Kriminelle sind in den letzten zwei Jahren unbemerkt in die Computersysteme von bis zu 100 Banken eingedrungen. Dabei sollen sie rund 300 Millionen Dollar erbeutet haben. Die Sicherheitsfirma Kaspersky, welche die Online-Diebstähle gemeinsam mit Interpol und Europol aufgedeckt hat, rechnet gar mit einer Schadenssumme von bis zu einer Milliarde Dollar. Noch sind viele Details im Dunkeln. Es dürfte sich aber um einen der grössten und raffiniertesten Diebstähle überhaupt handeln.
Die Carbanak-Gang schickte Nachrichten mit Schadprogrammen (zum Beispiel E-Mails mit Word-Anhängen) an wichtige Angestellte – dies von vertrauten E-Mail-Adressen aus. Zuvor hatten die Täter die Mail-Konten von Geschäftspartnern der Institute gehackt.
So infizierten sie in den Banken Rechner um Rechner, bis sie auf die Computer der Administratoren stiessen. Dort installierten sie Remote Access Tools. Das sind Programme, die PCs durchleuchten und auch Passwörter mitschneiden können. Über die Computer der Administratoren hatten sie Kontrolle über Überwachungskamers und Geldtransfersysteme. Die Kriminellen konnten sehen, was auf den PC-Bildschirmen der Bankmitarbeiter geschieht und zapften Videokameras an, die in den Büros an Wänden und Decken hängen.
Das Ziel der Spionage: Die Online-Kriminellen wollten verstehen, wie die Angestellten arbeiten, welche Eingabemasken sie aufrufen und wann sie welche Transaktionen durchführen. So konnten die Diebe zum Beispiel selbst Geldüberweisungen ausführen, die nicht auffielen, da sie das Verhalten der Bankmitarbeiter bis ins Detail imitierten.
Hacker-Gruppe: So funktioniert der globale Raubzug von Carbanak http://t.co/CZ6dkKDAoe pic.twitter.com/lBtSImEyLG
— DIE WELT (@welt) February 15, 2015Die Carbanak-Hacker mussten nicht kritische Banksysteme wie die Geldautomaten hacken oder mit Schadsoftware infizieren, sondern lediglich die Computer einzelner wichtiger Mitarbeiter. Es spielte für die Hacker daher auch keine Rolle, welche Software die einzelnen Banken verwenden.
Die Carbanak-Hacker hatten drei Methoden entwickelt, um das Geld von den Banken abzuzügeln:
In der Schweiz gibt es rund 5500 Geldautomaten. Sie werden von verschiedenen Banken betrieben und zum Teil von Drittfirmen betreut, sind aber alle über das gleiche Netzwerk verbunden. Dafür verantwortlich ist das international tätige Unternehmen SIX Payment Services. Auf Anfrage erklärt ein Fachmann, dass es bei uns nicht möglich sei, über eine Fernwartungssoftware die Kontrolle über einzelne Geldautomaten zu erlangen, um (böswillig) auf Konten zuzugreifen.
Mit der Software könne nicht in Transaktionen eingegriffen werden. Solche Programme dienten lediglich der Überwachung. Etwa um zu erkennen, ob ein Bankomat beschädigt sei oder das Druckerpapier aufgefüllt werden müsse. Zusätzlich gebe es die Möglichkeit, bei Problemen per Fernsteuerung einen Neustart zu veranlassen. Mehr nicht.
Die Täter des jüngsten Milliardenraubes konnten den Geldautomaten hingegen vortäuschen, dass in den Fächern nur kleine Noten lagen, obwohl in Wahrheit grosse darin steckten. Das erreichten sie, indem sie über die Fernwartungssoftware heimlich die Voreinstellungen zu den Geldscheinwerten änderten. Ein Komplize wartete dann vor dem Schlitz und kassierte ein Vielfaches der angeforderten Summe. Dem Vernehmen nach wäre dieser Trick hierzulande nicht möglich.
Welche Banken weltweit betroffen sind, ist noch nicht bekannt. Die meisten geschädigten Finanzinstitute gibt es in Russland und den USA. In Deutschland sollen laut Kaspersky mindestens neun Banken betroffen sein. Auch die Schweiz steht auf der Liste der betroffenen Länder. Bei der Melde- und Analysestelle Informationssicherung MELANI vom Bund heisst es auf Anfrage indes: «Es gibt momentan keine Indizien, ob und welche Schweizer Banken betroffen sind. Woher Kaspersky diese Informationen hat, entzieht sich unserer Kenntnis.» Erfahrungsgemäss seien Schweizer Banken im Vergleich zu ausländischen Finanzinstituten sehr gut geschützt. Daher gehe man nicht davon aus, dass eine Verletzung der Sorgfaltspflicht seitens Schweizer Banken vorliege.
Bei der ZKB heisst es: «Grundsätzlich ist es möglich, dass auch Schweizer Banken von diesen Attacken betroffen sind. Die Zürcher Kantonalbank ist jedoch durch Carbanak nicht betroffen.» UBS und Credit Suisse äussern sich nicht zum Fall Carbanak.
Vermutlich nicht. Max Klaus, Stellvertretender Leiter der Melde- und Analysestelle Informationssicherung MELANI vom Bund sagt: «Zum von Kaspersky gemeldeten Fall haben wir bisher keine Meldungen erhalten. Momentan laufen interne Abklärungen. Wir haben mit zahlreichen Banken ein Stillschweigeabkommen unterzeichnet, so dass wir keine Namen nennen dürften, auch wenn uns diese bekannt wären.»
Nochmal Max Klaus, Stellvertretender Leiter der Melde- und Analysestelle Informationssicherung MELANI: «Es gibt in der Schweiz keine Meldepflicht für Cybervorfälle. Daher würden wir keine Schadensumme nennen, auch wenn uns diese bekannt wäre. Die Dunkelziffer kann in jedem Fall sehr hoch sein, weil wir uns nur auf die uns gemeldeten Vorfälle abstützen können.»
Die Hacker gingen sehr bedacht vor und haben ihre Attacken geschickt hinter legitimen Geldüberweisungen versteckt. Im Durchschnitt habe ein solcher Angriff zwischen zwei und vier Monate gedauert, von der Infizierung des ersten Computers im Unternehmensnetzwerk der Bank bis zum eigentlichen Diebstahl. Sie erbeuteten auch nie mehr als 10 Millionen Dollar pro Raubzug, um nicht unnötig Aufmerksamkeit auf sich zu ziehen.
«Die Welt» schreibt: «Es geschah in Kiew, an einem Tag im Winter 2013. Der Automat einer Bank hatte Scheine bereitgestellt, ohne dass jemand eine Karte eingeführt hätte. Kameras zeichneten auf, wie Kunden vor die Maschine traten und das Geld einsteckten, scheinbar zufällig, einfach im richtigen Moment. Die Bank beauftragte die Experten von Kaspersky mit Ermittlungen.»
Nein. Die Täter sind unbekannt und rauben weiter Banken aus. Zumindest einige geschädigte Finanzinstitute dürften die Online-Überfälle auch künftig gar nicht bemerken, da die Kriminellen äusserst unauffällig vorgehen und kaum Spuren hinterlassen. Laut Kaspersky dürften die Carbanak-Hacker künftig vor allem in Europa, im Nahen Osten, Asien und Afrika aktiv werden.
Die Cyberkriminellen, die von Kaspersky «Carbanak Gang» genannt werden, sollen aus Russland, der Ukraine, der EU und China stammen. Sie sind seit mindestens Ende 2013 aktiv.
Carbanak hat es laut Kaspersky auf Geld und nur auf Geld abgesehen. Sie nutzen modifizierte Versionen des Carbanak-Schadprogramms (daher der Name der Gruppe) für ihre Onlineüberfälle. Bei ihren Raubzügen sind ihnen auch vertrauliche E-Mails, Passwörter, Crypto-Keys und mehr in die Hände gefallen. Vermutlich könnten sie auch Wirtschaftsspionage betreiben und Firmengeheimnisse weiterverkaufen.
«Der Vorgang markiert den Beginn einer neuen Phase in der Entwicklung der Cyberkriminalität, in der Geld direkt von Banken anstatt von Heimanwendern gestohlen wird», schreibt Kaspersky. Die Attacken unterstreichen, dass Kriminelle künftig jede Schwachstelle in jedem System ausnutzen werden, egal in welcher Branche sich das Unternehmen befindet: «Es gibt keine Branche, die immun gegen Attacken ist», wird Sanjay Virmani, Cyber-Ermittler bei Interpol, zitiert.
Über 100'000 Menschen nutzen bereits watson für die Hosentasche. Unsere App hat den «Best of Swiss Apps»-Award gewonnen und wird von Apple als «Beste Apps 2014» gelistet. Willst auch du mit watson auf frische Weise informiert sein? Hol dir jetzt die kostenlose App für iPhone/iPad und Android.
