“Wer nicht mit der Zeit geht, geht mit der Zeit.”
Wie wahr dieses Sprichwort leider nach wie vor ist, und wie gefährlich es gerade im IT-Bereich sein kann, nicht mit der Zeit zu gehen, lässt sich immer wieder in den Medien nachlesen: Wer erinnert sich beispielsweise noch an den “WannaCry”-Ransomware-Angriff, der im Jahr 2017 in aller Munde und leider auch in vielen befallenen Rechner war? Cyberkriminelle nutzen dabei veraltete Sicherheitslücken in Microsoft Windows, die eigentlich schon Wochen vor dem Angriff (!) gepatcht worden waren. Unternehmen und Organisationen, die ihre Systeme allerdings nicht rechtzeitig aktualisiert hatten, wurden dadurch verwundbar und prompt angegriffen.
Das hatte ganz erhebliche Auswirkungen: Der WannaCry Ransomware-Angriff verursachte einen geschätzten weltweiten Schaden von bis zu 4 Milliarden US-Dollar. Diese massive finanzielle Auswirkung resultierte aus der Infektion von etwa 230.000 Computern in über 150 Ländern. Der Angriff beeinträchtigte kritische Infrastrukturen wie Krankenhäuser, Notdienste, Tankstellen und Fabriken, was zu erheblichen Betriebsunterbrechungen und Produktionsausfällen führte.
Fazit: Wenn Unternehmen ihre Systeme nicht fortlaufend aktualisieren und an die neuesten Sicherheitsstandards anpassen, kann das unangenehme Folgen für uns alle haben.
Sicher sorglos surfen dank QWACs
In unserer digitalen Welt verlagern sich immer mehr Aspekte des alltäglichen Lebens in den virtuellen Raum. Dabei ist Vertrauen in die Sicherheit bei allen Handlungen im Internet von entscheidender Bedeutung: Schließlich hinterlegen wir bei verschiedenen Gelegenheiten höchst sensible, persönliche Daten oder wickeln Zahlungen über das World Wide Web ab. Unser Gegenüber ist dabei in der Regel keine natürliche Person, sondern ein digitales Eingabe- oder Onboarding-Formular. Die EU hat dieses Sicherheitsbedürfnis erkannt und mit den sogenannten Qualified Web Authentication Certificates (QWACs) spezielle digitale Zertifikate eingeführt, die der sicheren Authentifizierung von Websites und deren Betreibern dienen. Sie bieten ein hohes Maß an Vertrauenswürdigkeit, da sie nur von qualifizierten Vertrauensdiensteanbietern, sogenannten qVDAs, mit Sitz in der EU nach strengen Überprüfungen ausgestellt werden. Diese Anbieter sind Organisationen, die Dienstleistungen anbieten, die in der digitalen Welt Vertrauen schaffen, wie beispielsweise qualifizierte elektronische Signaturen, Zeitstempel oder eben Zertifikate. Sie ermöglichen Nutzern die zuverlässige Identifikation der verantwortlichen Organisation hinter einer Website und gewährleisten gleichzeitig eine sichere, verschlüsselte Datenübertragung.
Rückrufaktionen für Zertifikate
Allerdings müssen auch QWACs “mit der Zeit gehen”. Oder anders ausgedrückt: Sie laufen ab, werden widerrufen und sind damit veraltet. Sie werden wortwörtlich aus dem Verkehr gezogen und landen dann auf sogenannten QWAC Certificate Revocation Lists (CRLs), also speziellen Zertifikatssperrlisten für QWACs. Auch diese werden von qualifizierten Vertrauensdiensteanbietern erstellt und enthalten die Seriennummern der widerrufenen QWACs, Zeitstempel des Widerrufs und oft auch die Gründe dafür. Diese Listen werden regelmäßig aktualisiert und an sogenannten CRL Distribution Points veröffentlicht, die in den QWACs selbst als URLs hinterlegt sind. Wenn ein Browser oder eine Anwendung ein QWAC überprüft, wird die aktuelle CRL abgerufen und geprüft, ob das Zertifikat in der Liste aufgeführt ist. Die CRLs sind zudem digital signiert, um Manipulationen zu verhindern, und werden in regelmäßigen Abständen aktualisiert.
Durch regelmäßiges Überprüfen der Certificate Revocation Lists können Browser oder Anwendungen jeden, der im Internet unterwegs ist, zuverlässig von potenziell schädlichen Websites fernhalten und so ein hohes Maß an Sicherheit garantieren. Das trifft auch für die QWAC-Zertifikate zu, die registrierten Drittanbietern (Third Party Providern, TPPs) den Zugang zu den PSD2-APIs der Banken ermöglichen und so sichere und vertrauenswürdige Interaktionen innerhalb der Welt der Finanzdienstleistungen gewährleisten.
Und es steht außer Frage, dass Finanzdaten neben Gesundheitsinformationen zu den sensibelsten und schützenswertesten Daten überhaupt gehören.
Risiken und Nebenwirkungen bei vernachlässigten PSD2-Schnittstellen
Banken, denen wir unsere Finanzdaten anvertrauen, sind daher ganz besonders in der Pflicht, die CRLs regelmäßig abzufragen, damit sichergestellt ist, dass sie nur gültige und vertrauenswürdige Zertifikate verwenden. Werden widerrufene Zertifikate verwendet, können Sicherheitslücken entstehen, etwa durch Kompromittierung oder Missbrauch. Die regelmäßige Überprüfung der Zertifikate hilft zudem, Compliance-Vorgaben wie PSD2 zu erfüllen, schützt vor Dienstunterbrechungen und minimiert das Risiko von Betrug. So bleibt die Integrität der Bankensysteme gewahrt und das Vertrauen der Kunden nimmt keinen Schaden.
Dennoch kommt es leider vor, dass Banken veraltete QWACs-Zertifikate akzeptieren. Das ist möglich, wenn die implementierten PDS2-Schnittstellen diesbezüglich Schwachstellen aufweisen. Robuste PSD2-APIs, wie zum Beispiel die PSD2 API-Lösung von Qwist, sollten mehrere Sicherheitsmaßnahmen implementiert haben, um zu verhindern, dass widerrufene QWACs akzeptiert werden.
Für eine sichere QWAC-Validierung sind mehrere Schritte erforderlich: regelmäßige CRL-Überprüfung, OCSP (Online Certificate Status Protocol)-Echtzeitabfragen, Prüfung der Gültigkeitsdauer, Validierung PSD2-spezifischer Informationen wie Rollen und Autorisierungsnummern, sowie Einsatz robuster Validierungssoftware für CRL- und OCSP-Prüfungen. Diese Maßnahmen gewährleisten, dass nur gültige, nicht widerrufene QWACs akzeptiert werden.
Mit PSD2-APIs, die all das nicht leisten, setzen sich Banken und Finanzinstitute ganz erheblichen Risiken aus. Denn veraltete QWAC-Zertifikate, die von Drittanbietern (TPPs) für den Zugang zu PSD2-APIs genutzt werden, können ernsthafte Auswirkungen auf die Sicherheit und Compliance haben:
- Verstoß gegen regulatorische Anforderungen
PSD2 fordert, dass Finanzdienstleister hohe Sicherheitsstandards einhalten. Der Einsatz veralteter Zertifikate verstößt möglicherweise gegen diese Vorgaben, was zu regulatorischen Strafen oder Sanktionen führen kann. - Unterbrechung des Zugriffs auf PSD2-APIs
Veraltete Zertifikate können dazu führen, dass Banken den Zugriff auf ihre APIs blockieren, was TPPs daran hindert, auf Finanzdaten zuzugreifen. Das ist an sich wünschenswert, kann aber zu Ausfallzeiten führen, während die Zertifikate aktualisiert werden müssen. - Vertrauensprobleme bei Kunden
Die Verwendung unsicherer Zertifikate kann das Vertrauen der Kunden in den Dienst beeinträchtigen. Kunden könnten sich von Anbietern abwenden, die als weniger sicher gelten, was zu einem Verlust von Geschäft und Reputation führt.
All das muss nicht sein, wenn Banken und Finanzinstitute mit der Zeit gehen und ihre PSD2-APIs auf dem neuesten Stand halten. Durch die Zusammenarbeit mit einem erfahrenen externen Technologie-Partner mit ausgereiften, markterprobten Lösungen wie beispielsweise PSD2 API von Qwist, lässt sich diese Gefahrenquelle zuverlässig eliminieren. So können Banken mit der Zeit gehen, ohne dass sie es riskieren, mit der Zeit gehen zu müssen. Denn der nächste Cyberangriff kommt bestimmt.
