Vertrauenswürdig, akkreditiert, gefährlich: Die neue Insider-Bedrohung für Banken

Wenn etwas zur neuen Normalität wird, nimmt man es nicht mehr wahr. Cyberbedrohungen zielen auf Banken ab. Geopolitische Akteure greifen ihre Gegner an. Tägliche Sicherheitsvorfälle schaffen es kaum in die Schlagzeilen.  

Gähnen. Es ist Dienstag.  

Das Ungewöhnliche daran ist, dass die Angreifer bereits in Ihr Netzwerk eingedrungen sind und ihr Motiv nicht, wie wir es gewohnt sind, Geld ist.  

Das US-Finanzministerium bestätigte im März 2026, dass nordkoreanische IT-Fachkräfte fast 800 Millionen Dollar erwirtschafteten, indem sie auf legitimen Gehaltslisten in US-Firmennetzwerken arbeiteten. Das Geld floss in militärische und politische Aktivitäten, nicht in den persönlichen Gewinn.  

Gleichzeitig nannte der Iran öffentlich US- Banken als militärische Ziele und setzte Wiper-Malware mithilfe gestohlener Administrator-Zugangsdaten ein. Es ging nicht darum, Geld zu stehlen, sondern darum, Server zu löschen und den Betrieb vollständig einzustellen.  

Das sind Insiderjobs, die auf gewährten, nicht gestohlenen Zugriffsrechten beruhen.  

Der Zugriff mit Zugangsdaten hat sich zum Angriffspunkt entwickelt und legt eine Sicherheitslücke offen, für deren Bewältigung herkömmliche Sicherheitsmaßnahmen nie ausgelegt waren.  

Um dem entgegenzuwirken, müssen sich Banken darauf konzentrieren, die seitliche Ausbreitung von Bedrohungen einzuschränken und die bereits in ihrem Umfeld vorhandenen Bedrohungen einzudämmen, anstatt nur den Erstzugang zu verhindern.  

Legitimer Zugriff stellt einen wichtigen Angriffsvektor dar.

Diese staatlich geförderten Bedrohungen, die derzeit auf Banken abzielen, haben eines gemeinsam. Der Angriff durchbricht Ihre Verteidigung nicht. Es steht ihnen gut.  

Auf der kürzlich in San Francisco stattgefundenen RSA-Konferenz warnte Andy Ozmet, Chief Technology Risk Officer von Capital One, davor, dass nordkoreanische Agenten sich mithilfe gestohlener amerikanischer Identitäten Fernarbeit bei US-Finanzinstituten sichern.  

Sie bestehen Hintergrundüberprüfungen, erhalten Firmenlaptops und haben Zugang zu Banknetzwerken mit gültigen Zugangsdaten, die von den Instituten selbst ausgestellt werden. Das FBI warnt seit Januar 2025 davor, dass diese Arbeiter auch firmeneigene Daten stehlen und sich für langfristige Sabotageakte positionieren.  

Darüber hinaus veröffentlichte das iranische Militärkommando nach den US-amerikanischen und israelischen Militärschlägen Ende Februar 2026 eine Erklärung, in der es US-amerikanische Banken ausdrücklich als militärische Ziele nannte. Innerhalb weniger Tage gab die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) eine Notfallwarnung an Finanzinstitute heraus und bestätigte, dass der Angriffsvektor bereits im Einsatz war.  

Die mit dem Iran verbundene Gruppe Handala Hack hatte die Methode demonstriert. Sie stehlen Administratorzugangsdaten durch Phishing, melden sich mit legitimen Zugriffsrechten bei Microsoft Intune an und löschen Daten auf zehntausenden Systemen in Dutzenden von Ländern.  

In beiden Fällen sind die Angreifer akkreditiert, vertrauenswürdig und können sich frei in Ihrem Netzwerk bewegen.  

Die toten Winkel, die Banken nicht behoben haben

Der globale Bericht „Cost of Insider Risks“ des Ponemon Institute aus dem Jahr 2026 dokumentiert zahlreiche Fälle, in denen Bankangestellte ihren legitimen Zugang nutzten, um kriminelle Netzwerke zu unterstützen. Dazu gehören ein Spezialist für Betrugserkennung, der Finanzdaten von Kunden mit einer kriminellen Organisation teilte, und ein Bankangestellter, der wegen Geldwäsche im Auftrag von Kriminellen inhaftiert wurde.

Das waren keine gestohlenen Zugangsdaten. Es handelte sich um verifizierte Mitarbeiter mit einwandfreiem Führungszeugnis und gültiger Zugriffsberechtigung. Die Annahme, dass eine bekannte Identität gleichbedeutend mit vertrauenswürdigem Verhalten ist, ist falsch – und das schon seit Jahren.  

Der strukturelle Unterschied zum aktuellen Zeitpunkt liegt darin, wo diese Ausbeutung ins Spiel kommt. Auf der RSAC 2026 erklärte Ozmet, dass Personalvermittler sich eher als das freundliche Gesicht der Institution sehen als als Risikomanager des Unternehmens.  

Das Ergebnis ist, dass der Einstellungsprozess – sobald ein ausländischer Mitarbeiter gültige Zugangsdaten von Ihrem eigenen IT-Team erhält – in einem organisatorischen Niemandsland stattfindet, in dem niemand die Verantwortung für die Sicherheit trägt.  

Banken haben ihre Netzwerke mit mehrschichtigen Verteidigungsmechanismen ausgestattet. Sie haben keine gleichwertigen Schutzmechanismen für den Prozess aufgebaut, der darüber entscheidet, wer überhaupt Zugang zu diesen Netzwerken erhält.  

Das ist der blinde Fleck. Und es handelt sich nicht um eine technologische Kluft. Es handelt sich um eine Lücke in der Regierungsführung.  

Die Betrugsüberwachung wurde entwickelt, um finanzielle Anomalien aufzudecken, wie etwa ungewöhnliche Transaktionen, verdächtige Überweisungen oder Abweichungen vom üblichen Ausgabeverhalten. Es war nie dafür ausgelegt, einen politisch motivierten Agenten aufzuspüren, der pünktlich erscheint, seine Arbeit erledigt und sich mit vollkommener Plausibilität horizontal durch Ihre Systeme bewegt.  

Die Überwachung von Transaktionen kann keinen nordkoreanischen Agenten aufdecken, der kein Geld stiehlt. Perimeterkontrollen können einen iranischen Akteur, der bereits über das Administratorpasswort verfügt, nicht aufhalten.  

Die Kontrollmechanismen, in die die meisten Banken am stärksten investiert haben, sind genau die falschen Instrumente für die Bedrohung, der sie sich derzeit gegenübersehen.  

Ihre Aufsichtsbehörde stellt die gleiche Frage.

Am 3 März 2026 – neun Tage bevor der Iran öffentlich US-Banken als militärische Ziele bezeichnete – verschickte das New York State Department of Financial Services (NYDFS) ein Schreiben an die CISOs aller von ihm regulierten Institute.  

Die NYDFS nannte drei konkrete Kontrollmaßnahmen:  

• Zugriff mit den geringsten Rechten  
• Verbesserte Überwachung auf unautorisierte Aktivitäten
• Tests der operativen Resilienz  

Vergleicht man diese drei Kontrollwerte mit allem oben Genannten, so ist die Übereinstimmung kein Zufall:  

• Zugriff nach dem Prinzip der geringsten Berechtigungen. Dies begrenzt, wie weit sich ein akkreditierter Angreifer, sei es ein nordkoreanischer Agent oder ein iranischer Akteur mit gestohlenen Administratorrechten, nach dem Eindringen bewegen kann. ‍ ‍
• Überwachung auf unautorisierte Aktivitäten. So erkennen Sie einen möglichen Seitenwechsel bei jemandem, der Ihren Einstellungsprozess erfolgreich durchlaufen hat. ‍ ‍
• Tests zur operativen Resilienz. Das So überprüfen Sie – und gehen nicht davon aus –, dass Ihre Containment-Architektur auch unter Druck tatsächlich funktioniert.  

Die NYDFS beschreibt keine zukünftigen Anforderungen. Jede von der NYDFS regulierte Einrichtung muss bis 2026 15 die Einhaltung von Teil 500 bestätigen.  

Die Diskussion über regulatorische Bestimmungen und die Diskussion über Bedrohungen sind mittlerweile ein und dasselbe. Die meisten Banken halten sie noch immer in separaten Räumen.  

Die Frage, die wirklich zählt

Banken haben jahrelang Mauern errichtet, um Bedrohungen fernzuhalten. Doch gegen legitimen Zugang sind diese Mauern nutzlos. Ob ein Agent direkt angeheuert wird, Zugangsdaten stiehlt oder einen physischen Stellvertreter für einen Drogentest einsetzt – er hat die Eingangskontrolle bereits passiert.  

Hier ist die Frage, die jeder CISO für sich selbst beantworten können muss:  

Wenn ein authentifizierter Benutzer in Ihrem Netzwerk jetzt damit beginnen würde, sich lateral zu bewegen, wie weit würde er kommen, wie schnell würden Sie es bemerken und was würde ihn aufhalten?  

Die Frage ist nicht mehr, ob Banken Maßnahmen zur Eindämmung lateraler Geldtransfers ergreifen müssen. Es geht darum, ob die Banken nachweisen können, dass sie gehandelt haben – gegenüber ihrem Vorstand, ihrer Aufsichtsbehörde und sich selbst.  

Sehen Sie, wie Illumio unterstützt Finanzinstitute Risiken reduzieren und die operative Stabilität aufrechterhalten.