Banken geraten zunehmend ins Visier von Cyberkriminellen. Die Institute scheinen gegen Gefahren aus dem Netz nur unzureichend geschützt. Das Hochrüsten lohnt sich aber nicht.
Es ist der Albtraum jedes Bankkunden: Man prüft online seinen Kontostand und – nichts mehr da. Ersparnisse, Lohn, Urlaubsgeld – auf einen Schlag weg. Dass dies kein hypothetisches Szenario ist, zeigt der jüngste Angriff auf die britische Bank Tesco. Hackern ist es gelungen, auf 40’000 Konten zuzugreifen und Geld von 9’000 Konten abzubuchen.
Anfang November hatten besorgte Kunden des zur britischen Supermarktkette Tesco gehörenden Geldinstituts über ungewöhnliche Kontobewegungen und unautorisierte Transaktionen berichtet. Daraufhin sperrte die Bank die Online-Konten ihrer rund 136’000 Kunden – als «Vorsichtsmassnahme», hiess es. Wie die Bank jetzt mitteilte, ist durch den Betrug ein Schaden von 2,5 Millionen Pfund (rund drei Millionen Franken) entstanden.
Es ist nicht der einzige Vorfall dieser Art.
Im April hatten Cyberkriminelle den Code von zwei Schadsoftwares kombiniert und innerhalb weniger Tage mehrere Millionen Dollar von über 24 amerikanischen und kanadischen Banken erbeutet. Der Trojaner namens «GozNym» injiziert bestimmte Skripte in den Browser, um Anmeldedaten abzugreifen, wenn Opfer ihr Online-Banking öffnen, um dann eine ausführende Datei einzuschleusen, mit der das Konto leer geräumt wird. Eine äusserst perfide Methode, um an das Geld der Kunden zu gelangen.
Die Schadsoftware richtete einen Millionenschaden an. Aufgespürt wurde der Trojaner von Sicherheitsexperten der IBM X-Force, die in Haifa sitzt und auf einer Konfigurationsdatei 230 Web-Adressen von polnischen Banken und E-Mail-Providern identifizierte. Die mutmasslichen Angreifer operierten von Osteuropa aus, wobei die Web-Adressen auch Tarnung sein könnten, um falsche Fährten zu legen. Ein bekanntes Muster der Cyberkriminalität.
Nicht mal Nationalbanken sind gefeit
Im Februar gelang es unbekannten Hackern, in das Zahlungsverkehrssystem Swift einzudringen und 81 Millionen Dollar vom Konto der Notenbank von Bangladesch zu erbeuten. Es war einer der spektakulärsten Banküberfälle der Geschichte.
Die Angreifer wiesen die US-Notenbank Fed in New York an, die Währungsreserven der Notenbank von Bangladesch auf verschiedene Konten in Asien, unter anderem auf den Philippinen und Sri Lanka, zu transferieren. In mehreren Tranchen landeten so zweistellige Millionenbeträge bei Pan Asia Banking und Commercial Banking Corporation auf den Philippinen.
Als die Mitarbeiter der Notenbank morgens in den Drucker schauten, wo 24/7 jede Transaktion ausgedruckt wird, fanden sie ein leeres Fach vor. Als die Bankangestellten versuchten, die Buchungen manuell zu drucken, streikte das Gerät. Die Software des Terminals, der zum Swift-Netzwerk verbindet, meldete, dass ein kritischer Systemordner fehlte.
Erst durch den Druckerausfall flog der Betrug bei der Nationalbank auf.
Als die Mitarbeiter das System am nächsten Tag schliesslich wieder zum Laufen brachten, spuckte der Drucker Dutzende dubioser Transaktionen aus. Die Fed hatte Verdacht geschöpft und schickte mehrere Anfragen nach Dhaka – die aber aufgrund des Systemausfalls nicht beantwortet werden konnten.
Erst durch den Druckerausfall flog der Betrug auf – die Bank konnte durch das Einfrieren der restlichen Fonds Schlimmeres verhindern. Der Gouverneur der Notenbank, Atiur Rahman, musste dennoch seinen Hut nehmen. Bei der ecuadorianischen Zentralbank wurden mit derselben Masche 12 Millionen Dollar entwendet.
Auch die griechische Zentralbank wurde im Mai Opfer eines Cyberangriffs: Eine unbekannte Anonymous-Gruppe hatte die Website lahmgelegt und eine 30-tägige Kampagne gegen alle Zentralbanken der Welt angekündigt. Selten standen dem antikapitalistischen Protests solch mächtige Waffen zur Verfügung. Der Cyberwar gegen die Banken ist in vollem Gange.
Einzelne Sicherheitsrisiken kommentiert kaum eine Bank
Das Tückische an den digitalen Bankrauben ist, dass sie auf leisen Sohlen daherkommen. Die Angreifer agieren global und sind schwer lokalisierbar, der Betrug fällt oft erst auf, wenn es zu spät ist. Der US-Sicherheitsforscher Jeremiah Grossman, der unter anderem bei Yahoo arbeitete, sagt: «Banken-Hacks gibt es schon seit Jahrzehnten. Ein Hauptfaktor bei der Swift-Attacke war, dass die Malware im Computersystem lange unentdeckt blieb.» Mit herkömmlicher Sicherheitssoftware sei dem Problem nicht beizukommen. Es bräuchte maschinell lernende Algorithmen, um den Betrug aufzudecken.
Unterdessen geraten auch europäische Bankinstitute ins Visier von Cyberkriminellen. Der Trojaner «GozNym» schlug bei polnischen und portugiesischen Geldinstituten zu. Nach einem Bericht der «Frankfurter Allgemeinen Zeitung» wurden in den Rechenzentren des Deutschen Sparkassen- und Giroverbandes (DSGV) im Juni und Juli Angriffe von GozNym «in überschaubarer Zahl» registriert, die allerdings abgewehrt werden konnten.
Die Frage ist: Wie sicher sind Banken vor Cyberattacken?
Schweizer Geldinstitute reagieren ausweichend auf die Frage. «Wir nehmen das Risiko von Cyberangriffen sehr ernst und investieren kontinuierlich in Sicherheitsmassnahmen», heisst es etwa bei der UBS. Einzelne Sicherheitsrisiken und Massnahmen würden nicht kommentiert. Ob das Vertrauen bei den Bankkunden schafft, ist fraglich.
Banken meiden jegliches Exposure zu diesem hochsensiblen Thema, um keine unnötige Gefährdungslage hervorzurufen. Cybersicherheitsexperte Grossman geht davon aus, dass die «Zahl und Schwere» von Hackerangriffen auf Banken in Zukunft zunehmen werde. Ein Dilemma sei, dass die Verluste durch Cyberattacken nicht gross genug sind, einen Anreiz zu schaffen, um in eine robuste Sicherheitsarchitektur zu investieren. Für Bankkunden sind das nicht unbedingt beruhigende Aussichten.