Die Digitalisierung macht Finanzdienstleister zur bevorzugten Zielscheibe von Cyberkriminellen. Angreifer setzen nicht nur auf Social Engineering, Phishing oder Ransomware, sondern zunehmend auch auf mit Malware infizierte Dokumente. Herkömmliche Sicherheitslösungen stoßen dabei oft an ihre Grenzen.
Malware in Dokumenten bei Finanzdienstleistern: Mit Cyberangriffen sind die meisten Finanzdienstleister vertraut. Jahrelang haben sie ihre Abwehrmaßnahmen und Reaktionsstrategien optimiert. Allerdings entwickeln organisierte Kriminelle immer aggressivere Angriffsmethoden. Malware in Dokumenten ist ein Beispiel dafür. Eigentlich ist der Versuch, bösartigen Code in einem scheinbar harmlosen Dokument zu verstecken, ein sehr alter Trick. Die Art, wie Unternehmen aktuell arbeiten, macht diese Taktik jedoch zu einem äußerst effektiven Angriffsvektor.
Die Gefahr steigt, wie der OPSWAT Threat Landscape Report berichtet. Laut dieser Studie nehmen sowohl die Komplexität von Malware in Dokumenten bei Finanzdienstleistern zu (plus 127 Prozent in den letzten 12 Monaten) als auch die Zahl unentdeckter Bedrohungen: Eine von 14 Dateien erweist sich als schädlich, obwohl sie Antiviren-Systeme als sicher eingestuft haben.
Eine alte Bedrohung in neuem Kleid
Viele Unternehmen nutzen cloudbasierte Produktivitätswerkzeuge wie Microsoft 365, Google Drive und Dropbox. Regelmäßig laden Mitarbeiter darüber Dateien hoch, kombinieren, archivieren oder teilen Inhalte. Angreifer nutzen diese Arbeitsabläufe aus und betten schädlichen Code in Word-Dokumente, Zip-Archive, PDF-Dateien und Microsoft-Excel-Tabellen ein. Obwohl die meisten Unternehmen über Sicherheitssysteme verfügen, werden infizierte Dateien in der Cloud häufig nicht erkannt.
Zu den gängigen Techniken der Angreifer gehören bösartige Makros in Office-Dokumenten, die beim Öffnen schädliche Skripte ausführen, sowie in PDFs eingebettetes JavaScript, das Anmeldedaten stiehlt oder zusätzliche Malware nachlädt. Die Dateien kommen mit gefälschten Datei-Endungen und scheinbar harmlosen Namen wie „Rechnung.pdf“. Social-Engineering erhöht die Wahrscheinlichkeit, dass Mitarbeiter solche Dateien öffnen. Angreifer geben sich zudem oft als vertrauenswürdige Kontakte aus.
Anzeige | Trovarit Academy
Datenklau und manipulierte Transaktionen
Cyberkriminelle, die Finanzinstitute ins Visier nehmen, sind auf monetären Gewinn aus. Datenexfiltration ist eines der häufigsten Ziele von Angreifern, wobei sie es auf die riesigen Bestände sensibler Kundendaten abgesehen haben, darunter Zahlungsinformationen, Zugangsdaten zu Konten und Kreditkartendetails. Derartige Daten lassen sich im Dark Web verhökern oder für Identitätsbetrug verwenden.
Einige kriminelle Gruppen versuchen auch, sich direkt Zugang zu internen IT-Systemen zu verschaffen, um Transaktionen zu manipulieren oder Anmeldedaten zu stehlen, mit denen sie Geld von Kundenkonten abzweigen können.
Perimeterbasierte Abwehr reicht nicht mehr
Angesichts der nahezu ständigen Bedrohung durch Cyberangriffe und strenger regulatorischer Anforderungen haben die meisten Finanzinstitute stark in perimeterbasierte Abwehrmaßnahmen, Endpunktsicherheit und Mitarbeiterschulungen investiert. Das klassische Perimeter-Sicherheitsmodell nutzt Firewalls, um externe Angreifer am Eindringen in das Netzwerk zu hindern. Risiken, die von infizierten Dokumenten ausgehen, werden dabei oft übersehen.
Sicherheitstools und -richtlinien haben Mühe, mit den Praktiken des cloudbasierten Filesharings Schritt zu halten. Diese Schwachstelle ermöglicht es Angreifern, gängige Dateiformate als Einfallstor zu nutzen. Einer der häufigsten Fehler besteht darin, sich ausschließlich auf traditionelle Malware-Erkennung zu verlassen. Signaturbasierte Antiviren-Tools erkennen typischerweise keine Malware, die in PDF- und Office-Dateien versteckt ist. Auch Zero-Day-Exploits oder skriptbasierte Angriffe schlüpfen teilweise durchs Netz.
Dateien von bekannten Absendern können infiziert sein
Ein weiterer typischer Fehler ist das Vertrauen in Dateien von bekannten Absendern. Angreifer kompromittieren legitime Konten, um mit Malware infizierte Dokumente zu verbreiten. Das schiere Volumen der eingehenden Dateien bei Finanzunternehmen – täglich Tausende von Rechnungen, Kreditanträgen und Kontoauszügen – stellt ein hohes Sicherheitsrisiko dar. Ohne eine Prüfung und Bereinigung dieser Dateien gelangen schnell bösartige Dokumente ins System.
Der potenziellen Gefahren durch bösartige Makros sind sich die meisten Unternehmen zwar bewusst. Sie übersehen dabei jedoch häufig andere dokumentbasierte Bedrohungen, die beim Öffnen einer Datei schädliche Aktionen ausführen können. Beispiele dafür sind ActiveX-Steuerelemente, OLE-Objekte (Object Linking and Embedding) und eingebettetes JavaScript.
Mehrschichtiger Schutz verringert die Anfälligkeit
Der Schutz vor bösartigen Dokumenten erfordert einen mehrschichtigen Sicherheitsansatz. Cyberkriminelle verwenden verschiedene Techniken, um Malware zu verbreiten. Da reicht es nicht aus, sich auf eine einzige Lösung zu verlassen. In erster Linie sollten Unternehmen strenge Richtlinien für zulässige Dateitypen implementieren, eine Benutzerauthentifizierung vor dem Hochladen von Dokumenten verlangen und Dateigrößenbeschränkungen festlegen. Allein diese Maßnahmen tragen dazu bei, das Hochladen bösartiger Inhalte von vornherein zu verhindern.
Sämtliche Dateien müssen sorgfältig geprüft werden, um sicherzustellen, dass sich darin keine Bedrohungen verbergen. Auch durch proaktive Malware-Scans lässt sich Schadsoftware erkennen und stoppen. Der Einsatz mehrerer Anti-Malware-Engines steigert die Erkennungsrate und schließt blinde Flecken einzelner Scan-Tools. In Kombination mit verhaltensbasierten Sandboxing lassen sich auch bisher unbekannte Bedrohungen wirksam identifizieren.
Skripte und Makros bereinigen: So lassen sich Malware in Dokumenten bei Finanzdienstleistern eliminieren
Darüber hinaus können Dateien versteckte Bedrohungen in Skripten und Makros enthalten, sodass es unerlässlich ist, sie zu bereinigen, bevor ein Anwender Zugriff darauf erhält. Technologien wie Deep Content Disarm and Reconstruction dekonstruieren Dateien, entfernen potenziell schädliche Inhalte und setzen sie anschließend unter Wahrung der vollen Funktionalität wieder zusammen. So wird sichergestellt, dass sich die Dateien gefahrlos öffnen lassen.
Sicherheitstools für E-Mail-Systeme, die Phishing-Versuche blockieren und Anhänge oder URLs auf schädliche Inhalte überprüfen, reduzieren weitere Risiken. Neben E-Mails sind auch andere Quellen für eingehende Dateien zu überprüfen, z. B. webbasierte Anwendungen, die von Kunden, Geschäftspartnern oder Lieferanten genutzt werden. Auch Dateien, die zwischen verschiedenen Geschäftsbereichen im Unternehmen ausgetauscht werden, brauchen einen Sicherheitscheck. jf
Der Autor
Holger Fischer ist Director Sales EMEA Central beim Cybersecurity-Spezialisten OPSWAT.
