Sicherheit für den internationalen Zahlungsverkehr
Christian Walter ist Geschäftsführer und Redaktionsleiter von swiss made software. Bis Ende 2010 arbeitete er als Fachjournalist für das ICT-Magazin Netzwoche, publizierte zuletzt aber auch im Swiss IT Magazin, der Computerworld sowie inside-it.
2016 versuchten Angreifer, mehr als 950 Millionen Dollar von den Konten der Nationalbank von Bangladesch zu stehlen. Zwar stoppten die automatischen Systeme die Überweisungen bei 81 Millionen, dennoch zeigte der Diebstahl eindrücklich die Verwundbarkeit des SWIFT-Systems.
Das SWIFT-Netzwerk wickelt den Nachrichten- und Transaktionsverkehr von weltweit mehr als 11.000 Banken ab. Doch nicht nur einmal wurde die den Zugang ermöglichende SWIFT-Software gehackt. In wenigstens zwei weiteren Fällen gelang es Hackern, in die Systeme anderer Institute einzudringen.
SWIFT hat zwar Gegenmassnahmen ergriffen. Ob diese auf allen Ebenen greifen, bleibt aber unklar. Dadurch sind Marktchancen für Dritte entstanden, unter anderem für den Schweizer Financial Messaging Spezialisten Incentage. Das Unternehmen ist mit seiner FDPS-Lösung seit 2008 am Markt und bietet in der neuesten Version ein umfangreiches Toolset, um Gefahren im SWIFT-Umfeld Herr zu werden. Der Fokus liegt dabei auf Situationen, in denen nur wenige Transaktionen ausgetauscht werden, dafür in hohem Wert. «Konventionelle Lösungen sind vor allem auf Masse ausgerichtet, nicht auf Einzeltransaktionen im Wert von 500 Millionen Dollar», so Incentage CEO Felix Huber.
FDPS setzt auf vier verschiedenen Ebenen (Detection Vectors) an, wobei sich die Kunden die für sie relevanten Optionen zusammenstellen können. Der erwähnte Angriff auf die Nationalbank von Bangladesch kann als Fallbeispiel dienen, um die Funktionalität zu illustrieren (siehe Bild): Internationale Transaktionen im SWIFT-System durchlaufen vier Ebenen. Ganz oben ist die Applikationen-Ebene der Banken. Dort werden Zahlungen generiert. Diese wandern in die Messaging-Ebene, wo sie als Nachricht «verpackt» werden. Danach werden sie im Gateway signiert und in das autarke Swift-Netzwerk eingespeist. Beim Empfänger durchlaufen sie den umgekehrten Prozess.
Einfallstor für Hacker
Im Falle von Bangladesch speisten die Angreifer unmittelbar vor der Gateway-Ebene gefälschte Nachrichten ein. Diese wurden dann offiziell signiert und via SWIFT-Netzwerk an die Gegenstelle geschickt. Mit Hilfe einer Empfangsbestätigung wird dann normalerweise geprüft, ob der Auftrag mit demjenigen in den Systemen des Absenders übereinstimmt. Diese Empfangsbestätigungen wurden aber abgefangen und konnten so nie Alarm schlagen.
FDPS schiebt dem mit vier Vektoren einen Riegel vor: Vektor eins nennt sich Bilateral Challenge und ist am ehesten vergleichbar mit einer 2FA im E-Banking. Ein bekanntes Beispiel ist das mTAN-Verfahren. Hier erhält der Kunde eine Nachricht via Handy, die nicht über den gleichen Kanal geschickt wird wie die Login-Informationen – also SMS statt Internet. Im Fall von FDPS wird ein Hash generiert, der entweder via Point-to-Point übertragen wird oder auch eine Blockchain verwenden kann. Der Empfänger kann damit prüfen, ob die Zahlungsanweisung, die gerade aus dem Swift-System gekommen ist, mit der ursprünglich in der Applikation des Absenders generierten übereinstimmt.
Vektor zwei ist ein dreiteiliger Multi Layer Filter: Beim Profiling legt der Kunde via GUI eine Reihe von Regeln fest. Zum Beispiel Dollar-Transaktionen nur freitags zwischen 10 und 12 Uhr oder generell keine Transaktionen in Rubel. Das Context-Assessment orientiert sich an der grundlegenden Politik der Bank und blockt, falls die Anweisung dieser zuwider läuft. Die Fraud Detection Rules schliesslich basieren auf inhaltlichen Analysen.
Der dritte Vektor bindet externe Dienstleister ein: Zum Beispiel sogenannte Sanctions Scanner, die Transaktionen auf Verdacht von Geldwäscherei oder Terrorismusunterstützung prüfen. Dabei ist die Lösung so klug, dass sie nicht einfach ja oder nein sagt, sondern die Transaktionen gewichtet – zum Beispiel Geldwäscherei mit 84-prozentiger Wahrscheinlichkeit.
Der vierte Vektor schliesslich orientiert sich am historischen Verhalten und verwendet statistische Methoden. Wie weit darf eine Franken-Zahlung an die Deutsche Bundesbank in Prozent vom durchschnittlichen Wert abweichen? Hier wird für jeden Transaktionspartner ein eigenes Risikoprofil angelegt.
Schnell auf Bedrohungen reagieren
All diese Informationen werden in einem übersichtlichen Dashboard vereint, das den Kunden über das aktuelle Gefahrenpotenzial im Zahlungsverkehr informiert. Dominant gibt es hier einen «Nuklearknopf», mit dem sich alle Transaktionen sofort stoppen lassen. «Dieses Feature wurde explizit auf Kundenwunsch entwickelt», so Huber. Zentral sind die Drill-Down-Optionen, denn ein solcher Stopp darf nicht länger als 30 Minuten dauern, sonst können finanzielle Einbussen oder Reputationsschäden entstehen.
Um schnell reagieren zu können, erlaubt FDPS die Transaktionen nach diversen Kriterien zu filtern, wie zum Beispiel bestimmte Institute zu isolieren. Das ist wichtig, weil eine einzelne Transaktion häufig mehrere Banken einbindet. Dabei kann das verdächtige Unternehmen an erster, zweiter oder dritter Stelle stehen. Ebenfalls integriert ist eine Volltextsuche. FDPS hat nämlich kundenspezifisch Transaktionsdaten gespeichert und zwar für ganze Märkte: «Ein einzelner Markt wie der Johannesburg Stock Exchange kann leicht mit mehr als einer halben Milliarde Transaktionen im System vertreten sein. Unsere Lösung kann dieses Volumen auch bei mehr als einer Million Treffer in drei Sekunden durchsuchen – und zwar Volltext», so Huber.
Damit bietet Incentage eine Lösung, die sich der Bedrohungslage im internationalen Zahlungsverkehr auf mehr als einer Ebene annimmt.
Weitere Artikel zum Thema Allgemein Sicherheit
- Dienstag 22.11.2022
Die eigene Recovery-Box
Trotz Cloud-Vorteilen ist vielen unwohl, wenn sie die Kontrolle über die Kerndaten verlieren. Sedion bietet dafür eine kombinierte Box- und Cloud-Variante. - Donnerstag 09.12.2021
Das Passwortarchiv bleibt in der Schweiz
Alpein Software Swiss bietet einen lokal gehosteten Passwortmanager für Privatpersonen und Unternehmen. - Donnerstag 26.09.2019
Keine Zero Days mehr
Das ETH-Spinoff Xorlab will Cyberattacken stoppen, bevor sie ins Rollen kommen. Dafür wurde ein neues Verteidigungskonzept entwickelt. - Montag 26.08.2019
Einfach zertifizieren
Regularien werden immer anspruchsvoller. Um den Überblick zu behalten und gleichzeitig die Komplexität zu beherrschen, bietet das Start-up CISS deshalb eine digitale Lösung. - Dienstag 02.04.2019
Das Ökosystem hinter der SwissID
Neben SwissSign sind zahlreiche Partner Teil des SwissIDÖkosystems. Zusammen wollen sie das Herzstück für weite Teile der kommenden Digitalisierung bilden, und zwar, ohne die Privatsphäre der Nutzenden zu tangieren. - Freitag 01.12.2017
Interview Gilbert Semmer: «Hersteller können nicht die alleinige Verantwortung tragen»
Gerade im vernetzten Gesundheitswesen ist Cyber-Sicherheit ein Gemeinschaftsprojekt. Trotz Fortschritten ist ein gesellschaftlicher Diskurs zu diesem Thema nach wie vor nötig, wie Sicherheitsexperte Gilbert Semmer im Interview darlegt. - Freitag 24.11.2017
Sicherheit hat Mehrwert – am Computer und im Geschäft
Moderne Cyber-Security verlangt mehr als nur die Erhöhung der Schranken, um Angreifer abzuwehren. Der altbekannte Trade-off von Sicherheit und Bequemlichkeit hat als Argumentation ausgedient. Eine zeitgemässe Lösung muss neben Sicherheit und Bequemlichkeit auch neue Businesskonzepte unterstützen. - Freitag 24.11.2017
Innovation und Sicherheit im vernetzten Gesundheitswesen
Das labormedizinische Unternehmen Viollier setzt voll auf digitale Innovation, um sich am Markt zu differenzieren. Um die Sicherheit der medizinischen Daten zu garantieren, kooperiert das Unternehmen mit dem Berner Sicherheitsspezialisten United Security Providers. - Freitag 24.11.2017
Sicherheit klingt gut
Viele Nutzer verzichten zu Gunsten von Bequemlichkeit auf angebotene Security-Lösungen. Futurae versucht einen neuen Ansatz: Sicherheit durch den Vergleich von Umgebungsgeräuschen. - Freitag 24.11.2017
Das verschlüsselte Unternehmen
Während Private und Staaten mit der dauernden Ausspähung des Internets beschäftigt sind, steigen parallel die rechtlichen Anforderungen an den Datenschutz. - Freitag 24.11.2017
Dreidimensionales Schach
Sicherheit muss auf mehr als nur der ICT-Ebene gedacht werden. Sicherheitsanbieter agieren deswegen auf einem überaus komplexen Terrain, das nicht nur von kriminellen, sondern auch von nationalen Interessen geprägt ist.