Milliarden-Bankraub

17. Februar 2015 06:03; Akt: 17.02.2015 06:03 Print

«Unser Geld ist nicht sicher»

von G. Brönnimann - Cyber-Gangster aus Osteuropa begingen den grössten Bankraub der Geschichte. Auch die Schweiz ist betroffen. Sicherheitsexperten warnen und fordern Massnahmen.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Die Bankräuber wussten genau, was sie wollten. Unbemerkt drangen sie ab Ende 2013 weltweit in verschiedene Banken ein – und dann warteten sie. Wochen-, ja monatelang spionierten sie ihre Opfer aus, suchten nach Schwachstellen in den Geldinstituten, machten sich mit den Abläufen und Funktionen der Systeme vertraut. Dann schlugen sie zu. Zwei Millionen hier, zehn Millionen da. Transfers auf selbst erstellte, frei erfundene Konti, Transfers auf eigene Offshore-Konti, die sich wiederum rasch in Luft auflösten. Lautlos, ohne Blutvergiessen. Mit einer Milliardenbeute.

Was spannend klingt, würde als Hollywoodfilm im Gegensatz zu klassischen Banküberfällen womöglich langweilen: Der Jahrhundertraub wurde von Unbekannten in monatelanger Kleinstarbeit via Computer begangen. Einzig eine der Vorgehensweisen der Verbrecher könnte das Kinopublikum unterhalten: Den Hackern sei es, so die «New York Times» mit Verweis auf Recherchen der Sicherheitsfirma Kaspersky, gelungen, durch infizierte Rechner auch Bankomaten zu übernehmen. Sprich: Sie konnten bestimmte Geräte zu bestimmten Zeiten dazu bringen, jede Menge Bargeld auszuspucken. Jackpot.

So gingen die Gangster vor

Alles fing, wie so oft, mit E-Mails an. Die Cyberkriminellen versandten laut Kaspersky eine Schadsoftware namens Carbanak per E-Mail an Bankmitarbeiter – darum auch der Name «Carbanak Gang». Die Backdoor-Software öffnet ein digitales Hintertürchen und ermöglicht es den Dieben, Daten einzusehen, zu stehlen und bei Bedarf die infizierten PCs zu übernehmen. Doch das taten die Diebe erst gar nicht: Sie installierten mit dem Backdoor andere Schadprogramme, die ihnen erlaubten, sich weiter im ganzen Banknetzwerk auszubreiten. Denn, so Kaspersky weiter: Um die Daten der Banken sei es den Eindringlingen wohl nicht gegangen. Sie wollten das System verstehen, dessen Bedienung erlernen – und es benutzen.

Die Gangster wollten das Geld. Möglichst viel Geld. Und sie bekamen es. Rund 100 Banken sollen betroffen sein. Es geht um rund eine Milliarde – Tendenz steigend. Denn, so die Sicherheitsfirma Kaspersky: Es sei durchaus möglich, dass die Attacken derzeit andauern. Interpol und Europol arbeiten auf Hochtouren, am Montag will Kaspersky an einer Sicherheitskonferenz über weitere Details informieren.

Machtlose Banken? Experten warnen und mahnen

Die Gangster blieben über ein Jahr lang unentdeckt – ist unser Geld noch sicher? «Nein», sagt Dr. Sandro Gaycken, Senior Researcher für Cybersecurity und Cyberstrategy an der ESMT European School of Management and Technology in Berlin zu 20 Minuten. «Geld ist virtualisiert, und der virtuelle Raum gehört dem, der ihn besser beherrscht.» Gaycken übt scharfe Kritik an den Geldinstituten: «Im Moment bauen wir auf furchtbar unsicheren Basistechnologien bei gleichzeitigem Mangel valider Sicherheitskonzepte, so dass Angreifer immer im Vorteil sind.» Überrascht habe ihn die Attacke nicht: «Wir gehen von einem grossen Dunkelfeld genau solcher Aktivitäten aus», so der Experte.

«Plumpe Angriffsversuche abzuwehren ist verhältnismässig einfach. Die Firmen müssen sich in Zukunft mit einer ganz neuen Generation von Internetkriminellen mit einem viel höheren Grad an Professionalisierung auseinandersetzen», sagt der Schweizer IT-Sicherheitsexperte Marc Ruef. Er beobachte, dass Firmen beim Thema Informationssicherheit mehrheitlich damit beschäftigt seien, einerseits gesetzliche und branchenspezifische Vorgaben zu erfüllen, andererseits die «auffälligsten Probleme» anzugehen. «Dies führt zu einem oftmals eingeschränkten Blickwinkel, der zudem Langfristigkeit vermissen lässt. In einer von Gewinnoptimierung und Quartalszahlen getriebenen Gesellschaft ist das leider üblich», so Ruef.

Schweizer Banken informierten Behörden nicht

Wie kann es sein, dass ein Bankraub dieser Grössenordnung so lange unentdeckt bleibt? Ein Punkt dürfte sein: Bei Bekanntwerden von derartigen Problemen fürchten Geldinstitute Vertrauensverlust. Doch obwohl laut Kaspersky und New York Times mindestens eine Schweizer Banken betroffen ist, wurde man bei der Melde- und Analysestelle Informationssicherheit des Bundes MELANI, die den Banken in solchen Fällen beisteht, von der Meldung überrascht: «Wir erfuhren das erst aus den Medien. Jetzt treffen wir Abklärungen mit den Banken», sagt ein Mitarbeiter zu 20 Minuten.

Im Rahmen der Informationssicherheit des Bundes tauschen sich Schweizer Banken, die vom Bund als kritische Infrastrukturen eingestuft werden, informell über aktuelle Bedrohungen aus. Beim aktuellen Verbrechen scheint niemand die Melde- und Analysestelle informiert zu haben. Bei einem erfolgreichen Cyberangriff auf eine Schweizer Bank würde die Kompetenz der Strafverfolgung bei der zuständigen Kantonspolizei liegen. «Die Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) unterstützt die Kantone als koordinierendes Kompetenzzentrum mit der Sicherstellung des Informationsaustausches», sagt Myriam Stucki, Sprecherin des Bundesamts für Polizei fedpol. Doch auch das fedpol wurde noch nicht eingeschaltet: «Bei KOBIK sind derzeit keine Koordinationsanfragen im von Ihnen erwähnten Fall hängig», so Stucki.

Experten fordern Lösungen

Wie könnte man das Problem lösen? Sicher ist: Die wohl nicht zufällig kürzlich eingeführten Bank-Mitarbeiter-Trainings gegen E-Mail-Phishing dürften nicht ausreichen, das Problem ist grundlegender. Braucht es mehr Überwachung und Kontrolle des Internets, wie das manche Kreise fordern? «Die offensive Verteidigung der USA hat denen auch nicht geholfen und führt aber andererseits zu unschönen und instabilen Eskalationen», sagt Sandro Gaycken. Der Experte weiter: «Deutlich besser wäre eine radikale Verbesserung der Ausgangslage durch hochsichere Informationstechnik. Die gibt es, ist allerdings unpopulär bei IT-Lobbyisten und daher nicht weit bekannt.»

Vorschläge macht auch der Schweizer IT-Sicherheitsexperte Marc Ruef: «Der Staat sollte bezüglich Informationssicherheit verbindliche Vorgaben machen, diese kontrollieren und Verletzungen sanktionieren.» Konkret, so Ruef, sollte der Gesetzgeber darum bemüht sein, «dass Fahrlässigkeit geahndet wird, und zwar so, dass es den fehlbaren Firmen weh tut.» Dadurch würde ein gewisser Druck auf Firmen aufgebaut, Informationssicherheit nicht als Nebensache zu betrachten. Denn, so Ruef: «Die Leidtragenden sind in erster Linie die Kunden, denen private Daten abhandenkommen.»

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Dingo am 17.02.2015 06:12 Report Diesen Beitrag melden

    Überraschung

    Das ist eigentlich nichts Neues. Die Medien, Banken und die Gesellschaft möchte uns zwar glaubhaft darlegen, wie "sicher" unser Geld, unser Haus, unsere Besitztümer sind, aber was im Leben ist sicher? Ein Feuer, ein Börsenchrash, Diebstahl, Glücksspiel an der Börse. Was erwartet man da? Es gibt nie 100% Sicherheit, trotzdem soll man nicht in Angst leben. Man sollte sich bewusst sein, dass alles einmal enden kann, und sich dementsprechend vorbereiten, seelisch und finanziell.

    einklappen einklappen
  • Mihai am 17.02.2015 06:20 via via Mobile Report Diesen Beitrag melden

    No problem

    Für die Banken ist das doch kein Problem. Wir werden einfach noch mehr Taxen und Gebühren bezahlen müssen und alles ist wieder Okay!!!

    einklappen einklappen
  • O. Door am 17.02.2015 06:17 Report Diesen Beitrag melden

    erst der Anfang

    Es ist schon lange klar: Was Behörden können und tun beherrschen Verbrecher früher oder später auch. Auch deshalb ist die ganze Staats-Massenüberwachung und das sich-selbst-preisgeben (wie Facebook und Co.) extrem / brandgefährlich. Kriminelle Organisationen haben teilweise mehr Geld wie mancher Staat, der seine Bürger davor schützen und nicht preisgeben sollte.

Die neusten Leser-Kommentare

  • Angsthase am 18.02.2015 00:38 via via Mobile Report Diesen Beitrag melden

    E-Banking

    da bin ich aber froh habe ich kein E-Banking

    • Sepp Erb am 18.02.2015 06:48 via via Mobile Report Diesen Beitrag melden

      Tja...

      Das Problem hat mit E-Banking ja nur am Rand zu tun.

    einklappen einklappen
  • Adriano P. am 18.02.2015 00:31 Report Diesen Beitrag melden

    privater Safe

    Eben deshalb sag ich: In meinem Safe ist das Geld sicher!! Ob Euro oder CHF!!

  • gogg am 18.02.2015 00:27 via via Mobile Report Diesen Beitrag melden

    Echt jetzt?

    Glaubt einer im Ernst das Internet sei total sicher?

  • J. Meyer am 17.02.2015 22:14 Report Diesen Beitrag melden

    Interessant....

    Hat eine Frau in Australien nicht plötzlich 10Mio Dollar auf ihr Konto bekommen u die Bank behauptzete, es sei nun ihr Geld? Vielleicht von diesen Hackern irrtümlich überwiesen worden? Es ist schon verrückt, wenn Kriminelle besser organisiert sind wie Sicherheitsexperten der Banken. Für was zahlt man eigentlich soviel Gebühren u was machen Banken bloss mit ihren Milliardengewinne? In altbackene Softwares stecken? Habe es ja schon lange gesagt, das die Kriminalität im Internet immer perfekter wird, aber Glaube kämpft vergeblich gegen Wissen....

  • F.Q. am 17.02.2015 22:01 via via Mobile Report Diesen Beitrag melden

    Verückte Welt

    Lieber zahlt man riesen Bonis aus anstatt mal in die Sicherheit zu investieren. Verückte Welt