Milliarden-Bankraub – «Unser Geld ist nicht sicher»
Publiziert

Milliarden-Bankraub«Unser Geld ist nicht sicher»

Cyber-Gangster aus Osteuropa begingen den größten Bankraub der Geschichte. Sicherheitsexperten warnen und fordern Gegenmaßnahmen.

Mit einer Milliardenbeute

Was spannend klingt, würde als Hollywoodfilm im Gegensatz zu klassischen Banküberfällen womöglich langweilen: Der Jahrhundertraub wurde von Unbekannten in monatelanger Kleinstarbeit via Computer begangen. Einzig eine der Vorgehensweisen der Verbrecher könnte das Kinopublikum unterhalten: Den Hackern sei es, so die New York Times mit Verweis auf Recherchen der Sicherheitsfirma Kaspersky, gelungen, durch infizierte Rechner auch Bankomaten zu übernehmen. Sprich: Sie konnten bestimmte Geräte zu bestimmten Zeiten dazu bringen, jede Menge Bargeld auszuspucken. Jackpot.

So gingen die Gangster vor

Alles fing, wie so oft, mit E-Mails an. Die Cyberkriminellen versandten laut Kaspersky eine Schadsoftware namens Carbanak per E-Mail an Bankmitarbeiter – darum auch der Name «Carbanak Gang». Die Backdoor-Software öffnet ein digitales Hintertürchen und ermöglicht es den Dieben, Daten einzusehen, zu stehlen und bei Bedarf die infizierten PCs zu übernehmen. Doch das taten die Diebe erst gar nicht: Sie installierten mit dem Backdoor andere Schadprogramme, die ihnen erlaubten, sich weiter im ganzen Banknetzwerk auszubreiten. Denn, so Kaspersky weiter: Um die Daten der Banken sei es den Eindringlingen wohl nicht gegangen. Sie wollten das System verstehen, dessen Bedienung erlernen – und es benutzen.

Die Gangster wollten das Geld. Möglichst viel Geld. Und sie bekamen es. Rund 100 Banken sollen betroffen sein. Es geht um rund eine Milliarde – Tendenz steigend. Denn, so die Sicherheitsfirma Kaspersky: Es sei durchaus möglich, dass die Attacken derzeit andauern. Interpol und Europol arbeiten auf Hochtouren, am Montag will Kaspersky an einer Sicherheitskonferenz über weitere Details informieren.

Machtlose Banken? Experten warnen und mahnen

Die Gangster blieben über ein Jahr lang unentdeckt – ist unser Geld noch sicher? «Nein», sagt Dr. Sandro Gaycken, Senior Researcher für Cybersecurity und Cyberstrategy an der ESMT European School of Management and Technology in Berlin zu 20 Minuten. «Geld ist virtualisiert, und der virtuelle Raum gehört dem, der ihn besser beherrscht.» Gaycken übt scharfe Kritik an den Geldinstituten: «Im Moment bauen wir auf furchtbar unsicheren Basistechnologien bei gleichzeitigem Mangel valider Sicherheitskonzepte, so dass Angreifer immer im Vorteil sind.» Überrascht habe ihn die Attacke nicht: «Wir gehen von einem großen Dunkelfeld genau solcher Aktivitäten aus», so der Experte.

«Plumpe Angriffsversuche abzuwehren ist verhältnismäßig einfach. Die Firmen müssen sich in Zukunft mit einer ganz neuen Generation von Internetkriminellen mit einem viel höheren Grad an Professionalisierung auseinandersetzen», sagt der IT-Sicherheitsexperte Marc Ruef. Er beobachte, dass Firmen beim Thema Informationssicherheit mehrheitlich damit beschäftigt seien, einerseits gesetzliche und branchenspezifische Vorgaben zu erfüllen, andererseits die «auffälligsten Probleme» anzugehen. «Dies führt zu einem oftmals eingeschränkten Blickwinkel, der zudem Langfristigkeit vermissen lässt. In einer von Gewinnoptimierung und Quartalszahlen getriebenen Gesellschaft ist das leider üblich», so Ruef.

Experten fordern Lösungen

Wie könnte man das Problem lösen? Sicher ist: Die wohl nicht zufällig kürzlich eingeführten Bank-Mitarbeiter-Trainings gegen E-Mail-Phishing dürften nicht ausreichen, das Problem ist grundlegender. Braucht es mehr Überwachung und Kontrolle des Internets, wie das manche Kreise fordern? «Die offensive Verteidigung der USA hat denen auch nicht geholfen und führt aber andererseits zu unschönen und instabilen Eskalationen», sagt Sandro Gaycken. Der Experte weiter: «Deutlich besser wäre eine radikale Verbesserung der Ausgangslage durch hochsichere Informationstechnik. Die gibt es, ist allerdings unpopulär bei IT-Lobbyisten und daher nicht weit bekannt.»

Vorschläge macht auch der IT-Sicherheitsexperte Marc Ruef: «Der Staat sollte bezüglich Informationssicherheit verbindliche Vorgaben machen, diese kontrollieren und Verletzungen sanktionieren.» Konkret, so Ruef, sollte der Gesetzgeber darum bemüht sein, «dass Fahrlässigkeit geahndet wird, und zwar so, dass es den fehlbaren Firmen weh tut.» Dadurch würde ein gewisser Druck auf Firmen aufgebaut, Informationssicherheit nicht als Nebensache zu betrachten. Denn, so Ruef: «Die Leidtragenden sind in erster Linie die Kunden, denen private Daten abhandenkommen.»

(L'essentiel/gb)

Deine Meinung