektive Verschlüsselung oder Tokenisierung ist hier der richtige Weg. Sie müssen sicherstellen, dass die Daten für niemanden außer Ihnen selbst lesbar sind. Die Kontrolle sollte bei Ihnen und nur bei Ihnen bleiben.

Was ist eperi?
eperi Cloud Data Protection bietet Verschlüsselungs-APIs zur Sicherung Ihrer wichtigsten Workloads in der Cloud.
Die eperi-Verschlüsselung funktioniert nahtlos mit allen hyperskalierten Cloud-Anbietern wie Azure und AWS. Ob AWS S3 Bucket oder Azure Blob Storage, eperi ermöglicht es Ihnen, die Kontrolle über Ihre Daten zu behalten, egal wo sie sich befinden.

Mit eperi kontrollieren Sie allein den gesamten Verschlüsselungsprozess und damit die Schlüssel zur Freischaltung Ihrer Daten. eperi ist ein Marktführer für die Bereitstellung von Verschlüsselungs-Gateways für wichtige SaaS-Dienste wie Salesforce und O365. Die nahezu zero footprint Architektur ermöglicht es eperi, sich problemlos in komplexe Netzwerklandschaften zu integrieren und Daten zu verschlüsseln oder zu tokenisieren, bevor sie den CSP erreichen. Mit eperi-Lösungen stellen Sie sicher, dass auch gestohlene Datensätze für den potenziellen Hacker nutzlos sind.

Erfahren Sie hier mehr über das eperi Gateway für Salesforce und O365.

Kontaktieren Sie uns:  abhishek.das@eperi.com

Autor: Abhishek Das - Vice President Customer Success

Für weitere Informationen, folgen Sie dem Autor auf LinkedIn