17.02.2015 06:03

Milliarden-Bankraub«Unser Geld ist nicht sicher»

Cyber-Gangster aus Osteuropa begingen den grössten Bankraub der Geschichte. Auch die Schweiz ist betroffen. Sicherheitsexperten warnen und fordern Massnahmen.

von
G. Brönnimann
1 / 3
Es beginnt mit einem E-Mail: Die Cyberkriminellen versenden harmlos aussehende Mails mit verseuchten Anhängen. Sie infizieren Rechner mit der sogenannten «Carbanak»-Malware. Ultimatives Ziel: Der Admin-Rechner der Bank.

Es beginnt mit einem E-Mail: Die Cyberkriminellen versenden harmlos aussehende Mails mit verseuchten Anhängen. Sie infizieren Rechner mit der sogenannten «Carbanak»-Malware. Ultimatives Ziel: Der Admin-Rechner der Bank.

Grafik: Ethel Keller/20M
Die Carbanak-Malware öffnet ein Backdoor (Hintertürchen) für weitere bösartige Software. Die PCs werden überwacht: So lernen die Verbrecher geduldig Passwörter und die Bedienung des Banksystems.

Die Carbanak-Malware öffnet ein Backdoor (Hintertürchen) für weitere bösartige Software. Die PCs werden überwacht: So lernen die Verbrecher geduldig Passwörter und die Bedienung des Banksystems.

Grafik: Ethel Keller/20M
Am Ende schlagen die Verbrecher zu. Kaspersky erwähnt drei Methoden: Den Geld-Transfer auf andere Konten (und von da wieder weiter), den Geld-Transfer auf Off-Shore-Konten (die wiederum gefälscht sind und rasch wieder verschwinden), sowie die Fernsteuerung von Bankomaten.

Am Ende schlagen die Verbrecher zu. Kaspersky erwähnt drei Methoden: Den Geld-Transfer auf andere Konten (und von da wieder weiter), den Geld-Transfer auf Off-Shore-Konten (die wiederum gefälscht sind und rasch wieder verschwinden), sowie die Fernsteuerung von Bankomaten.

Grafik: Ethel Keller/20M

Die Bankräuber wussten genau, was sie wollten. Unbemerkt drangen sie ab Ende 2013 weltweit in verschiedene Banken ein – und dann warteten sie. Wochen-, ja monatelang spionierten sie ihre Opfer aus, suchten nach Schwachstellen in den Geldinstituten, machten sich mit den Abläufen und Funktionen der Systeme vertraut. Dann schlugen sie zu. Zwei Millionen hier, zehn Millionen da. Transfers auf selbst erstellte, frei erfundene Konti, Transfers auf eigene Offshore-Konti, die sich wiederum rasch in Luft auflösten. Lautlos, ohne Blutvergiessen. Mit einer Milliardenbeute.

Was spannend klingt, würde als Hollywoodfilm im Gegensatz zu klassischen Banküberfällen womöglich langweilen: Der Jahrhundertraub wurde von Unbekannten in monatelanger Kleinstarbeit via Computer begangen. Einzig eine der Vorgehensweisen der Verbrecher könnte das Kinopublikum unterhalten: Den Hackern sei es, so die «New York Times» mit Verweis auf Recherchen der Sicherheitsfirma Kaspersky, gelungen, durch infizierte Rechner auch Bankomaten zu übernehmen. Sprich: Sie konnten bestimmte Geräte zu bestimmten Zeiten dazu bringen, jede Menge Bargeld auszuspucken. Jackpot.

So gingen die Gangster vor

Alles fing, wie so oft, mit E-Mails an. Die Cyberkriminellen versandten laut Kaspersky eine Schadsoftware namens Carbanak per E-Mail an Bankmitarbeiter – darum auch der Name «Carbanak Gang». Die Backdoor-Software öffnet ein digitales Hintertürchen und ermöglicht es den Dieben, Daten einzusehen, zu stehlen und bei Bedarf die infizierten PCs zu übernehmen. Doch das taten die Diebe erst gar nicht: Sie installierten mit dem Backdoor andere Schadprogramme, die ihnen erlaubten, sich weiter im ganzen Banknetzwerk auszubreiten. Denn, so Kaspersky weiter: Um die Daten der Banken sei es den Eindringlingen wohl nicht gegangen. Sie wollten das System verstehen, dessen Bedienung erlernen – und es benutzen.

Die Gangster wollten das Geld. Möglichst viel Geld. Und sie bekamen es. Rund 100 Banken sollen betroffen sein. Es geht um rund eine Milliarde – Tendenz steigend. Denn, so die Sicherheitsfirma Kaspersky: Es sei durchaus möglich, dass die Attacken derzeit andauern. Interpol und Europol arbeiten auf Hochtouren, am Montag will Kaspersky an einer Sicherheitskonferenz über weitere Details informieren.

Machtlose Banken? Experten warnen und mahnen

Die Gangster blieben über ein Jahr lang unentdeckt – ist unser Geld noch sicher? «Nein», sagt Dr. Sandro Gaycken, Senior Researcher für Cybersecurity und Cyberstrategy an der ESMT European School of Management and Technology in Berlin zu 20 Minuten. «Geld ist virtualisiert, und der virtuelle Raum gehört dem, der ihn besser beherrscht.» Gaycken übt scharfe Kritik an den Geldinstituten: «Im Moment bauen wir auf furchtbar unsicheren Basistechnologien bei gleichzeitigem Mangel valider Sicherheitskonzepte, so dass Angreifer immer im Vorteil sind.» Überrascht habe ihn die Attacke nicht: «Wir gehen von einem grossen Dunkelfeld genau solcher Aktivitäten aus», so der Experte.

«Plumpe Angriffsversuche abzuwehren ist verhältnismässig einfach. Die Firmen müssen sich in Zukunft mit einer ganz neuen Generation von Internetkriminellen mit einem viel höheren Grad an Professionalisierung auseinandersetzen», sagt der Schweizer IT-Sicherheitsexperte Marc Ruef. Er beobachte, dass Firmen beim Thema Informationssicherheit mehrheitlich damit beschäftigt seien, einerseits gesetzliche und branchenspezifische Vorgaben zu erfüllen, andererseits die «auffälligsten Probleme» anzugehen. «Dies führt zu einem oftmals eingeschränkten Blickwinkel, der zudem Langfristigkeit vermissen lässt. In einer von Gewinnoptimierung und Quartalszahlen getriebenen Gesellschaft ist das leider üblich», so Ruef.

Schweizer Banken informierten Behörden nicht

Wie kann es sein, dass ein Bankraub dieser Grössenordnung so lange unentdeckt bleibt? Ein Punkt dürfte sein: Bei Bekanntwerden von derartigen Problemen fürchten Geldinstitute Vertrauensverlust. Doch obwohl laut Kaspersky und New York Times mindestens eine Schweizer Banken betroffen ist, wurde man bei der Melde- und Analysestelle Informationssicherheit des Bundes MELANI, die den Banken in solchen Fällen beisteht, von der Meldung überrascht: «Wir erfuhren das erst aus den Medien. Jetzt treffen wir Abklärungen mit den Banken», sagt ein Mitarbeiter zu 20 Minuten.

Im Rahmen der Informationssicherheit des Bundes tauschen sich Schweizer Banken, die vom Bund als kritische Infrastrukturen eingestuft werden, informell über aktuelle Bedrohungen aus. Beim aktuellen Verbrechen scheint niemand die Melde- und Analysestelle informiert zu haben. Bei einem erfolgreichen Cyberangriff auf eine Schweizer Bank würde die Kompetenz der Strafverfolgung bei der zuständigen Kantonspolizei liegen. «Die Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) unterstützt die Kantone als koordinierendes Kompetenzzentrum mit der Sicherstellung des Informationsaustausches», sagt Myriam Stucki, Sprecherin des Bundesamts für Polizei fedpol. Doch auch das fedpol wurde noch nicht eingeschaltet: «Bei KOBIK sind derzeit keine Koordinationsanfragen im von Ihnen erwähnten Fall hängig», so Stucki.

Experten fordern Lösungen

Wie könnte man das Problem lösen? Sicher ist: Die wohl nicht zufällig kürzlich eingeführten Bank-Mitarbeiter-Trainings gegen E-Mail-Phishing dürften nicht ausreichen, das Problem ist grundlegender. Braucht es mehr Überwachung und Kontrolle des Internets, wie das manche Kreise fordern? «Die offensive Verteidigung der USA hat denen auch nicht geholfen und führt aber andererseits zu unschönen und instabilen Eskalationen», sagt Sandro Gaycken. Der Experte weiter: «Deutlich besser wäre eine radikale Verbesserung der Ausgangslage durch hochsichere Informationstechnik. Die gibt es, ist allerdings unpopulär bei IT-Lobbyisten und daher nicht weit bekannt.»

Vorschläge macht auch der Schweizer IT-Sicherheitsexperte Marc Ruef: «Der Staat sollte bezüglich Informationssicherheit verbindliche Vorgaben machen, diese kontrollieren und Verletzungen sanktionieren.» Konkret, so Ruef, sollte der Gesetzgeber darum bemüht sein, «dass Fahrlässigkeit geahndet wird, und zwar so, dass es den fehlbaren Firmen weh tut.» Dadurch würde ein gewisser Druck auf Firmen aufgebaut, Informationssicherheit nicht als Nebensache zu betrachten. Denn, so Ruef: «Die Leidtragenden sind in erster Linie die Kunden, denen private Daten abhandenkommen.»

Hier schlug die Carbanak-Gang zu: Rund 100 Banken, rund eine Milliarde US-Dollar Schaden. (Bild: Kaspersky)

Deine Meinung

Fehler gefunden?Jetzt melden.