LesestoffHacker-Angriffe auf Zentralbanken

Seite: 2 von 2
Gottfried Leibbrandt, der Chef von Swift, spricht von einem „Wendepunkt“ in der Geschichte des Cybercrime
Gottfried Leibbrandt, der Chef von Swift, spricht von einem „Wendepunkt“ in der Geschichte des Cybercrime
© Getty Images

Knappe Milliarde erbeutet

Es ist ein Wettlauf zwischen Hackern und Banken, den die Geldhäuser nur allzu oft verlieren. Immer neue Schwachstellen entdecken die Angreifer und verschaffen sich Zugang zu den Finanzströmen dieser Welt. So infiltrierten Kriminelle im Jahr 2013 einen indischen IT-Dienstleister und manipulierten die Limits von Konten bei zwei arabischen Banken. Binnen Stunden wurden in mehreren Ländern rund 45 Mio. Dollar abgehoben. Im Sommer 2014 griffen Hacker die US-Bank JP Morgan Chase an und installierten eine Schadsoftware. Zwei Monate blieb die Attacke unentdeckt. Das Institut musste zugeben, dass die Diebe Daten von über 76 Millionen Privat- und sieben Millionen Firmenkunden gestohlen hatten. Was mit den Daten geschehen ist, ist unbekannt. Aber der Fall zeigt: Nicht nur Exotenbanken sind anfällig für Cyberangriffe. Auch die größten Institute der Welt sind nicht ausreichend geschützt.

Vergangenes Jahr wurden Angriffe auf die türkischen Banken Isbank, Garanti und Ziraat Bank bekannt. Zudem wurden drei griechische Großbanken und die Zentralbank in Athen attackiert. Ziel waren auch die EZB, mehrere britische Banken, die Bank of China und die Bank of East Asia. Die russische IT-Sicherheitsfirma Kaspersky spricht von einem Schaden in Höhe von rund einer Milliarde Dollar, die Cyberkriminelle in zwei Jahren von weltweit etwa 100 Instituten ergaunert hätten – allein mittels eines Schadprogramms namens „Carbanak“.

Hochprofessionelle Kriminelle

Die Hacker, die Banken angreifen, sind keine pubertierenden Nerds mit Hornbrille und Pickeln, wie man es aus Blockbustern kennt. Es sind hochprofessionelle Kriminelle. Manche Experten vermuten deshalb auch, dass Staaten wie Nordkorea oder China hinter den Attacken stecken könnten. Bewiesen ist das nicht. Auch weil die Täter es verstehen, ihre Spuren bis zur Unkenntlichkeit zu verwischen. Im Fall der Zentralbank in Dhaka wurde die Schadsoftware nach der Aktion bis zu sechsmal überschrieben.

„Die Täter wussten, dass die Büros in Dhaka am Freitag und Samstag geschlossen sind und dass in New York niemand am Wochenende arbeitet“, sagt Subhankar Saha, ein Manager der Zentralbank in Dhaka. Die Gauner hätten darauf vertraut, dass es keine direkte Kommunikation an dem Wochenende gebe. Und genau so war es.

Immer komplexere Angriffe

Panik brach erst aus, als am Montag danach die Zentralbank von Bangladesch die „MT 103“-Nachricht aus New York entdeckte. Sofort schickte Dhaka eine Mail über das Swift-System an die Philippinen: „Wir möchten Sie informieren, dass es sich um eine zweifelhafte Transaktion handeln könnte. Sie sind angehalten, die Auszahlung zu stoppen. Sollten Sie bereits ausgezahlt haben, frieren Sie bitte das Konto des Empfängers ein. Wir glauben, dass die Überweisung gegen die Geldwäscherichtlinie verstößt.“ Keine Antwort.

Die Kontaktaufnahme mit den Philippinen scheitert aus einem einfachen Grund. Jetzt ist dort Feiertag. Auch wenn nur etwa 1,5 Prozent der Philippiner Chinesen sind, ist das chinesische Neujahrsfest gesetzlicher Feiertag in dem Inselstaat.

Vier Tage Zeit

Am Dienstag jagt Dhaka die nächste Nachricht nach Manila: „Top urgent!“ ist sie überschrieben. Äußerst dringend. „Es handelt sich um eine betrügerische Transaktion. Es gab einen unautorisierten Eingriff in unser Swift-System. Frieren Sie das Geld ein und senden es zurück an die Kontonummer 21 08 31 90.“

Als jemand auf den Philippinen auf die Nachrichten reagiert, hatten die Täter bereits vier Tage Zeit, das Geld in Ruhe weiterzuleiten und ihre Spuren zu verwischen. Sie hatten sich das perfekte Wochenende ausgesucht.

Harald Reisinger spricht von hochprofessionellen Hackergruppen, die auf das Eindringen in die IT von Banken spezialisiert sind. „Die Täter investieren viel Zeit und Ressourcen in die Angriffsvorbereitung und gestalten immer komplexere Angriffe. Die IT-Security-Teams von Banken werden in ein immer härteres Wettrennen verwickelt, welches nur die Fittesten gewinnen“, sagt der Geschäftsführer von Radar Services, einem Anbieter von IT-Security.

„Lausige Systeme“ bei Deutscher Bank

Wie fit die deutschen Banken sind, lässt sich nur schwer sagen. Immer noch gibt es keine Meldepflicht für Cyberattacken. Und die Institute geben nur ungern zu, wenn sie Opfer eines Angriffs geworden sind. Sie befürchten einen herben Imageschaden. Die Bundesbank forderte erst kürzlich die Kreditinstitute auf, „ihre IT- und Cyberrisiken genauso sorgsam zu managen wie die traditionellen Risiken des Bankgeschäfts.“

Vorfälle wie die Software-Panne der Deutschen Bank Anfang Juni, als 60 000 Kunden ihre EC-Karte nicht mehr nutzen konnten und diverse Abbuchungen doppelt erfasst wurden, lassen Schlimmes befürchten. Ähnliches war 2015 bereits vielen Sparkassenkunden widerfahren.

Schon kurz nach seinem Amtsantritt hatte Deutsche-Bank-Chef John Cryan von „lausigen Systemen“, „ineffektiven Prozessen“ und einer „veralteten IT“ gesprochen. 35 Prozent der verwendeten Hardware bei der Deutschen Bank würde sich dem Ende ihres Lebenszyklus nähern oder hätte es schon überschritten. Manche Programmiersprachen seien so alt, dass sie kaum noch einer beherrsche. Und 80 Prozent der 4 400 verwendeten Anwendungen würden von externen Anbietern bereitgestellt. Klare Worte. Und die Deutsche Bank scheint kein Einzelfall zu sein.

Schlaflose Nächte

Die Beratungsgesellschaft Bain & Company hat vergangenen Herbst IT-Verantwortliche von Banken auf der ganzen Welt befragt. Das Ergebnis ist erschreckend: Mit dem rasanten Fortschritt könnten nur die wenigsten Banken mithalten, zahlreiche IT-Manager kämpften aufgrund knapper Budgets mit veralteten Systemen und Anwendungen, so das Fazit der Studie.

„Die Motivation von Hackern rund um den Globus ist dagegen extrem hoch“, sagt IT-Experte Reisinger. „Ohne eine allumfassende Überwachung der gesamten IT-Landschaft in Echtzeit an 24 Stunden am Tag und sieben Tagen in der Woche sollte jeder IT-Sicherheitsverantwortliche einer Bank schlaflose Nächte haben.“

Router für zehn Euro

Wie professionell die Täter ihre digitalen Raubzüge planen, zeigt der Fall aus Bangladesch. Bereits am 15. Mai 2015, ein Dreivierteljahr vor dem großen Coup, werden bei der philippinischen Bank RCBC vier Konten eröffnet, mit jeweils 500 Dollar Einlage.

Die Namen der Privatkunden lauten Enrico Teodoro Vasquez, Alfred Santos Vergara, Michael Francisco Cruz und Jessie Christopher Lagrosas. Wahrscheinlich gibt es die Männer gar nicht. Die Bank schiebt der Filialleiterin die Schuld zu, sie habe die Identitäten nicht überprüft. Die Filialleiterin kontert, das Management habe angeordnet, die Konten einzurichten.

Wann das Netzwerk der Zentralbank in Dhaka gekapert wurde und wie, ist noch nicht bekannt. Allzu schwer hat die Bank es den Tätern aber nicht gemacht. Nicht einmal eine Firewall soll das Institut gehabt haben, berichten Ermittler. Auch seien Router für 10 Dollar das Stück eingesetzt worden, die selbst für den privaten Gebrauch als unsicher gelten. Zudem war das schlecht geschützte Firmennetzwerk nicht von dem Swift-Netzwerk getrennt – wie eigentlich vorgeschrieben.

Monatelang Systeme überwacht

Der Zutritt zur Bank war ein Kinderspiel, alles Weitere eine Meisterleistung. Selbst die Experten von Swift zollen Respekt: „Die Angreifer zeigen eindeutig ein tiefes Wissen von spezifischen operativen Vorgängen innerhalb der betroffenen Banken“, heißt es in einer Erklärung. Es handele sich um „Wissen, das von böswilligen Insidern oder von Cyber­angriffen stammen könnte oder aus einer Kombination von beidem“.

Die Hacker haben nach Informationen des Rüstungskonzerns BAE Systems einen Trojaner in das Netzwerk der Zentralbank eingeschleust, der ihnen den Zugriff auf die Swift-Transaktionen und den normalen Geschäftsverkehr der Bank ermöglichte. Über Monate hatten sie so die Systeme überwacht, Informationen abgezogen und analysiert.

Drucker manipuliert

Sie erbeuteten die Zugangsdaten für den internationalen Zahlungsverkehr, manipulierten lokale Dateien, verschleierten ihre Spuren und umgingen die Sicherheitsfunktionen. Swift sendet beispielsweise nach jeder Transaktion Daten an einen lokalen Drucker. Die wurden abgefangen und durch unverdächtige Versionen ersetzt. Wer die Zahlungsströme überprüfte, bekam nur die regulären Überweisungen angezeigt. Die manipulierten Transaktionen wurden von der Liste gelöscht. Ohne den Rechtschreibfehler hätte wahrscheinlich auch am Montag kein Mitarbeiter in Dhaka den Raubzug bemerkt.

Die 81 Mio. Dollar, die auf die Philippinen transferiert wurden, blieben dort nur wenige Minuten. Einige Stationen konnten die Ermittler nachverfolgen, ehe das Vermögen auf vielen verschiedenen Wegen in Südostasien versickerte. Zunächst wurde das Geld an den philippinischen Geldüberweisungsdienst Philrem weitergeleitet, eine Art asiatisches Western Union. Der tauschte die Dollars in philippinische Pesos. Die Chefin von Philrem steht deshalb nun wegen Geldwäsche vor Gericht.

Keine Spur von Tätern

Von dort ging das Geld zurück auf ein Konto bei der RCBC-Bank, allerdings auf das eines bekannten philippinischen Geschäftsmanns. Der behauptet, sein Konto sei gehackt und missbraucht worden – was durchaus denkbar ist. Von dessen Konto wiederum wurde das Geld an verschiedene Kasinos transferiert, dort in Jetons ausgezahlt und somit gewaschen. Von dort soll das Geld in kleinen Tranchen über Südostasien verteilt worden sein.

Die Millionen sind jetzt verschwunden. Und von den Tätern gibt es keine Spur.