Banken sind für ihre starken Sicherheitsanstrengungen und ihren überdurchschnittlichen Schutz vor Hackerangriffen bekannt. Wie bereits bei der Einführung der Hackability-Metrik erläutert, gehören Banken laut SRLabs Hackability Score zu den drei Branchen mit dem höchsten Schutzniveau.
Bankensicherheit könnte durch Evolution oder durch Compliance getrieben sein
Der Sicherheitsvorteil der Banken hat zwei mögliche Ursachen:
- Entweder stehen die Banken unter erhöhtem Druck durch Hacker und haben daher mehr Anlass und Gelegenheit, aus Hacking-Versuchen zu lernen (Sicherheitsevolution)
- Oder die Banken werden von ihren Aufsichtsbehörden zusätzlich kontrolliert, die Sicherheitsmaßnahmen durchsetzen, die die Sicherheitsevolution auf natürliche Weise nicht herbeiführen würde (Einhaltung der Sicherheitsvorschriften).
Der Unterschied zwischen diesen beiden Triebkräften ist in den Teilergebnissen des SRLabs Hackability Score messbar:
- Einerseits würde die Sicherheitsevolution zu einem höheren allgemeinen Sicherheitsniveau führen, da Hacker hervorragend darin sind, Schwachstellen aufzudecken.
- Die Bankenregulierung hingegen würde sich auf bestimmte Bereiche konzentrieren und die Aufmerksamkeit von anderen Bereichen abziehen, was zu einer ungleichen Verteilung der Hackability-Sub-Scores führen würde.
Wir finden diese Ungleichmäßigkeit in unserer Messung, was bestätigt, dass die Einhaltung der Bankenregulierung eine Triebfeder für den Sicherheitsvorteil der Banken ist:
Die Hackability von Banken entsteht meist durch fehlende Patches.
Regulierung hat messbare Auswirkungen worauf Aufmerksamkeit gelenkt wird
Banken schneiden beim Härten ihrer internetexponierten Assets besser ab als andere Branchen. Die Härtung von Assets lässt sich durch Checklisten und eine Top-Down-Compliance erreichen.
Hervorragende Sicherheitsvorkehrungen, einschließlich Patching, sind durch Checklisten und Compliance schwieriger zu erreichen, so dass die Regulierung weniger Einfluss auf schlechte Sicherheitsvorkehrungen hat. Erwartungsgemäß mangelt es im Bankwesen, das im Vergleich zu anderen Branchen stärker reguliert ist, überproportional an Patches.
In absoluten Zahlen haben die Banken im Vergleich zu anderen Branchen weniger Probleme. Allerdings investieren die Banken auch deutlich mehr in die Informationssicherheit als andere Branchen. Die sich daraus ergebende Lücke zwischen der Sicherheit von Banken und Nicht-Banken ist kleiner, als die Unterschiede im Sicherheitsbudget vermuten lassen würden.
Es könnte viele zusätzliche Faktoren geben, die zu der unerwartet hohen Hackability von Banken beitragen, aber der Trend ist klar: Während der Schutz der Banken im Durchschnitt besser ist, werden Aufgaben bezgl. der Sicherheitswartung wie beispielsweise das Patching eher vernachlässigt. Wir glauben, dass die Regulierung teilweise für diese Aufmerksamkeitsverzerrung verantwortlich ist.
Die Regulierung des Bankwesens hat einen messbaren Effekt, aber nicht unbedingt einen positiven: Die Banken scheinen ihre großen Sicherheitsbudgets für umfassende Härtungsmaßnahmen auszugeben. Abgesehen von diesem Kernthema, der Einhaltung von Sicherheitsvorschriften, weisen die Banken ein überraschend durchschnittliches Sicherheitsniveau auf. So sind die Leistungen der Banken in Bezug auf die Verwaltung von Anmeldeinformationen und Authentifizierung sowie die Begrenzung der Schnittstellen zum Internet wenig überzeugend. Diese schwächeren Glieder der Schutzkette bestimmen das allgemeine Sicherheitsniveau.
Unsere Forschungsdaten deuten darauf hin, dass die Bemühungen der Banken zur Verringerung der Hackability effektiver wären, wenn sie ihre großen Sicherheitsbudgets ähnlich wie in anderen Branchen einsetzen würden, die in der Regel die Sicherheitsevolution über die Einhaltung von Sicherheitsvorschriften stellen.