Was passieren kann, wenn die „Three Lines of Defence“ versagen, zeigt ein aktuelles Beispiel: Die englische Tesco Bank wurde Anfang Oktober von der Finanzaufsichtsbehörde „Financial Conduct Authority“ aufgefordert eine Strafe von GBP 16,4 Mio. zu bezahlen und bei einem Fachkongress über die Hintergründe der Strafe zu referieren.
Was hat dazu geführt?
Die Alarmglocken schrillten bereits Anfang November. Eine Gruppe krimineller Hacker hatte begonnen in den Systemen der Tesco Bank neue Kreditkarten („Debit Cards“) für bestehende Kunden anzulegen. Diese existierten nur virtuell und wurden in Brasilien umgehend mit Transaktionen belastet. Die Alarmglocken schrillten jedoch nicht bei der Tesco Bank, sondern in Form von SMS-Warnungen an die betroffenen Kunden:
„This is a message from Tesco Bank Fraud Department. It’s important we speak with you regarding your account. Please call us on 0345 366 1281“
Die darauffolgende telefonische Flutwelle der besorgten Kunden beim Callcenter der Tesco Bank verwirrte die Mitarbeiter, denn die Betrugsspezialisten waren am Wochenende nicht im Haus und Rufbereitschaft war nicht vorgesehen. Es wurden zwar SMS an mehr als 8.000 Kunden versandt, aber niemand bei der Tesco Bank überwachte (oder bemerkte) den SMS-Massenversand. Zudem wurde nicht rechtzeitig erkannt, dass die Transaktionen aus Brasilien als kontaktlose Magnetstreifen-Transaktion („Pos91“ im Industriejargon) durchgeführt wurden, was bei den Tesco Bank „Debit Cards“ niemals hätte funktionieren dürfen und wovor bereits von Industriepartnern gewarnt worden war. Dazu kam ein interner Softwarefehler bei der Erstellung der Nummern: Die PAN-Nummer der nächsten „Debit Card“ in Folge wurde einfach sequentiell erhöht, was von den Angreifern durch Enumerieren leicht ausgenutzt werden konnte. Der Hackerangriff auf die Tesco Bank wurde nicht rechtzeitig erkannt. Oder, in den Worten der Aufsichtsbehörde:
„The Cyber Attack was forseeable“ – FCA Final Notice 186022
Die Angreifer hatten genügend Zeit die Buchungen mit den neu erstellten „Debit Cards“ durchzuführen. In Summe wurden der Tresco Bank binnen 48 Stunden mehr als zwei Mio. britische Pfund über Kundenkonten entwendet. Die Bank musste die Kunden für den Schaden, Überziehungsspesen, Gebühren und Kosten aufgrund von automatischen Kontosperren entschädigen. Die englische Finanzaufsichtsbehörde „Financial Conduct Authority“ hat in ihrem Prüfbericht mehrere Gründe für den „Erfolg“ des Angriffs darlegt:
1. Die Betrugsspezialisten wurden per E-Mail, anstatt wie üblich per Telefon informiert, was zu Verzögerungen führte.
2. Die Magnetstreifen-Transaktion („Pos91“) hätten nicht funktionieren dürfen. Das Problem wurde von Spezialisten zwar frühzeitig erkannt und im System eine Sperre hinterlegt, dabei wurde jedoch für Brasilien irrtümlich „EUR“ als Währung eingegeben, wodurch diese Regel ineffektiv wurde.
3. Das interne Betrugserkennungssystem entdeckte nicht, dass neue Karten für Kunden angelegt worden waren, sondern bewertete dies einfach als Austausch für bestehende Kunden.
Die Prüfer stellen in ihrem Bericht daher ein Versagen der „Three Lines of Defense“ bei der Tesco Bank fest – nämlich „First Line Business Management“, „Second Line Operational Risk“ und „Third Line Internal Audit“:
- Konkret hatte „Internal Audit“ bereits im Rahmen der Markteinführung vor „eCrime“ bei den Tesco Bank „Debit Cards“ gewarnt und Konzepte zur Risikobehandlung gefordert.
- Auch gab es keine fertige Richtlinie für eine Informationsbeschaffung von Cyberrisiken, obwohl diese bei Banken und Kreditkartenanbietern mittlerweile Standard sind.
- MasterCard und Visa warnten ihre Geschäftspartner in E-Mails vor betrügerischen „PoS 91“ Transaktionen in Brasilien und USA. Die Tesco Bank implementierte zwar die betreffende Regel für „Credit Cards“ aber nicht für die eigenen „Debit Cards“. Laut Prüfbericht konnten sich betroffenen Mitarbeiter der Tesco Bank nicht mehr an diese E-Mails erinnern.
Die hier beschriebene Verkettung von Umständen kann jedem Unternehmen passieren. Wir helfen Ihnen dies zu verhindern.
Unsere Spezialisten in den Bereichen Business Continuity & Resilience und Cyber Security beobachten systemische Risiken bei sensiblen Systemen, zeigen mittels Diagramme & Referenzen verständlich Lücken auf und beraten Sie, wie diese zu beheben sind.
Zudem sind wir auf Auditierungen und Implementierung von internen Kontrollsystemen spezialisiert bzw. erstellen für Sie Konzepte zur Umsetzung von einem Risiko-Framework bzw. Umsetzung von Governance/Risk/Compliance-Management-Systemen.
Ansprechpartner:
Ewald Kager
+43 676 83 26 26 211
[email protected]
Weiterführende Links: