Januar 2024: Ein unbefugter Dritter verschaffte sich Zugriff auf sensible personenbezogene Daten von rund 16,6 Millionen Kunden von LoanDepot. August 2025: Allianz Life wurde Opfer eines Cyberangriffs, bei dem die personenbezogenen Daten von mehr als einer Million Kunden kompromittiert wurden. Februar 2026: Ein Ransomware-Angriff auf BridgePay Network Solutions führte dazu, dass das Online-Rechnungsportal der Stadt Palm Bay in Florida nicht mehr verfügbar war.
Es zeichnet sich ein klares Muster ab, da Finanzinstitute zu einem besonders attraktiven Ziel für Angreifer geworden sind.
Diese Angriffe werden oft von organisierten Cyberkriminellen oder staatlich unterstützten Akteuren durchgeführt, die auf erhebliche finanzielle Gewinne oder Marktstörungen aus sind. Wenn Sie in der Finanzbranche tätig sind und davon ausgehen, dass Sie vor solchen Risiken sicher sind, haben Sie nicht richtig aufgepasst.
Der Einstiegspunkt ist selten besonders ausgeklügelt. In vielen Fällen beginnt alles mit einer Phishing-E-Mail. Von dort aus bewegen sich die Angreifer seitlich durch das System, durchstreifen interne Systeme, erweitern ihre Zugriffsrechte und nähern sich so ihrem eigentlichen Ziel: der Zahlungsinfrastruktur, den Handelsplattformen und den Kundendaten.
An dieser Stelle verlieren viele Finanzinstitute die Kontrolle über die Situation: Wenn die Transparenz im Netzwerk eingeschränkt ist, können solche Aktivitäten unbemerkt bleiben, bis es zu spät ist; die durchschnittliche Zeit bis zur Erkennung kann bis zu 181 Tage betragen.
Dies war die Herausforderung eines führenden Finanzunternehmens, das die Lücken in der Transparenz schließen und seine Erkennungs- und Reaktionssysteme stärken wollte. Zu diesem Zweck entschied man sich für OPSWAT MetaDefender NDR und setzte die Lösung in kritischen Bereichen der Infrastruktur ein, um tiefere Einblicke in den Netzwerkverkehr zu gewinnen und Bedrohungen früher zu erkennen.
Das ist ihre Geschichte.
Eine mangelnde Netzwerktransparenz setzte die Systeme des Kunden der lateralen Bewegung aus
Der Kunde verfügte über herkömmliche Überwachungstools, die sich in erster Linie auf Endpunktwarnungen und Perimeter-Sicherheit konzentrierten. Diese Tools leisteten hervorragende Arbeit bei der Erkennung bekannter Malware oder verdächtiger Anmeldeversuche, doch ihre Funktionen zur Netzwerktransparenz ließen zu wünschen übrig.
Das Netzwerk wirkte also wie ein unsichtbarer Bereich – genau dort, wo Sicherheitssysteme am anfälligsten waren und SOC-Teams am wenigsten für die Bewältigung von Vorfällen gerüstet waren. Diese blinden Flecken führten zu:
Verzögerung bei der Erkennung seitlicher Bewegungen
In Banken und anderen Finanzinstituten bezeichnet man als „Lateral Movement“ in der Regel die Phase, in der Angreifer von einem zunächst kompromittierten Arbeitsplatzrechner (wie dem Laptop eines Bankangestellten oder einem Backoffice-Rechner) zu besonders wertvollen Systemen vordringen. Bei diesen Systemen kann es sich um Zahlungsabwicklungssysteme, die SWIFT-Infrastruktur oder Kernbankdatenbanken handeln.
Für unseren Kunden ergab sich die Verzögerung dadurch, dass er sich auf Warnmeldungen auf Perimeter-Ebene verließ, die entweder zu spät eintrafen oder gar nicht ausgelöst wurden. Bei über 50.000 Mitarbeitern gab es für Angreifer zahlreiche Möglichkeiten, in die Systeme einzudringen. Ein Risiko, das der Kunde nicht eingehen wollte.
Langsame forensische Arbeitsabläufe
In Finanzinstituten werden forensische Untersuchungen nach Sicherheitsverletzungen häufig durch fragmentierte Datenquellen verlangsamt, da SOC-Teams unter Umständen Firewall-Protokolle, Endpunktwarnungen oder Authentifizierungsprotokolle miteinander in Zusammenhang bringen müssen. Selbst unter dem zusätzlichen Druck, schnell handeln zu müssen, fällt es diesen Teams möglicherweise dennoch schwer, festzustellen, was tatsächlich geschehen ist und wie die Sicherheitsverletzung am besten eingedämmt werden kann.
Einfach ausgedrückt: Den SOC-Teams wurden die Augen verbunden, und potenzielle Angreifer hätten dies ausgenutzt.
WieMetaDefender NDR die Erkennung und ForensikNDR
Die Lücke in der Netzwerktransparenz wurde mit MetaDefender NDR geschlossen; MetaDefender NDR wurde speziell für die Netzwerküberwachung entwickelt undNDR genau die Funktionen zur Netzwerktransparenz und die Analysewerkzeuge, die im Arsenal unseres Kunden bisher fehlten.
MetaDefender NDR
MetaDefender NDR Unternehmen dabei, Netzwerkbedrohungen schneller zu erkennen, zu untersuchen und darauf zu reagieren, ohne den Geschäftsbetrieb zu beeinträchtigen.
Durch die Analyse von Netzwerktelemetriedaten zur Erkennung ungewöhnlicher Datenverkehrsmuster erkennt das System seitliche Bewegungen zwischen Systemen und deckt Kommunikationsvorgänge auf, die mit Cyberangriffen in Verbindung stehen.
Die Plattform zielt darauf ab, das Fachwissen eines typischen SOC-Analysten zu erweitern. Mithilfe ihrer KI-gestützten Erkennungsmodelle analysiert sie kontinuierlich das Netzwerkverhalten, um subtile Anomalien zu identifizieren, die bereits in einer frühen Phase des Angriffszyklus auf Angreiferaktivitäten hindeuten können.
Für unseren Kunden hat die Plattform die Hauptprobleme gelöst, die die Leistung des SOC beeinträchtigten.
Erkennung von seitlichen Bewegungen
Anstatt Endgeräte zur Erfassung von Aktivitäten zu überwachen,NDR MetaDefender NDR den Ost-West-Datenverkehr kontinuierlich auf Netzwerkebene und analysiert dabei die Datenströme zwischen internen Systemen. Auf diese Weise kann es Muster wie wiederholte Authentifizierungsversuche, ungewöhnliche Verbindungen oder die Kommunikation zwischen Systemen erkennen, die normalerweise nicht miteinander interagieren.
Die Latenz wird durch die Kombination aus der Erfassung von Verhaltensmustern der normalen internen Kommunikation und der nahezu in Echtzeit erfolgenden Erkennung von Anomalien verringert.
Schnellere forensische Untersuchungen
MetaDefender NDR zeichnetNDR Metadaten des Datenverkehrs auf und ermöglicht eine nachträgliche Analyse. Sobald ein IOC (Indikator für eine Kompromittierung) entdeckt wird, kann das System zurückgehen und prüfen, ob interne Systeme in der Vergangenheit mit diesem kommuniziert haben.
Nun müssen SOC-Teams nicht mehr versuchen, den Datenverkehr vom Tag eines Vorfalls zu rekonstruieren oder frühere Protokolle zu suchen; Analysten können gespeicherte Netzwerktelemetriedaten direkt abfragen, was insbesondere im Finanzsektor von großem Nutzen ist, wo eine zu lange Verzögerung nach einem Angriff zu Verstößen gegen gesetzliche Vorschriften führen kann.
Darüber hinaus halfen KI-gestützte Untersuchungsabläufe den Analysten dabei, Warnmeldungen miteinander in Zusammenhang zu bringen, Vorfälle mit hohem Risiko zu priorisieren und den manuellen Untersuchungsaufwand zu reduzieren, sodass das Unternehmen von einer reaktiven Erkennung zu einer proaktiven Netzwerküberwachung übergehen konnte.
Messbare Auswirkungen auf die Transparenz der Sicherheitslage und die Erkennung von Bedrohungen
MetaDefender NDR den Fokus auf die Netzwerkschicht und wandte Verhaltensanalysen auf den internen Datenverkehr an, was sich insbesondere in segmentierten Finanzumgebungen als besonders wirksam erwies. Zudem ermöglichte es den Analysten, weniger Zeit mit der Datenerfassung und mehr Zeit mit der Entscheidungsfindung zu verbringen.
So sieht das Ergebnis in allen Bereichen aus:
| Betroffenes Gebiet | Messbares Ergebnis |
|---|---|
| Netzwerktransparenz | Bietet einen umfassenden Einblick in die Kommunikation innerhalb des internen Finanzsystems. |
| Geschwindigkeit der Bedrohungserkennung | KI-gestützte Analysen ermöglichten eine frühzeitigere Erkennung verdächtiger Aktivitäten und lateraler Bewegungen. |
| Effizienz der Ermittlungen | Reduzierung des Zeitaufwands für SOC-Analysten bei der Untersuchung von Warnmeldungen. |
| Betriebssicherheit | Verbesserte Fähigkeit, komplexe Bedrohungen innerhalb des Netzwerks zu erkennen. |
| Reaktion auf Vorfälle | Schnelle Reaktion auf potenzielle Angriffe, bevor es zu einer Eskalation kommt. |
| Compliance-Bereitschaft | Zur Erfüllung der Anforderungen der Finanzaufsicht sind verbesserte Überwachungsmöglichkeiten erforderlich. |
Wenn Bedrohungen unbemerkt bleiben, ist Transparenz das A und O
Wir kennen das aus Heist-Filmen, und wir erleben es auch im echten Leben. Für Finanzinstitute ist der ursprüngliche Sicherheitsverstoß an sich nicht gefährlich. Wenn er rechtzeitig entdeckt wird, kann er kaum Schaden anrichten – abgesehen davon, dass er die Schwachstelle eines Unternehmens offenlegt.
Eine echte Gefahr besteht jedoch dann, wenn Angreifer in ein System eindringen, sich aber nicht sofort zu erkennen geben. Stattdessen beobachten sie, bewegen sich heimlich und gelangen so in die Nähe dessen, was am wichtigsten ist: Zahlungen oder sensible Kundendaten.
Deshalb darf sich die Sicherheit nicht auf den Perimeter beschränken. Andernfalls bleiben Indikatoren für eine Kompromittierung (IOCs) unbemerkt, bis es zu spät ist.
Mit der Einführung MetaDefender NDR hat unser Kunde den Schritt von einer begrenzten Überwachung hin zu einer kontinuierlichen Netzwerküberwachung vollzogen. Seine SOC-Teams können nun verdächtiges Verhalten sofort erkennen, Netzwerksignale zu Mustern verknüpfen und Maßnahmen ergreifen, bevor aus Anomalien Vorfälle werden.
Wenn Ihr Unternehmen derzeit überdenkt, wie es Bedrohungen außerhalb der Netzwerkgrenzen erkennt und darauf reagiert, ist es vielleicht an der Zeit, über herkömmliche Sicherheitsmaßnahmen hinauszuschauen und einen Ansatz auf Netzwerkebene in Betracht zu ziehen. Kontaktieren Sie uns und erfahren Sie, wie MetaDefender NDR Ihnen helfenNDR .
