Analyse sicherheitsrelevanter Geschäftsprozesse eines Anwendungsfalls aus der Finanzbranche und Ermittlung der hierfür geeigneten Methoden

Inhaltsverzeichnis

I. Danksagung

II. Inhaltsverzeichnis

III. Tabellenverzeichnis

IV. Abkürzungsverzeichnis

V. Abbildungsverzeichnis

1 Einleitung
1.1 Motivation
1.2 Ziel und Vorgehensweise der Arbeit
1.3 Aufbau der Arbeit

2 IT-Sicherheit, Bedrohungen und Methoden
2.1 Problembereich IT-Sicherheit
2.1.1 Grundwerte der IT-Sicherheit
2.1.2 Bedrohungen und Gefährdungen
2.1.3 Angriffe und Angreifer
2.1.4 Risiken und Schwachstellen
2.2 Informationstechnologie bei FDL
2.2.1 Betriebliche Anwendungen
2.2.2 Vernetzung und verteilte Systeme
2.2.3 Sicherheitskritische Geschäftsprozesse und Ereignisse
2.2.4 Datenschutz, Datensicherheit und Compliance
2.3 Security Information and Event Management (SIEM)
2.3.1 Einsatzumfeld von SIEM Lösungen
2.3.2 Funktionsweise von SIEMs
2.3.3 Collection
2.3.4 Normalization
2.3.5 Aggregation
2.3.6 Correlation
2.3.7 Reporting
2.4 Modellierungsmethode UML
2.4.1 Misuse Case Diagramm
2.4.2 Mal-Activity Diagramm
2.5 Attack-Trees Methode

3 Anwendungsfall aus der Finanzbranche
3.1 Umfeld und Zugangssysteme der Bank
3.2 Internetbanking Anwendung
3.2.1 Internetbanking Überweisung
3.2.2 Prozessablauf der Überweisung
3.3 Bedrohungsanalyse
3.3.1 Zugangsdaten des Kunden missbrauchen
3.3.2 Kunden austricksen und manipulieren
3.3.3 Banksystem kompromittieren
3.3.4 Kundenrechner infizieren
3.4 Risikoanalyse und Sicherheitsanforderungen
3.4.1 Analyse zu Zugangsdaten des Kunden missbrauchen
3.4.2 Analyse zu Kunden austricksen und manipulieren
3.4.3 Analyse zu Banksystem kompromittieren
3.5 Modellierung der Einwirkung auf Prozesse
3.5.1 Misuse Case Internetbanking Überweisung
3.5.2 Mal-Activity Internetbanking Überweisung
3.5.3 Objekte bei der Internetbanking Überweisung

4 Erkenntnisse und Implikationen
4.1 Geschäftsprozessereignisbasierte Sicherheitsanalyse
4.1.1 Ableitung von Angriffsindikatoren
4.1.2 Indikatoraussagen
4.1.3 Sicherheitsanalysemodell
4.2 Sicherheitsanforderungen und Implikationen für die Praxis
4.3 Implikationen für die Forschung
4.4 Zusammenfassung

VI. Anlagen

VII. Literaturverzeichnis

VIII. Eidesstattliche Erklärung

I. Danksagung

Mein erster und besonderer Dank gilt Herrn Prof. Dr. Thomas Freytag für die Betreuung meiner Diplomarbeit. Weiter danke ich ihm für seine inhaltlichen und konzeptionellen Ratschläge, die mir stets von großer Hilfe waren und mir die nötige Sicherheit zum Gelingen dieser Arbeit gegeben haben.

Ebenso bedanken möchte ich mich bei den beiden Herren Nicolai Kuntze und Roland Rieke vom Fraunhofer-Institut, die mich in das spannende Thema der IT-Sicherheit eingeführt und mir die Gelegenheit gegeben haben, einen Beitrag zu aktuellen Fragestellungen zu leisten.

Ich danke auch meiner Freundin, die mir, trotz dass sie sich in anderen Umständen befindet, während der ganzen Zeit Verständnis entgegengebracht und mir immer ein gutes Gefühl vermittelt hat. Zudem danke ich ihr für die Unterstützung beim Korrekturlesen.

Meinen Eltern möchte ich dafür danken, dass sie immer an mich glauben und mich -wo immer sie nur können - unterstützen.

Zu guter Letzt widme ich diese Arbeit meinem ersten Kind Eleni, dessen schon jetzt stolzer Papa sie noch in diesem Jahr willkommen heißen wird.

III. Tabellenverzeichnis

Tabelle 2.1: Angreifer-Klassifikation

Tabelle 2.2 Fristen zur Aufbewahrung regulierter Daten

Tabelle 3.1: Anwendungsfallbeschreibung Login auf Website

Tabelle 3.2: Anwendungsfallbeschreibung Überweisung beauftragen

Tabelle 3.3: Risikoanalyse – Kunden-Credentials physisch erlangen (Baum 1.1.n)

Tabelle 3.4: Risikoanalyse – Kunden-Credentials ausspähen (Baum 1.2.n.n)

Tabelle 3.5: Risikoanalyse – Social Engineering betreiben (Baum 1.3.n)

Tabelle 3.6: Risikoanalyse – MITM Angriff betreiben (Baum 2.1.n.n)

Tabelle 3.7: Risikoanalyse – Social Engineering betreiben (Baum 2.2.n.n)

Tabelle 3.8: Risikoanalyse – Kunden Credentials erraten (Baum 3.1.n)

Tabelle 3.9: Risikoanalyse – Internetbanking manipulieren (Baum 3.2.n)

Tabelle 3.10: Misuse-Case Beschreibung MITB Methode einsetzen

IV. Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

V. Abbildungsverzeichnis

Abbildung 2.1: Konsequenzen aus Angriffen auf die Unternehmens-IT

Abbildung 2.2: Kategorien der Gefährdungen

Abbildung 2.3: Unternehmenserfahrungen mit Angriffen auf die IT

Abbildung 2.4: Übersicht betrieblicher Anwendungen eines Finanzdienstleisters

Abbildung 2.5: IT-Architektur der RZB

Abbildung 2.6: Überblick einer SIEM Lösung

Abbildung 2.7: Komponenten eines SIEMs

Abbildung 2.8: Redundante Ereignisse BIP2488E, BIP2230E und BIP2232E in SYSLOG

Abbildung 2.9: Relationsmodell bei Korrelation von Event1||Event2

Abbildung 2.10: Zusammenhang des Misuse Case Konzepts zum Use Case Diagramm

Abbildung 2.11: Darstellung UND- und ODER-Knoten in Attack-Trees

Abbildung 3.1: Kundenzielgruppen und elektronische Bankzugänge

Abbildung 3.2: Schnittstellen der Bankrechnerfunktionen

Abbildung 3.3: Funktionen der Anwendung Internetbanking

Abbildung 3.4: Anwendungsfalldiagramm zur Internetbanking Überweisung

Abbildung 3.5: Aktivitätsdiagramm Login Internetbanking

Abbildung 3.6: Aktivitätsdiagramm Internetbanking Überweisung

Abbildung 3.7: Angriffsbaum Internetbanking Überweisung

Abbildung 3.8: Angriffsbaum Internetbanking Zugangsdaten missbrauchen

Abbildung 3.9: Beispiel zum Man-in-the-browser Angriff

Abbildung 3.10: Angriffsbaum Internetbanking Kunden austricksen und manipulieren

Abbildung 3.11: Angriffsbaum Internetbanking Banksystem kompromittieren

Abbildung 3.12: Angriffsbaum Kundenrechner infizieren

Abbildung 3.13: Misuse-Case Diagramm zur Internetbanking Überweisung

Abbildung 3.14: Mal-Activity Diagramm Internetbanking Login

Abbildung 3.15: Mal-Activity Diagramm Internetbanking Überweisung

Abbildung 3.16: Objekte bei der Internetbanking Überweisung

1 Einleitung

Die Informationstechnologie (IT) hat in den Finanzdienstleistungshäusern schon lange einen übergreifenden Einzug erhalten und unterstützt Kunden sowie Mitarbeiter bei täglichen Routinen. Der Einsatz von mobilen und stark vernetzten IT-Systemen ist da­bei in nahezu sämtlichen Geschäftsprozessen wiederzufinden und leistet als Rückgrat vieler Geschäftsmodelle einen wesentlichen Beitrag zur Erreichung der Unternehmensziele. Immer deutlicher zählt die dabei eingesetzte IT-Infrastruktur zum wertvollen, besonders zu schützenden Gut eines Unternehmens und ist zugleich zunehmend dem Einwirken komplexer Ereignisse - resultierend aus Missbräuchen oder auch Fehlbedie­nungen - auf sicherheitskritische Eigenschaften der Geschäftsprozesse ausgesetzt. Für die Finanzbranche entstehen auf diese Weise Schäden, die sehr vielfältig ausfallen können und dessen vorläufiger Höhepunkt sich - verursacht durch einen einzelnen Fall von Computer­missbrauch - auf eine bedrohliche Schadenssumme von 4,9 Milliarden Euro beläuft^[1].

Der IT-Sicherheit wird damit eine enorme Bedeutung zuteil, dessen Erfolg, gemessen an der Minimierung der Gefährdung des reibungslosen Geschäftsablaufs bzw. der Ver­meidung wirtschaftlicher Schäden, wesentlich von der effizienten Ermittlung und Be­wertung von Bedrohungen und Risiken und anschließender Maßnahmen abhängt. Dem wird die Sicherheitsanalyse - deren Ergebnisse sich in den Sicherheitsanforderungen widerspiegeln - gerecht, die allerdings aufgrund der Dynamik bei IT-Systemen bereits einen stetig wiederkehrenden Aufwand für das Unternehmen bedeutet. Zusätzlich und weitaus aufwendiger ergibt sich die Durchführung und Überwachung der aus den Anforderungen hervorgehenden Sicherheitsmaßnahmen im Tagesgeschäft^[2]. Um diesen Aufgaben Herr zu werden bedienen sich Finanzdienstleister (FDL) technischer Hilfsmittel, dessen Leistungsfähigkeit einen gewichtigen Einflussfaktor auf ein optimales Verhältnis zwischen höchstmöglichem Schutz bei geringstmöglichem Arbeitsaufwand ausmacht.

Zu den von den FDL genutzten technischen Hilfsmitteln zählen unter anderem Firewalls, Vierenscanner, Intrusion Detection bzw. Intrusion Protection Systeme (IDS/IPS), die im Wesentlichen sicherheitskritische Aktivitäten innerhalb eines Rechnernetzes oder -systems erkennen bzw. anzeigen und ggf. unterbinden sowie zunehmend Security Information and Event Management (SIEM) Lösungen. Letztere nehmen eine übergeordnete Rolle ein, da diese auf erstgenannte aufsetzen und deren Funktionen bündeln, anreichern oder sogar übernehmen können. Diese Eigenschaft macht SIEM Systeme zum zentralen Ansatzpunkt zur Verbesserung sicherheitstechnischer und betriebswirtschaftlicher Aspekte.

1.1 Motivation

Die FDL – deren Umfänge an eingesetzter IT-Infrastruktur mittlerweile derer von IT-Dienstleistungsunternehmen gleichen^[3] – stehen vor der Herausforderung, der Compliance gegenüber gerecht zu handeln und nicht den Überblick zu verlieren. Das trifft insbesondere auf den Umgang mit der Datenflut von sicherheitsrelevanten Ereignissen zu^[4]. Da diesem enormen Datenaufkommen mit manueller Bearbeitung praktisch nicht nachzukommen ist, werden SIEM Systeme eingesetzt, die das Sicherheitsniveau signifikant steigern und den Aufwand erheblich senken können^[5]. Dass ein so beachtlicher Mehrwert zu erzielen ist, kann darauf zurückgeführt werden, dass seit sich der Begriff SIEM zu etablieren begann^[6] eine stetige Weiterentwicklung stattfand, wobei Einsatzmöglichkeiten erweitert und die Systeme insgesamt ausgeklügelter wurden.

Dieser Weiterentwicklung hat sich auch das Gemeinschafts-Projekt MASSIF (MAnagement of Security information and events in Service InFrastructures)^[7], welches durch die Europäische Kommission finanziert wird, verschrieben. Das Fraunhofer-Institut für Sichere Informationstechnologie ist Forschungsleiter in diesem Projekt und verantwortlich für die Konzeption eines Modells zur prädiktiven (d.h. vorhersagenden) Sicherheitsanalyse bzw. Korrelation von Ereignissen auf und quer durch mehrere Prozessebenen (multi-level).

Die vorliegende Arbeit soll hierzu einen Beitrag leisten, indem der Zusammenhang zwischen Basis- (z.B. login) und Geschäftsprozess-Ereignissen bei FDL analysiert wird.

1.2 Ziel und Vorgehensweise der Arbeit

Im Rahmen dieser Arbeit soll anhand von exemplarischen Prozessen eines Anwendungsfalls eines FDL der Zusammenhang zwischen Basisereignissen in der IT-Infrastruktur (wie z.B. login und logoff) und Ereignissen in Geschäftsprozessen erarbeitet werden, um auf dieser Basis Möglichkeiten herauszustellen, die zu einer Verbesserung der Leistungsfähigkeit bei SIEMs im Bereich der Sicherheitsanalyse bzw. Korrelation verwendet werden können.

Hierzu werden Geschäftsprozesse mit sicherheitskritischen Eigenschaften erfasst und einer Sicherheitsbetrachtung unterzogen. Die Betrachtung umfasst Methoden der Bedrohungs-/ und Risikoanalyse, aus der eine für die Branche geeignete Methode ausgewählt wird, die zur Ermittlung von auf Geschäftsprozesse wirkender relevanter Ereignisse ausreichend geeignet ist. Die so ermittelten Ereignisse und deren Einwirken werden nach Klassen sortiert und in einem Modell zur Sicherheitsanalyse in Echtzeit (bestehend aus auf geschäftsprozessbasierenden Ereignissen und Relationen) aufgezeigt, um die sich daraus ergebenden Sicherheitsanforderungen und Zusammenhänge für die oben erwähnte Verbesserung von SIEMs nutzen zu können.

1.3 Aufbau der Arbeit

Die Arbeit ist wie folgt aufgebaut: Zu Beginn werden in Kapitel 2 einige Grundlagen vorgestellt, die für die Betrachtung ereignisgesteuerter Sicherheitsmechanismen, der Durchführung einer Sicherheitsanalyse sowie zum Verständnis der IT-Infrastruktur und Sicherheitsbedrohungen bei FDL von Bedeutung sind. In Kapitel 3 erfolgt zunächst die Vorstellung des Anwendungsfalls eines FDL mit anschließender Analyse und Modellierung der auf den Geschäftsprozess einwirkenden Ereignisse. Das abschließende Kapitel 4 widmet sich der aus dieser Arbeit zu gewinnenden Erkenntnisse, die zum Entwickeln eines Modells zur geschäftsprozessbasierten Sicherheitsanalyse in Echtzeit genutzt werden und führt Implikationen für Wissenschaft und Praxis auf.

2 IT-Sicherheit, Bedrohungen und Methoden

Im Zuge der immer weiter voranschreitenden Professionalisierung der Computerkriminalität, steigender Schadensfälle^[8] und nicht abreißender Berichte über stattgefundene Hackerangriffe^[9] wächst auch das gesellschaftliche Sicherheitsbewusstsein im Umgang mit der IT. All dieses hat Unternehmen dazu bewogen, sich noch intensiver als in der Vergangenheit mit der IT-Sicherheit auseinanderzusetzen,^[10] um ihre Unternehmenswerte adäquat zu schützen. Bei FDL trifft die IT-Sicherheit dabei auf eine komplexe IT-Infrastruktur mit einer ganzen Ansammlung sicherheitskritischer Anwendungen mit verteilten Systemen, für die hohe regulatorische Anforderungen gelten und für deren Schutz bzw. Einhaltung besondere Hilfsmittel erforderlich sind. Beginnend mit der IT-Sicherheit gibt dieses Kapitel einen Einblick zu diesen Themen, was dem besseren Verständnis des im Folgekapitels behandelten Anwendungsfalls eines FDL dienen soll.

2.1 Problembereich IT-Sicherheit

Die IT-Sicherheit befasst sich mit dem Schutz von Informationen bzw. Informationssystemen vor Störungen und Angriffen, um die System-Verlässlichkeit (engl. dependability) zu gewährleisten, Schäden zu vermeiden und Risiken zu minimieren. Dieses beinhaltet sowohl den Aspekt der Funktionssicherheit (engl. safety), bei dem es sich hauptsächlich um die physikalische und innerbetriebliche Sichtweise handelt (z.B. Serverausfall, Festplattencrash, Laufzeitfehler oder Spannungsschwankungen), als auch den der Informationssicherheit (engl. security), bei dem der unberechtigte bzw. missbräuchliche Zugriff betrachtet wird.^[11] Wie am Beispiel eines Denial-of-Service (DoS) Angriffs jedoch gut zu erkennen ist, sind diese beiden Aspekte oft fließend ineinander übergehend. Der Fall eines DoS zeigt dabei exemplarisch, dass bei Safety auch ein gewisses Maß an Security mit einbezogen werden muss, da ansonsten den Ansprüchen von Safety selbst nicht entsprochen werden kann.^[12] Eine weiterführende Betrachtung des Aspekts Safety ist nicht Gegenstand dieser Arbeit, es wird jedoch hierauf im Abschnitt 2.1.2 Bedrohungen und Gefährdungen unter dem Begriff Störungen noch einmal Bezug genommen, um ein komplettes Bild über die potenziellen Gefährdungen der Unternehmens-IT zu geben.

Die zu schützenden Unternehmenswerte einer Organisation spiegeln sich in der IT-Sicherheit in den sog. Grundwerten (auch Schutzziele genannt)^[13] wider. Vernachlässigt das IT-Sicherheits-Management den Schutz dieser Grundwerte oder sind die eingesetzten Sicherheitsmaßnahmen unzureichend, können dem Unternehmen hieraus erhebliche Konsequenzen entstehen, wie die folgende Abbildung aus einer Untersuchung zeigt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.1: Konsequenzen aus Angriffen auf die Unternehmens-IT^[14]

Demnach hat fast jedes zweite Unternehmen mindestens einen Ausfall der IT-Systeme mit der Folge von Produktivitätsverlusten durch Angriffe auf die Unternehmens–IT erlitten. Nicht zuletzt aufgrund des bereits erwähnten gesellschaftlichen Sicherheitsbewusstseins, ist der Imageschaden hierbei als besonders weitreichend hervorzuheben, da sich dieser schwer bemerkbar langfristig auf die Geschäftsentwicklung auswirken kann und gut jedes 5. Unternehmen ereilt. Die FDL-Branche stellt hierbei keine Ausnahme dar. Es zeigt sich mit einem Produktivitätsausfall von 45%, einem Vertrauensverlust der Kunden (Imageschaden) von 37% und einem Auftrags-/ Kundenrückgang von 18% ein ähnliches Schadensbild.^[15] Aus der Studie ergibt sich darüber hinaus, dass bereits jeder fünfte Bankkunde von einem Angriff oder Betrug betroffen war.

2.1.1 Grundwerte der IT-Sicherheit

Sämtliche Informationen bzw. Daten und deren verarbeitende Systeme einer Organisation stellen aus Sicht der IT prinzipiell schutzbedürftige Unternehmenswerte dar. Die Unternehmenswerte sind Bedrohungen ausgesetzt wie z.B. unberechtigte Zugriffe, Manipulationen, Sabotagen, Datenverluste etc., was zu einem Schaden für das Unternehmen führen kann. Ziel der IT-Sicherheit in diesem Zusammenhang ist es daher,^[16]

- die Vertraulichkeit (engl. confidentiality), d.h. Informationen können nur von autorisierten Subjekten oder Objekten eingesehen werden und es ist sichergestellt, dass unautorisierte Dritte keine Kenntnis erlangen,
- die Integrität (engl. integrity), d.h. die Manipulation von Informationen ist nicht unautorisiert und unbemerkt möglich, sowie
- die Verfügbarkeit (engl. availability), d.h. die Informationen stehen im Rahmen von eigenen oder gesetzlichen Vorgaben zur Verfügung, bei den eingesetzten Systemen zu gewährleisten. Neben diesen drei maßgeblich zu schützenden Grundwerten der Informationssicherheit (auch Datensicherheit) werden - je nach Sinnhaftigkeit des jeweiligen Anwendungsbereichs - die Schutzziele dezidierter betrachtet und um bspw. die Folgenden ergänzt^[17]:

- Abrechenbarkeit (engl. accountability)
- Anonymisierung (engl. anonymity)
- Authentizität (engl. authenticity)
- Verbindlichkeit (engl. non repudiation)

Auf diese Weise können schutzbedürftige Werte einer Unternehmung individuell herausgestellt und als zusätzliche Schutzziele konkret in die Sicherheitsbetrachtung mit aufgenommen werden. So ist es aus Sicht des FDL durchaus sinnvoll, die Verbindlichkeit genauer zu betrachten, um z.B. sicherzustellen, dass das Risiko der Verleugnung einer getätigten Online-Überweisung ausreichend abgesichert wird. Ebenso trifft dieses auf die Authentizität zu, wobei beispielsweise beim Telefon-Banking die Echtheit der Kommunikationspartner zu gewährleisten ist (i.S.v. Spricht der Kunde tatsächlich mit dem Sprach-Computer der Bank und umgekehrt?).

2.1.2 Bedrohungen und Gefährdungen

In der IT-Sicherheit sind Bedrohungen (engl. threats) Ereignisse oder Umstände, welche die oben genannten Schutzziele bzw. Grundwerte bedrohen. Eine tatsächliche Gefährdung für das Unternehmen ergibt sich erst dann, wenn die Bedrohungen auf vorhandene Schwachstellen (engl. weakness) der Unternehmens-IT, was sowohl den technischen als auch den organisatorischen Blickwinkel betrifft, treffen bzw. diese ausnutzen, wodurch konkrete Risiken (vgl. 2.1.4) hinsichtlich möglicher Schäden entstehen. Das Spektrum der Gefährdungen ist breit und lässt sich, wie in der folgenden Übersicht dargestellt, global in Angriffe und Störungen unterteilen.

Abbildung in dieser Leseprobe nicht enthalten Security Safety

Abbildung 2.2: Kategorien der Gefährdungen^[18]

Wobei in der IT-Sicherheit grundsätzlich Angriffe durch den bereits erwähnten Aspekt der Security und Störungen durch den der Safety abdeckt werden.

Unter Angriffe fallen alle Gefährdungen, die auf ein vorsätzliches Handeln zurückzuführen sind, wobei zwischen aktiven und passiven Angriffen unterschieden werden kann. „Passive Angriffe betreffen die unautorisierte Informationsgewinnung und zielen auf den Verlust der Vertraulichkeit ab. Aktive Angriffe betreffen die unautorisierte Modifikation von Datenobjekten und richten sich somit gegen die Datenintegrität oder Verfügbarkeit eines IT-Systems“.^[19]

Gefährdungen hingegen, die unbeabsichtigt, ohne bewusstes Dazutun oder aufgrund einer Verkettung unglücklicher Ereignisse entstehen, sind unter Störungen zusammengefasst. Störungen resultieren in erster Linie aus höherer Gewalt oder Fahrlässigkeit, können aber auch Folge eines Angriffs sein, wie z.B. bei einem DoS-Angriff, der auf das Herbeiführen eines System-/ Anwendungsabsturzes abzielt oder z.B. ein Wurm-Angriff der eine Manipulation der Firmware respektive Sensoren bewirkt, die einen Hardwareschaden hervorrufen kann.

2.1.3 Angriffe und Angreifer

Angreifer unterscheiden sich in ihrer Qualifikation, Motivation und den eingesetzten Mitteln erheblich. Die Angreiferklasse mit den wohl meisten Anhängern stellen hierbei die sog. Skriptkiddies (abgeleitet von Skript und Kid) dar, die ein Gruppe bestehend aus jugendlichen Angreifern bezeichnet. Diese greifen auf vorgefertigte, automatisierte Angriffswerkzeuge (sog. Exploits oder Rootkits)^[20] zurück und können so ohne tiefreichendes Grundwissen Angriffe durchführen. Bezeichnend für die Angreiferklasse der Hacker sind sehr versierte Angreifer, denen es durch individuell entwickelte Angriffsmethoden gelingt, auch in gesicherte Rechnernetze einzudringen. Diese und weitere Angreiferklassen und deren jeweils markanteste Eigenschaften nach Motivation, Know-how und zur Verfügung stehender Ressourcen zugeordnet, sind in der folgenden Tabelle aufgeführt.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2.1: Angreifer-Klassifikation

Der Begriff Cracker wird von den Medien kaum verwendet und stattdessen mit dem Hacker unter einen Hut gesteckt. Zur ausreichenden Differenzierung ist daher zu- sätzlich zu erwähnen, dass sich Hacker und Cracker zwar insbesondere hinsichtlich ihrer Qualifikation ähneln bzw. ebenwürdig sind, aber Cracker meist beide Seiten kennen bzw. alle Schattierungen durchlaufen haben^[23]. Zwischen diesen beiden Gruppen ist demnach ein wichtiger Unterschied herauszustellen. Der Hacker gilt gemeinhin als ethisch^[24] handelnde Person, die sich selbst auch mit gemeinnützigen Beiträgen wie z.B. dem Aufdecken von Sicherheitslücken und anschließender Veröffentlichung identifiziert, mit dem Ziel, die Verantwortlichen dazu zu bewegen, diese zu schließen. Der Cracker hingegen gilt als unmoralisch, handelt eigennützig, profitorientiert und bietet hierzu seine Dienste auch (kriminellen) Dritten an.

Ein nicht unbeträchtliches Schadensrisiko geht ebenso von der Gruppe der Mitarbeiter aus. Laut einer Umfrage^[25] finden zwar mit 58% die meisten Angriffe von extern (d.h. unautorisiert von außerhalb des Firmennetzwerks bzw. vor der demilitarisierten Zone (DMZ) aus statt, jedoch sind die internen Angriffe (d.h. mit autorisiertem Zugang oder Zugriff auf das Firmennetzwerk bzw. die Unternehmens-IT) mit 21% die kostspieligeren für das Unternehmen. Die restlichen 21% sind Angriffe, deren Ursprung unbekannt ist. Dabei setzen Mitarbeiter zunehmend (22% in 2011 im Verhältnis zu 9% in 2010) Angriffswerkzeuge wie z.B. Rootkits ein, die immer einfacher zu beschaffen sind, was die Angriffe von innen heraus gefährlicher macht.^[26] Angriffe von Mitarbeitern sind zudem schwieriger zu erkennen, da für gewöhnlich die eingesetzten Sicherheitsmaßnahmen/ -mechanismen, wie z.B. Firewalls oder IDS, erstrangig auf den Angriff von extern ausgelegt werden. Darüber hinaus haben Mitarbeiter - im Gegensatz zu externen Angreifern - den Vorteil über Insiderwissen zu verfügen, was einen zielgerichteten Angriff mit weniger hinterlassenen Spuren erlaubt. Ein sehr ernstes Problem aus Mitarbeiter-Angriffen ergibt sich für die Unternehmen (insbesondere FDL) durch die unberechtigte Weitergabe von (geheimen) Informationen bzw. dem Datendiebstahl^[27] sowie dem Betrug in Verbindung mit Computermissbrauch. Auf die Weise von Letzterem werden Gelder veruntreut, elektronisch verarbeitete Urkunden oder Abrechnungen gefälscht und Richtlinien und deren computergestützte Geschäftsprozesse ausgetrickst^[28], um sich selbst oder (bekannten) Dritten Vorteile zu verschaffen.

Aus Sicht der FDL stellt die Gruppe der Kriminellen ein besonders hohes Schadensrisiko dar, denn es sind insbesondere die Banken und ihre Kunden, die im Fokus dieser Angreiferklasse liegen. Hauptsächlich sind es sog. Skimming-Angriffe - der Betrug mittels rechtswidrig erlangter Kredit- oder Bankkartendaten mit PIN - und sog. Phishing-Angriffe - der Betrug mittels ausgespähten Zugangsberechtigungsdaten (engl. credentials) für Kommunikationsdienste wie z.B. dem Online Banking der Bank - die von dieser Gruppe praktiziert werden. Angreifer dieser Art sind international aktiv und gleichen mit ihrem Organisationsgrad und -aufbau multinational agierenden Unternehmen. Sie haben eine Spitze, die alles koordiniert, Bereiche, die Entwicklungs-, Design- und Abwicklungsaufgaben, wie z.B. die Geldwäsche und das damit verbundene Anwerben von sog. Finanzagenten (engl. money mules) nachgehen und hiervon entsprechende Pendants in unterschiedlichen Ländern. Die Beteiligten solcher Cybercrime-Ringe, von denen die wenigsten einen Überblick über die gesamte Organisation haben, kommunizieren untereinander mit Pseudonymen und größtenteils über gesicherte Verbindungen, was ein entsprechendes Aufdecken bzw. Bekämpfen dieser Gruppe und deren Aktivitäten erschwert. Dabei stehlen einzelne Ringe bis zu 72 Mio. US-Dollar von Bankkonten in über 10 Ländern durch den Einsatz von Malware (engl. für Schadprogramm).^[29]

Neben der Vielfalt der Angreifer sind es diverse Angriffs-Arten mit denen sich Unternehmen auseinandersetzen müssen. Wie dem folgenden Ausschnitt einer Studie jedoch zu entnehmen ist, ist die Unternehmens-IT in den meisten Fällen Angriffen in Verbindung mit eingesetzter Malware ausgesetzt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.3: Unternehmenserfahrungen mit Angriffen auf die IT^[30]

Selbstverständlich ist – aufgrund befürchteter Reputationsschäden des IT-Sicherheits-Verantwortlichen sowie unter Umständen ohne Kenntnis des Unternehmens stattgefundener Angriffe – dem Ergebnis solcher Befragungen zu unterstellen, dass nicht alle Angriffe benannt wurden. Dennoch zeichnet sich bei Angriffen deutlich die Erfahrung mit Malware ab. Die FDL sehen sich bzw. ihre Kunden ebenfalls in Form von Phishing-Angriffen mit Malware konfrontiert, wobei Skimming-Angriffe für Institute die weitaus größere Bedrohung darstellen.^[31] Besonders erwähnenswert bei beiden Angriffsarten ist, dass lediglich jeder 4. Fall durch die Bank erkannt wird und beim Rest vom betroffenen Kunden darauf aufmerksam gemacht wird.^[32] Was im Umkehrschluss bedeutet, dass in den meisten Fällen erst spät, nämlich wenn der Schaden bereits eingetreten und der Angriff vollzogen ist, Kenntnis erlangt wird und so keine Möglichkeit mehr zur Eingrenzung oder zum Vereiteln besteht. Dieser Missstand lässt sich bei derartiger Angriffs-Konstellation hauptsächlich auf die Schwierigkeit die Schwachstellen bei den eingesetzten Endgeräten ausreichend abzusichern (engl. Endpoint-Security)^[33] zurückführen. So ist es aus Bankperspektive bspw. nahezu unmöglich, weder den vom Kunden für das Online Banking eingesetzten PC noch den Kunden selbst – dem sog. Social Engineering^[34] – vor Manipulationen zu schützen. Das Ergreifen entsprechender Schutzmaßnahmen, wie z.B. der Einsatz von Firewalls oder Antivirusprogrammen auf dem heimischen PC, obliegt (bisher)^[35] allein dem Kunden.^[36]

2.1.4 Risiken und Schwachstellen

Wie bereits erwähnt ergeben sich in der IT-Sicherheit (Schadens-)Risiken für die Unternehmenswerte aus konkreten Gefährdungen, die wiederum entstehen, wenn Bedrohungen auf vorhandene Schwachstellen oder Verwundbarkeiten (engl. vulnerability) treffen und diese ausnutzen (vgl. 2.5 Attack-Trees Methode). Ein Risiko ist demnach ein potenzieller Schaden, der noch nicht eingetreten ist.

Die Identifikation mit anschließender Quantifizierung dieser Risiken – in Form der Risikoanalyse – ist maßgeblich für die Entscheidung über den Umgang mit den der Risiken zugrundeliegenden Bedrohungen bzw. potenziell eintretenden, schädigenden Ereignissen. Den IT-Sicherheits-Verantwortlichen sowie dem Management dient die Risikoanalyse somit als Hilfe, darüber zu entscheiden, auf welche Weise (i.S.v. Vermeidung, Reduktion, Eliminierung, Transfer oder Akzeptanz)^[37] man Risiken entgegnet und in welchem Umfang Sicherheitsmaßnahmen ergriffen werden. Darüber hinaus bietet sie eine Grundlage für die Freigabe der etwaigen damit verbundenen Investitionen bzw. einer entsprechenden Kosten-Nutzen-Analyse.

Generell liefert die Risikoanalyse hierzu, auch wenn es eine große Auswahl an unterschiedlichen, verfeinernden Methoden wie z.B. Trike, DREAD oder OCTAVE gibt,^[38] einen qualitativen oder quantitativen^[39] Vergleichswert. Die dabei wohl gängigste Vorgehensweise und der Ausgangspunkt vieler Methoden, ist das Risiko als Produkt von Eintrittswahrscheinlichkeit und Schadenshöhe zu berechnen.^[40]

Die Wahrscheinlichkeit bzw. Häufigkeit eines Ereigniseintritts (P) wird multipliziert mit der Summe aus direkten und Folgeschäden (S) und ergibt so im Produkt das Risiko (R). Wenn am Beispiel des Skimming-Angriffs einer Bank der mögliche Schaden pro Ereignis 1.000 Euro beträgt und die Wahrscheinlichkeit, dass dieses Ereignis eintritt, mit 13 mal täglich gegeben ist, ergibt sich ein jährliches Risiko von 4,68 Mio. Euro p.a..

Um die Gleichung mit Werten zur Eintrittswahrscheinlichkeit und Schadenshöhe zu füllen, wird in der Praxis auf Erfahrungswerte von Experten, aus bereits stattgefundenen Schäden oder Veröffentlichungen sowie aus bestehenden Schadensfalldatenbanken zurückgegriffen. Dabei ist es insbesondere bei der Eintrittswahrscheinlichkeit wichtig, die für das zu ermittelnde Risiko zugrundeliegende Schwachstelle zu kennen.

Der allgemeinbekannte Satz: „Eine Kette ist nur so stark wie ihr schwächstes Glied“, trifft auch auf die IT-Sicherheit und insbesondere auf die Schwachstellen zu. Deutlich wird diese dann, wenn man sich die bereits bei gewöhnlichen Unternehmen eingesetzten zahlreichen Systeme und Subsysteme in der IT vor Augen führt und erst recht, wenn man berücksichtigt, dass die Kette beim Benutzer beginnt.^[41] Schwachstellen, die den Ausgangspunkt der Risiken ausmachen, sind allgegenwärtig und resultieren aus^[42]:

- Programmierfehlern, die z.B. zulassen, dass Pufferüberläufe (engl. buffer overflows)^[43] durch Viren im E-Mail Attachement ausgenutzt werden,
- mangelhaftem Netzwerkdesign, wie z.B. keine Durchführung des doppelten Reverse Lookups bei DNS-Servern, was ein DNS-Spoofing^[44] erlaubt,
- Konfigurationsfehlern bei Hard- und Software, die z.B. dazu führen, dass Passwörter, obwohl sie eigentlich verschlüsselt sein sollten, im Klartext übertragen werden oder von vornherein zu einfach erraten werden können,
- Konzeptionsfehlern in Programmiersprachen, die z.B. Programmen den Zugriff auf Systemressourcen erlauben, obwohl sie diese nicht benötigen sowie
- menschlichem Fehlverhalten und Unachtsamkeit, z.B. beim bereits erwähnten Social Engineering, wenn ein Benutzer aufgrund einer Phishing-Mail seine PIN und TAN in falsche Hände gibt oder seine Zugangsdaten auf einem Zettel unter der Tastatur aufbewahrt.

Die Anzahl der aufkommenden und zu beachtenden Schwachstellen hängt verständlicherweise hauptsächlich davon ab, in welchem Umfang IT-Systeme betrieben werden. Bezogen auf die FDL ergeben sich aufgrund der bereits in der Einleitung erwähnten Komplexität und Dimension der eingesetzten IT mit zahlreichen verteilten Systemen entsprechend viele zu berücksichtigende Schwachstellen bzw. Angriffspunkte. Einen Überblick über die IT-Infrastruktur bei FDL gibt der folgende Abschnitt.

2.2 Informationstechnologie bei FDL

Finanzdienstleistungshäuser betreiben, angefangen mit den Geldausgabesystemen, über das Online Banking, bis hin zu Zahlungsverkehrsabwicklungssystemen, eine beachtliche Bandbreite sicherheitskritischer IT-Systeme.^[45] Charakteristisch für eine dementsprechend komplexe IT-Infrastruktur ist die Vielfalt betrieblicher Anwendungen, ein hoher Grad an Vernetzung und Automatisierung sowie umfangreiche verteilte Systeme als auch ein starker regulatorischer Einfluss auf die gesamte IT.

2.2.1 Betriebliche Anwendungen

Die Aufgaben und damit verbundenen Anwendungen bei einem FDL decken ein breites Spektrum ab und lassen sich, wie in der folgenden Abbildung dargestellt, klassisch in die Bereiche Vertrieb, Marktfolge und Abwicklung unterteilen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.4: Übersicht betrieblicher Anwendungen eines Finanzdienstleisters^[46]

Unter den Bereich Vertrieb fallen sämtliche Anwendungen, die sog. Front-Ends^[47] für Kunden und Mitarbeiter bereitstellen. Diese unterstützen sowohl den stationären Vertrieb, wie z.B. den Filialmitarbeiter, der den Kunden im Nachgang zu einer Schalterzeinzahlung zu einem Produktabschluss berät, als auch rein digitale Kanäle, bei dem der Kunde z.B. von zu Hause aus über das Homebanking eine Onlineüberweisung beauftragen kann.

Im Bereich der sich anschließenden Marktfolge sind es Anwendungen, die für die Nachbearbeitungen und das Kontenmanagement eingesetzt werden. Anwendungen dieses Bereiches werden auch als Kernanwendung oder kontoführendes System bezeichnet. Zu den hier aufgeführten Anwendungen zählt die für jedes Produkt hinterlegte Businesslogik, die z.B. für einen Kontokorrentkredit am Girokonto entsprechende Funktionen für die Limitsteuerung und deren Zins-/Entgeltabrechnung mit anschließender Verbuchung durchführt.

Der Bereich Abwicklung beinhaltet Anwendungen, die zur Durchführung von Clearing- und Settlement-Aufgaben, wie z.B. das Versenden bzw. Entgegennehmen und Abwickeln von bankübergreifenden Zahlungsauftragsnachrichten über das SWIFT-Netz^[48] mit anschließender Weitergabe an das kontoführende System zur korrekten Buchung am Konto, erforderlich sind und Informationen zu deren Verarbeitung liefern. Wie das Beispiel zeigt, fallen unter diesen Bereich auch entsprechende externe Schnittstellen zur (Massen-)Abwicklung von z.B. Wertpapier- und Zahlungsverkehrstransaktionen.

Den aus den drei Bereichen stammenden operativen Anwendungen sind strategische Querschnittsfunktionen übergeordnet, die es ermöglichen, steuernde Funktionen wahrzunehmen. Zu den originären Aufgaben des FDL zählt hierbei das Aktiv-Passiv-Management^[49], das drauf angewiesen ist, dass sämtliche stattgefundene Geldmittelzuflüsse (z.B. aus Spareinlagenbuchungen der Kunden) und -abflüsse (z.B. aus Finanzierungsauszahlungen) zeitnah als Information vorliegen. Dies setzt eine entsprechendes (vertikales) Interagieren zwischen den Anwendungen, die in der Regel auf verteilten Systemen abgebildet sind (vgl. 2.2.2 Vernetzung und verteilte Systeme), voraus. Das Erfordernis, dass Anwendungen bzw. Systeme miteinander in Interaktion treten, ergibt sich ebenso bereichsübergreifend auf der (horizontalen) Ebene der operativen Anwendungen, was anhand des Ablaufs der oben aufgeführten Beispiele ([Front-End-System]: Eingabe einer Onlineüberweisung -> [Kontoführendes System]: Disposition und Buchung am Konto <-> [Abwicklungs-System]: Clearing des Zahlungsauftrags), deutlich wird.

2.2.2 Vernetzung und verteilte Systeme

Typisch für die IT-Infrastruktur bei Finanzdienstleistungshäusern und damit die Komplexität maßgeblich beeinflussend, sind ein hoher Grad an Vernetzung sowie umfangreiche verteilte Systeme. So ist es insbesondere für die Ausführung der operativen Aufgaben erforderlich, dass der Datenaustausch zwischen den Rechnern der Mitarbeiter untereinander als auch mit dem Rechnerverbund von Kernanwendungen bzw. -systemen möglich ist. Die Vernetzung ist dabei auf keine lokale Lösung (LAN) begrenzt, sondern erstreckt sich ebenso über dezentrale Standorte (WAN), um alle relevanten Unternehmensteile einzubeziehen, was je nach Geschäftsausprägung über Ländergrenzen hinweg erfolgen kann, wie die unten abgebildete IT-Architektur der Raiffeisen Zentralbank beispielhaft veranschaulicht.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.5: IT-Architektur der RZB^[50]

Neben diesem internen Datenfluss im sog. Intranet ist es für ein marktgerechtes Angebot unerlässlich seinen Kunden bzw. Geschäftspartnern von außerhalb einen kontrollierten Zugriff zur komfortablen Abwicklung von Finanzge­schäften, z.B. zur Durchführung einer Onlineüberweisung, anzubieten. Für diesen Informationsaustausch im Internet oder Extranet betreiben Finanzinstitute diverse Zugänge, damit eine bedarfsorientierte Vernetzung – auf Basis der Kommuni­kationswege über Fest- als auch Funknetz - von externen mit internen Rechnern erfolgen kann.

[...]

^[1] vgl. [01] ZEIT ONLINE, dpa, Reuters, 2010

^[2] vgl. [02] Ponemon Institute LLC, 2010, S. 3 und 7

^[3] die Deutsche Bank betreibt ca. 21.000 im Vergleich zu ca. 30.000 Servern, die von Facebook betrieben werden, vgl. [03] IBM Deutschland GmbH, 2011 und [04] intac, 2010

^[4] bis zu 15 Mio. security events pro Tag bei der Commerzbank zu managen, vgl. [05] ArcSight Inc., 2010

^[5] i.D. wird ein SES (Security Effectiveness Score) von 0,61 mit Einsatz eines SIEMs zu ohne von 0,08 erreicht und eine Kostenreduktion von 24% erzielt, vgl. [02] Ponemon Institute LLC, 2010, S. 12

^[6] geprägt durch M. Nicolett und A. Williams im Jahr 2005 vgl. [06] Williams, 2007

^[7] siehe http://www.massif-project.eu/

^[8] die eingesetzten Methoden werden immer raffinierter und die registrierten Fälle stiegen in 2010 um 33 Prozent, vgl. [07] BKA und BITKOM, 2010; [08] Symantec Corporation, 2011

^[9] Cyberattacke auf vertrauliche Daten des Internationalen Währungsfonds über die Finanzsituation verschiedener Länder, vgl. [09] Frankfurter Allgemeine Zeitung GmbH, 2011; Hacker stehlen abermals sensible Nutzerdaten von Sony, vgl. [10] Frankfurter Allgemeine Zeitung GmbH, 2011

^[10] mehr als die Hälfte beabsichtigen die Ausgaben zur Verbesserung der IT-Sicherheit auf Vorjahresniveau zu halten und 42 Prozent planen sogar mehr zu investieren, vgl. [11] BSI, 2009

^[11] vgl. [12] Eckert, 2009, S. 4 ff.

^[12] die Anstrengung nach einer allgemeingültigen Abgrenzung beider Begriffe wird schon länger verfolgt und liefert bisher unterschiedliche Definitionen, vgl. u.a. [13] The Computer Journal - A. BURNS, J. McDERMID AND J. DOBSON, 1991; [14] Schneier, 1. Auflage 23. Januar 2004, S. 121 f.; [15] Freiling, 2010, die vorliegende Diplomarbeit lehnt sich an die Definition von [12] Eckert, 2009 an

^[13] vgl. [12] Eckert, 2009, S. 6; [16] Bundesamt für Sicherheit in der Informationstechnik, 2011

^[14] Quelle: [17] IDC Central Europe GmbH, Juli 2010

^[15] vgl. [18] FICO - Fair Isaac Corporation, 2011

^[16] vgl. u.a. [19] BSI, November 2009, S. 12 f.; [20] Miller, Harris, Harper, Vandyke, & Blask, 1. Auflage 1. November 2010, S. 9 ff.; [12] Eckert, 2009, S. 6 ff.

^[17] vgl. [19] BSI, November 2009, S. 49; [12] Eckert, 2009, S. 6 ff.

^[18] in Anlehnung an [21] Hoppe & Prieß, 2003, S. 33, [12] Eckert, 2009, S. 15 ff. zitiert nach BSI-Lehrbriefen der IT-Sicherheit

^[19] Zitat aus IT-Sicherheit: [12] Eckert, 2009, S. 17

^[20] Programme oder Befehlsfolgen, wobei Exploits auf Sicherheitslücken und Fehlfunktionen abzielen, um Systeme anzugreifen und Rootkits speziell zur Erlangung und Verschleierung der Kontrolle (Administratorrechte) über Systeme genutzt werden.

^[21] gelangweilte Kids greifen Kreditkartenfirmen mit DDoS-Attacken an, vgl. [22] ZEIT ONLINE, 2011; Distributed Denial of Service (DDoS) Attacken entsprechen einer verteilten Dienstblockade, d.h. der Angriff erfolgt von mehreren Rechnern aus auf ein Opfersystem (ggf. Verwendung von Bot-Netzen2).

^[22] infizierte bzw. präparierte (Heim-)PCs mit Netzwerkanbindung, die zentral gesteuert gezielt für verteilte Angriffe auf Opfersysteme genutzt werden und hierzu an Kriminelle vermietet werden, vgl. [08] Symantec Corporation, 2011

^[23] Mit gesetzlicher Würdigung der Computerkriminalität begann sich die Unterscheidung zwischen White-Hat-, Grey-Hat- und Black-Hat-Hackern, abhängig von der Gesetzestreue bei ihren Handlungen, zu etablieren. Es handelt sich hierbei um eine Ableitung auf Basis alter Western-Filme, wo Cowboys mit weißem Hut gute, grauem Hut zwischen Gut und Böse sowie schwarzem Hut böse Charakter repräsentierten. Cracker sind den Black-Hats zugeordnet. Grey-Hats sind Hacker, die illegale Handlungen durchführen, um dabei ein höheres Ziel zu verfolgen. White-Hats sind gesetzestreue Hacker. Vgl. [23] Cisco Networking Academy, 2006, S. 21 ff.

^[24] Hacker erlegen sich selber Werte auf, nach denen sie handeln, vgl. [24] Chaos Computer Club, 2011

^[25] 2011 CYBERSECURITY WATCH SURVEY vgl. [25] CSO magazine, U.S. Secret Service, Software Engineering Institute CERT Program at Carnegie Mellon University and Deloitte, 2011

^[26] vgl. [25] CSO magazine, U.S. Secret Service, Software Engineering Institute CERT Program at Carnegie Mellon University and Deloitte, 2011, [07] BKA und BITKOM, 2010

^[27] Einer Schweizer Bank mit etwa 50.000 Mitarbeitern weltweit werden 1.500 Datensätze mutmaßlicher Steuerhinterzieher entwendet und dem Fiskus durch einen unbekannten Informanten angeboten, vgl. [26] Süddeutsche Zeitung GmbH, 2010

^[28] z.B. werden Kennzahlen einer automatisierten Bonitätsanalyse modifiziert, um die Finanzierungsbewilligung durch das System zu manipulieren oder Negativmerkmale des Kunden aus der Datenbank gelöscht oder pseudo Baufinanzierungskunden im System erfasst, um eine Auszahlung zu erreichen.

^[29] In diesem Fall wurde der Wurm Conficker verwendet, vgl. [27] ISMG Corp., 2011

^[30] Quelle: [17] IDC Central Europe GmbH, Juli 2010

^[31] Top Bedrohung bei Banken: Skimming (83%), Phishing (40%) vgl. [18] FICO - Fair Isaac Corporation, 2011

^[32] 75% der Schäden bei Banken werden zuerst durch den Kunden erkannt, vgl. [18] FICO - Fair Isaac Corporation, 2011

^[33] Endpoint-Security befasst sich mit dem Schutz von Geräten am Kommunikationsendpunkt, was Endgeräte wie z.B. PCs, Smartphones, Geldautomaten und Point of Sale (POS) Terminals betrifft.

^[34] zwischenmenschliche (nicht zwingend persönlich stattfindende) Einflussnahme bzw. Manipulation, um an geheime Informationen oder Credentials zu gelangen, vgl. [12] Eckert, 2009, S. 61 f.

^[35] Trusted Computing könnte hier zur Situationsverbesserung genutzt werden, vgl. [28] BSI, 2011

^[36] FDL auferlegen ihren Kunden in Form der AGB Sorgfaltspflichten, wie die Verpflichtung: „…für sein eigenes Computersystem die notwendigen Sicherheitsvorkehrungen zu treffen und insbesondere sein Computersystem angemessen gegen den unbefugten Zugriff durch Dritte sowie gegen Computerviren zu schützen. Der Kunde trägt sämtliche Folgen, die sich aus der Preisgabe und der, auch missbräuchlichen, Verwendung seiner Legitimationsmerkmale…“, um sich schadlos zu halten, vgl. [29] VZ Depotbank AG, 2011

^[37] vgl. [23] Cisco Networking Academy, 2006, S. 12

^[38] vgl. [30] Larcom, Saitta, Eddington, & Smith, 2005, [31] Bryan Sullivan - Microsoft Security Development, 2011, [32] Carnegie Mellon University, 2011, [12] Eckert, 2009, S. 209 f.

^[39] Wobei die Quantitative Risikoanalyse vom Management oft pervertiert wird, in der Praxis jedoch kaum möglich ist, da trotz etwaig vorhandener Erfahrungswerte jedes Unternehmen sowie jede zugrundeliegende Bedrohungsanalyse auf eine individuelle Betrachtung hinausläuft.

^[40] vgl . [12] Eckert, 2009, S. 188, Ursprung dieser Methode im FIPS 65 des NIST vgl. [33] NIST, 1994

^[41] vgl. [12] Eckert, 2009, S. 38 f.

^[42] vgl. [34] BSI, 2011, [23] Cisco Networking Academy, 2006, S. 2 und 18 ff.

^[43] Beim Pufferüberlauf werden Sicherheitslücken in der Software ausgenutzt, die im Wesentlichen darauf beruhen, dass aufgrund Versäumnissen in der Programmierung, Dateneingaben keiner Restriktion nach Größe oder Typ unterliegen, sodass diese Datenmengen in einen dafür zu kleinen reservierten Speicherbereich, den Puffer, geschrieben wird und dadurch hinter dem Ziel-Speicherbereich liegende Speicherstellen, die als ausführbarer Code deklariert sind oder die Rücksprungadresse eines Unterprogramms enthalten, überschrieben werden.

^[44] Beim DNS-Spoofing handelt es sich um die Manipulation der Zuordnung zwischen einem Rechnernamen und der zugehörigen IP-Adresse, um so Kontrolle über den Datenverkehr zwischen zwei oder mehreren Kommunikationspartnern zu erlangen.

^[45] vgl. [35] Anderson, 2. Auflage 11. April 2008, S. 6 und 313ff.

^[46] in Anlehnung an [36] Gerber, 2011

^[47] Front-Ends wie u.a. Clientanwendungen, graphische Benutzeroberflächen und Internetservices.

^[48] Die Gesellschaft Society for Worldwide Interbank Financial Telecommunication (SWIFT) betreibt ein weltweites Telekommunikationsnetz für den Nachrichtenaustausch zwischen den Mitgliedern, primär Finanzinstituten.

^[49] Management der gesamten Bilanz- und Konditionenstruktur zur Gestaltung optimaler Aktiv- und Passivpositionen i.S.v. Unternehmenszielsetzung und unter Beachtung gesetzlicher Vorschriften, vgl. [37] Krumnow, Gramlich, Lange, Dewner, & (Hrsg.), 2002, S. 31 und 1270 f.

^[50] die RZB ist in 17 Märkten aktiv, Quelle: [38] Oracle - Open World Conference, 2008