Zum Hauptinhalt springen

Kriminelle Hacker:Wie angreifbar Banken sind

Lesezeit: 5 min

Foto: Imago (Foto: Stefan Dimitrov)
  • Das Finanzsystem befindet sich im Krieg mit kriminellen Hackern. Jetzt rüsten die Banken ihre alten IT-Systeme auf, um sich zu wehren.
  • Um ihre Verteidigung zu verbessern, bezahlen Banken sogar Hacker für "Testangriffe".
  • Auch die Aufsichtsbehörden sind alarmiert und prüfen die Sicherheitsarchitektur der Banken noch strenger.

Von Hakan Tanriverdi und Markus Zydra, Frankfurt

In dem US-Thriller "Sneakers - die Lautlosen" verschaffen sich zwei Studenten im Jahr 1969 über ein Terminal ihrer Universität Zugang zum Bankkonto des damaligen Präsidenten Richard Nixon und überweisen von dort eine Spende an das Komitee zur Legalisierung von Marihuana. Das ist der heitere Anfang einer spannenden Geschichte über talentierte Hacker, die ihr Geld damit verdienen, im Auftrag heimlich in die Computersysteme von Banken einzudringen. Der Thriller, der 1992 mit Robert Redford in der Hauptrolle in die Kinos kam, gab damals schon einen guten Einblick in die multiplen Anfälligkeiten der IT-Sicherheitssysteme der Finanzkonzerne.

Judith Wunschik, 47, kennt den Hollywoodstreifen. Die Leiterin für IT-Sicherheit bei der ING-Diba vergibt auch Aufträge an private Sicherheitsunternehmen, die Deutschlands drittgrößte Privatbank attackieren sollen, um Schwachstellen zu identifizieren. Die promovierte Physikerin führt in den achten Stock der ING-Diba-Zentrale in Frankfurt. "Hier ist das Kommandozentrum", sagt sie. Es ist der Raum, in dem die Bank ihre Abwehrfront aufgebaut hat. Man sieht rund ein Dutzend Mitarbeiter vor ihren Bildschirmen sitzen.

ExklusivIT-Sicherheit
:Schwachstelle im Mobilfunknetz: Kriminelle Hacker räumen Konten leer

Auch deutsche Kunden waren betroffen. O2-Telefonica bestätigte die Vorfälle. Die konkrete Schwachstelle, die die Kriminellen ausnutzten, ist seit zwei Jahren bekannt.

Von Hakan Tanriverdi und Markus Zydra

Das weltweite Finanzsystem befindet sich im Krieg mit kriminellen Hackern. Die Banken rüsten ihre bis zu 30 Jahre alten IT-Systeme auf, um sich zu wehren. Die Gegner klauen Geld von Konten oder überfluten die Webseiten der Banken mit Anfragen, bis diese unter dem Datenverkehr zusammenbrechen. Kunden haben dann keinen Zugang mehr zu ihrem Onlinekonto. Diese Attacken dienen als Ablenkungsmanöver oder Erpressungsgrundlage: Entweder die Bank zahlt - oder die Attacken gehen weiter.

Hacker versuchen den Jackpot zu knacken

Die Kriminellen schleichen sich auch direkt ein. Mutmaßlich nordkoreanischen Hackern ist es mehrmals gelungen, in das Backoffice von Banken einzudringen und deren SWIFT-Zugang zu nutzen*. Swift, so der Name des Systems, steht für "Society for Worldwide Interbank Financial Telecommunication". Im vergangenen Jahr konnten Kriminelle den Swift-Zugang der Zentralbank von Bangladesch hacken. Sie fingierten einen Überweisungsauftrag der Bank und raubten 81 Millionen Dollar. Der Fall rüttelte weltweit Sicherheitsbehörden auf: Über Swift wickeln 11 000 Zentralbanken, Geschäftsbanken und Investmentfirmen große Teile ihres Zahlungsverkehrs ab. Wenn Kriminelle dort eindringen, können sie theoretisch alle Bankkonten plündern - weltweit. Ein Jackpot.

"Es ist ein Wettrennen mit den bösen Jungs, die international vernetzt sind", sagt Marc Hofmann, verantwortlicher Sicherheitsexperte bei Swift. "Wir beraten die Banken dabei, wie sie ihren Swift-Zugang besser sichern können, etwa durch biometrische Zutrittskontrolle." Der Zahlungskontrollservice erlaube es Kunden darüber hinaus, sogenannte Weiße Listen mit potenziellen Empfängern zu erstellen, oder den Zahlungsverkehr auf bestimmte Uhrzeiten zu limitieren. Swift macht Druck auf die Anwender. "Wir verlangen von unseren Mitgliedern, dass sie bis Ende des Jahres eine Selbsterklärung unterschreiben, in der sie versichern, alle empfohlenen Sicherheitsmaßnahmen umgesetzt zu haben", sagt Hofmann. "Wer sich weigert, muss damit rechnen, dass eine Meldung an die Bankenaufsicht erfolgt."

Auch die Aufsichtsbehörden sind alarmiert und prüfen die Sicherheitsarchitektur der Banken noch strenger. "Es hat zwar noch keinen spektakulären Erfolg der Cyberkriminellen gegeben", sagt der Präsident der deutschen Finanzaufsicht Bafin, Felix Hufeld. Doch er hält das nur für eine Frage der Zeit. Raimund Röseler, bei der Bafin für die Bankenaufsicht zuständig, sieht vor allem die oft veralteten IT-Systeme mit Sorge. Kürzlich sei es Mitarbeitern einer Bank gelungen, einen riesigen Geldbetrag "ins Nirwana" zu überweisen, ohne dass die IT das blockiert habe, erzählt er.

Das Problem: Die Banken arbeiten teilweise mit sehr alten Großrechnern und mit der Programmiersprache "Cobol", die überhaupt nur noch wenige Experten beherrschen. Andreas Bogk ist einer von ihnen. Er sagt, verglichen mit modernen Programmiersprachen sei es ein "Schmerz", in Cobol zu schreiben. "Das ist eine der ältesten Programmiersprachen, die heute noch in Verwendung ist."

Die Großrechner, auf denen Cobol eingesetzt wird, wurden unter der Annahme gebaut, dass das Netz, in dem sie stehen, sicher ist. Deshalb kommunizieren sie ohne zusätzliche Schutzmechanismen. "Zum Beispiel werden beim Zugriff auf den Großrechner mit dem Protokoll Telnet die Passwörter im Klartext versendet", sagt Bogk. Wenn Hacker also ihren Weg in das Netz finden, kommen sie schnell an Passwörter von Administratoren - und wären dann berechtigt, Transaktionen durchzuführen. Ein weiteres Manko: Die Großrechner der Banken brauchen lange zum Hochfahren. "Daher werden oft nur einmal im Jahr wichtige Sicherheits-Updates aufgespielt", sagt Bogk. Meist passiere das zu Ostern, wenn man drei Tage am Stück Zeit habe,um nach den Updates auch noch zu prüfen, ob alles funktioniert, und, falls nötig, Probleme zu beseitigen. Die Banken wissen also, warum sie in Gefahr sind.

Gleichzeitig wächst bei den Kunden das Unbehagen. Die Kriminellen kommen aus der Steckdose und dem Handy, sie kapern die Identität des Kunden, um unbemerkt Geld zu stehlen. Das hat viele Bankkunden verunsichert: Sie können nicht immer sicher sein, ob der E-Mail-Absender der ist, für den er sich ausgibt. Oder ob die Internetseite, bei der man sich einloggt, wirklich die der Bank ist. "Das ist für die Endkunden manchmal nicht einfach zu durchschauen", sagt ING-Diba-Sicherheitschefin Wunschik. Mitunter erhalten Bankkunden gefährliche Mails. Ein falscher Klick - und schon installiert sich ein Trojaner, der die Passwörter für das Onlinebanking abgreift. Viele Verbraucher werden daher schon nervös, wenn der Anmeldevorgang zum Onlinebanking aus unerfindlichen Gründen plötzlich abbricht. Ist man schon gehackt?

In den allermeisten Fällen ersetzen Banken ihren Kunden den Schaden, es sei denn sie können dem Kunden ein fehlerhaftes Verhalten nachweisen. "Ein Guthaben auf einem Bankkonto führt zu einem vertraglichen Anspruch, das eingezahlte Geld zurückzubekommen", sagt Manuel Lorenz, Bankrechtsexperte bei der Kanzlei Baker&McKenzie. "Die Bank hat im Ernstfall die Beweislast. Sie muss zeigen, dass der Kunde und nicht der Betrüger das Geld abgehoben hat. Wenn Banken diese Schäden ersetzen, dann tun sie das also nicht aus Kulanz, sondern weil sie dazu verpflichtet sind."

Die Geschichte der Banken ist schon immer auch eine Geschichte der großen Bankraube gewesen: Maskierte und bewaffnete Typen, die am Schalter mit Nachdruck die Herausgabe von Bargeld einfordern oder sich durch einen Tunnel heimlich einschleusen, um den Banktresor zu knacken. Die Geldhäuser haben aus diesen Überfällen stets gelernt und ihre Sicherheitsvorkehrungen angepasst. Doch wird ihnen das auch diesmal gelingen?

Der Krieg gegen die Hacker hat eine andere Qualität. Nirgends sind Bits und Bytes so schnell in Geld umzutauschen wie im Finanzsektor. Das lockt Kriminelle aus aller Welt an. In Diskussionsforen im Darknet besprächen diese ungeniert die Fälschung von Zahlungsaufträgen oder Sabotageakte, wie die Blockade von Online-zugängen für Bankkunden, erzählen Experten. Viele Kreditinstitute engagieren nun ihrerseits Hacker, um die Sicherheitssysteme zu testen. "Die Lebensläufe dieser Hacker sind natürlich ein Thema, etwa wenn Vorbestrafte beauftragt werden", sagt ein Bankmanager. Er räumt aber ein, dass die Institute auf das Spezialwissen dieser Hacker angewiesen sind: "Die Banken haben lange die Frage unterschätzt, ob sie überhaupt wissen, dass sie bereits angegriffen wurden", sagt er. Mittlerweile warnen auch die Aufsichtsbehörden vor solchen "Schläfern", die in die Systeme der Banken eindringen, dort unbemerkt verweilen, um Informationen aus der Sicherheitsarchitektur abzugreifen.

ING-Diba-Sicherheitschefin Wunschik zeigt im Kontrollraum auf einen Bildschirm an der Wand. "Hier sehen wir, wie viele Kunden gerade bei uns online sind." Diese Netzauslastung folge einem Muster, erzählt sie, weil die meisten Kunden ihre Geldgeschäfte in der Mittagspause machten. "Sobald die Auslastung unerwartet abweicht, könnte ein Angriff erfolgt sein. Wir sehen, wenn ein Betrüger an unsere Tore klopft, etwa, weil er ungewöhnliche Abfragen macht und wissen möchte, welche Ports offen sind", erzählt Wunschik. "Wir schauen, wer reinwill. Wir schauen auch, wer rausmöchte", sagt die IT-Expertin. "Vielleicht ist das ja einer, der gar kein Recht hatte, sich dort rumzutreiben."

Geheimdienst
:Kaum ein Hacker will zum BND

Deutsche Geheimdienstler suchen verzweifelt IT-Spezialisten. Das Problem: Sie finden kaum jemanden. Die Kluft zwischen Hackern und Behörden erscheint unüberwindbar.

Von Georg Mascolo, Reiko Pinkert, Ronen Steinke, Hakan Tanriverdi

*Artikel wurde aktualisiert, um klarzustellen, dass die mutmaßlich nordkoreanischen Hacker nicht direkt Swift-Systeme kompromittieren konnten.

© SZ vom 27.05.2017 - Rechte am Artikel können Sie hier erwerben.
Zur SZ-Startseite

Lesen Sie mehr zum Thema

SZ Stellenmarkt
:Entdecken Sie attraktive Jobs

In anspruchsvollen Berufsfeldern im Stellenmarkt der SZ.

Jetzt entdecken

Gutscheine:

Zur SZ-Startseite