Fintechs im Fokus: Mit Cloud-Technik gegen Datenklau?

Analoge Finanzdienstleister waren gestern: Die Zukunft gehört den Fintechs! Bezahldienste wie Paypal oder Finanz-Startups wie N26 sind schon lange keine Exoten mehr und gehören für Millionen Deutsche zum Alltag.

Allerdings werden diese Dienste durch ihre hohe Verbreitung auch für Cyberkriminelle immer interessanter: Laut einer Kaspersky-Studie nehmen sich Hacker 2020 verstärkt Fintechs als Ziele vor.

Bereits jetzt müssen Fintech-Anbieter strengste Compliance-Anforderungen erfüllen, da sie im Rahmen ihrer Dienstleistungen personenbezogene Daten sowie schützenswerte Finanzdaten speichern, übertragen und verarbeiten. Verstöße gegen diese Anforderungen werden entsprechend teuer: Erst im Mai 2019 hat die Berliner Datenschutzbehörde ein Bußgeld von 50.000 Euro gegen eine deutsche App-Bank verhängt.

Social Engineering: Schwachstelle Mensch?

Müssen sich Fintech-Anbieter in diesem Jahr also noch stärker absichern als bisher? Die Experten von Kaspersky raten Anbietern dazu, sich vor allem auf Cloud-Infrastrukturen zu konzentrieren und warnen explizit vor Social Engineering.

Dr. Hubert Jäger, CTO der TÜV SÜD-Tochter uniscon, erklärt: „Beim Social Engineering manipulieren Cyberkriminelle ihre Opfer und versuchen, auf diese Weise an vertrauliche Informationen zu gelangen“. So erbeuten die Angreifer beispielsweise Zugangsdaten von Fintech-Mitarbeitern. Mit diesen können sich Hacker Zugriff zu den Systemen des Unternehmens verschaffen und dort beispielsweise vertrauliche Kundendaten einsehen, manipulieren oder entwenden.

Besonders kritisch ist das in Verbindung mit privilegierten Nutzerkonten, wie sie in vielen Rechenzentren für administrative Aufgaben vorgesehen sind. Diese Konten verfügen häufig über uneingeschränkte Zugriffsrechte. „Selbst, wenn die Daten verschlüsselt übertragen und gespeichert werden, müssen sie zur Verarbeitung unverschlüsselt auf den Unternehmensservern vorliegen“, betont Jäger. In diesem Zustand sind die sensiblen Daten den Cyberkriminellen beinahe schutzlos ausgeliefert.

Cloud oder Rechenzentrum?

Es spielt keine große Rolle, ob Fintech-Anbieter Kundendaten im eigenen Rechenzentrum verarbeiten oder auf externe Cloud-Infrastrukturen zurückgreifen: Die meisten Server-Architekturen sehen privilegierte Administrator-Zugriffe vor, die von Angreifern potenziell missbraucht werden können. Und vor den Methoden der Cyberkriminellen sind weder die Mitarbeiter der Cloud-Dienstleister noch die eigenen Mitarbeiter gefeit. Jäger: „Solange die Schwachstelle Mensch existiert, werden Hacker versuchen, sie auszunutzen.“

Datensicherheit durch Cloud-Technik?

Wie also können Fintechs sich und die Daten ihrer Kunden vor Manipulationen und unerwünschten Zugriffen schützen? „Die Art der Infrastruktur macht den Unterschied“, sagt Jäger. Betreibersichere Infrastrukturen wie uniscons Sealed Cloud setzen zum Beispiel auf einen Satz aus rein technischen Maßnahmen, um Daten zuverlässig gegen unerwünschte Zugriffe zu schützen. Privilegierte Zugänge sind nicht vorgesehen und lassen sich daher auch nicht ausnutzen.

Eine IT-Infrastruktur ohne die „Schwachstelle Mensch“ also? „Genau das“, sagt Jäger. „Bei der Entwicklung dieser Basistechnologie haben wir strengste Datenschutzgrundsätze von Anfang an berücksichtigt. Durch den Verzicht auf organisatorische Maßnahmen und privilegierte Zugriffsrechte erreichen versiegelte Infrastrukturen ein Sicherheitsniveau, das den meisten Business-Cloud-Angeboten deutlich überlegen ist.“

Dank dieses „Privacy by Design“-Ansatzes erleichtern versiegelte Infrastrukturen das Einhalten von gesetzlichen Richtlinien und verhindern zuverlässig jeden unbefugten Datenzugriff. Die Fintech-Anbieter können sich so auf ihr Basisgeschäft konzentrieren und neue Dienste und Services entwickeln, die den Menschen das Leben erleichtern – ohne sich Gedanken um Hacker oder Social Engineering machen zu müssen.

Mehr Informationen darüber, wie manipulationssichere Cloud-Infrastrukturen Unternehmen bei der Einhaltung von Compliance-Vorschriften unterstützten, finden Sie im privacyblog der uniscon.