Frankfurt, New York Die erste bekannte Attacke auf das internationale Zahlungssystem Swift ist noch nicht vollständig aufgeklärt, da dringt ein zweiter Fall ans Tageslicht. Er betrifft die Tien Phong Bank in Vietnam, eines der modernsten Kreditinstitute des Landes. Zuvor hatte ein Angriff auf die Zentralbank von Bangladesch im Februar Aufmerksamkeit erregt.
Swift hatte den zweiten Fall am Freitag bekanntgemacht, ohne den Namen der Bank zu nehmen. Das Unternehmen BAE Systems, das unter anderem auf die Abwehr von Cyberangriffen spezialisiert ist, spricht in einer Mitteilung von einer Bank in Vietnam. Und die vietnamesische Tien Phong Bank (TP Bank) teilte am Wochenende der Nachrichtenagentur Reuters mit, sie habe bereits im Oktober einen Cyberangriff erfolgreich abgewehrt, bei dem es um eine Million Dollar gegangen sei. Die Bank war damals offenbar nicht direkt, sondern über eine Verbindungsadresse mit Swift verbunden, die Ziel der Attacke wurde. Inzwischen setze sie ein moderneres System ein und sei direkt an Swift angebunden.
Die kriminellen Aktivitäten beschränken sich offenbar nicht auf die beiden bekannten Fälle. Swift spricht von einer „weit angelegten und stark anpassungsfähigen Kampagne, die auf Banken abzielt“. BAE Systems schreibt: „Was anfangs wie ein Einzelfall aussah, ist offenbar Teil einer größeren Kampagne.“ Das Unternehmen suchte systematisch nach Software, die der gegen die vietnamesische Bank eingesetzten ähnelt. Es wurde in einem Fall fündig, bei dem entsprechende Software Anfang März in den USA hochgeladen wurde.
Gefälschte Nachrichten im Swift-System
Die jüngsten Attacken dürften nicht nur Swift aufschrecken: Auch die europäische Zentralbank verstärkte unlängst ihre Maßnahmen zur Abwehr von Cyberangriffen. Längst warnen Sicherheitsexperten vor einer neuen Dimension der Cyberkriminalität. Denn statt wie bisher einzelne Bankkunden abzuschöpfen, nehmen Kriminelle ganze Banken ins Visier.
An die Society for Worldwide Interbank Financial Telecommunication (Swift) sind rund 11.000 Institute auf der ganzen Welt angeschlossen. Das Netzwerk ist ein Dreh- und Angelpunkt des internationalen Finanzsystems. Statt die Computer von Swift direkt zu attackieren, kapern die Hacker die Computer einzelner Banken, um gefälschte Nachrichten in das Swift-System einzuspeisen und so Gelder auf fremde Konten zu überweisen. Von dort werden die Gelder weitergeleitet und gewaschen, damit ihr Ursprung nicht nachzuverfolgen ist. In Finanzkreisen heißt es, deutsche Banken seien bislang nicht von den Attacken betroffen.
Die genossenschaftlich organisierte Swift-Gruppe warnt vor einer regelrechten Angriffsserie. In einer internen Mitteilung forderte der Dienstleister aus Belgien die angeschlossenen Institute dazu auf, ihre Sicherheitsmaßnahmen unter die Lupe zu nehmen: „Als dringende Maßnahme erinnern wir alle Kunden daran, die Kontrollen ihrer Zahlungsverkehrsumgebungen zu überprüfen.“ Das Swift-System selbst sei aber nicht attackiert worden, heißt es.
Forensik-Experten vermuten, dass die Angreifer ihre Schadsoftware für eine ganze Reihe von Diebeszügen nutzen und an die jeweilig attackierte Bank anpassen. Das Vorgehen ist aber identisch: In einem ersten Schritt verschaffen die Diebe sich Zugriff auf die Rechner der Bank, um eine unrechtmäßige Überweisung in die Wege zu leiten. Danach nutzen sie manipulierte Software, um die Spuren für diese Überweisung zu verwischen. Diesmal jubelten die Hacker der betroffenen Bank eine manipulierte Software zur Anzeige von PDF-Dokumenten unter. Wenn die Bankmitarbeiter eine PDF-Datei öffneten, um die Zahlungsströme der Bank zu kontrollieren, zeigte die Software sämtliche Überweisungen wie gewohnt an. Die manipulierten Transaktionen wurden aber von der Liste getilgt.
Raub in Bangladesch
Selbst die Experten von Swift scheinen von den Kenntnissen der Hacker beeindruckt zu sein: „Die Angreifer zeigen eindeutig ein tiefes Wissen von spezifischen operativen Vorgängen innerhalb der betroffenen Banken“, warnt Swift. Es handele sich um „Wissen, das von böswilligen Insidern oder von Cyberangriffen stammen könnte, oder aus einer Kombination von beidem“.
Mit derselben Masche hatten Diebe schon Anfang Februar die Notenbank von Bangladesch ausgeraubt. Sie stahlen rund 81 Millionen US-Dollar von einem Konto, das das Institut in New York bei der US-Notenbank (Fed) führte. Ursprünglich hatten die Angreifer 951 Millionen abzweigen wollen, doch ein Schreibfehler wurde ihnen zum Verhängnis. Statt an eine „Foundation“ leiteten sie das Geld an eine „Fandation“ weiter. Ein misstrauisch gewordener Notenbanker stoppte die Überweisungen. Wenige Tage nach Bekanntwerden des Angriffs hatte Notenbankchef Atiur Rahman seinen Rücktritt eingereicht. Das Geld wurde an mehrere Banken überwiesen und offenbar in Kasinos auf den Philippinen gewaschen.
Swift – Ein Globales Finanzsystem
Ermittler des FBI gehen davon aus, dass mindestens ein Mitarbeiter der Zentralbank von Bangladesch die Diebe unterstützt haben dürfte. Hard- und Software der Bank sollen aber hoffnungslos veraltet gewesen sein.
Am vergangenen Dienstag hatten sich Vertreter von Swift, der Fed New York und der Notenbank von Bangladesch in Basel getroffen, um sich über den Angriff auszutauschen. Gemeinsam wolle man „die Täter der Justiz zuführen und das globale Finanzsystem vor dieser Art von Attacken schützen“.
EZB weiß um die Gefahr
Schon seit Jahren müssen Kunden beim Onlinebanking fürchten, dass ihre Zugangsdaten von Hackern abgegriffen werden könnten. Meist springen die Banken für den entstandenen Schaden ein. Was solche Attacken die Branche kosten, bleibt geheim. Mitunter greifen Hacker die Kundendaten auch direkt bei der Bank ab. Vor zwei Jahren hatten Hacker die Daten von rund 83 Millionen Konten bei der US-Bank JP Morgan abgeschöpft. Eine andere Masche besteht darin, mit gestohlenen Kreditkartendaten Geldautomaten zu plündern. In einem Fall, der 2013 in New York vor Gericht kam, wurden international so 45 Millionen Dollar abgezogen.
Auch die EZB ist sich der Gefahr durch Cyberattacken bewusst. Letzte Woche hatte das Handelsblatt über ein Pilotprojekt berichtet, das als Frühwarnsystem für europäische Banken dienen soll. Demnach erprobt die europäische Bankenaufsicht derzeit eine zentrale Meldestelle für Cyberangriffe, die als Frühwarn- und Analysesystem dienen soll. Damit sollen schwere Attacken rechtzeitig erkannt werden. Seit Februar befindet sich das System in einer Testphase. Bislang sind 18 der 130 Banken angeschlossen, die unter die Bankenaufsicht der EZB fallen.
