Digital
Wirtschaft

Warum Schweizer Geldautomaten sicher sind und 13 weitere Dinge, die du über den grössten Internet-Bankraub wissen musst

Cyberkriminelle verschafften sich weltweit Zugriff auf die Computer wichtiger Bankmitarbeiter. So konnten sie unbemerkt Millionenbeträge abzügeln.
Cyberkriminelle verschafften sich weltweit Zugriff auf die Computer wichtiger Bankmitarbeiter. So konnten sie unbemerkt Millionenbeträge abzügeln.bild: kaspersky
Der grosse Online-Raubüberfall

Warum Schweizer Geldautomaten sicher sind und 13 weitere Dinge, die du über den grössten 
Internet-Bankraub wissen musst

Sie zapften Überwachungskameras an, manipulierten Geldautomaten und spionierten die Bildschirme von Bankern aus. Die Carbanak-Hacker haben bei Hunderten Angriffen weltweit Finanzinstitute um bis zu eine Milliarde Dollar erleichtert. Auch Schweizer Banken sollen betroffen sein.
16.02.2015, 15:2118.02.2015, 21:15
Philipp Rüegg
Mehr «Digital»

Was ist passiert?

Kriminelle sind in den letzten zwei Jahren unbemerkt in die Computersysteme von bis zu 100 Banken eingedrungen. Dabei sollen sie rund 300 Millionen Dollar erbeutet haben. Die Sicherheitsfirma Kaspersky, welche die Online-Diebstähle gemeinsam mit Interpol und Europol aufgedeckt hat, rechnet gar mit einer Schadenssumme von bis zu einer Milliarde Dollar. Noch sind viele Details im Dunkeln. Es dürfte sich aber um einen der grössten und raffiniertesten Diebstähle überhaupt handeln.

Die spektakulärsten Raubüberfälle der Geschichte

1 / 14
Die spektakulärsten Raubüberfälle der Geschichte
Einem Geldboten des Londoner Brokerhauses Sheppard wurden im Mai 1990 Wertpapiere für 413 Mio. Euro gestohlen.
quelle: shutterstock / shutterstock
Auf Facebook teilenAuf X teilen

Wie konnten die Diebe unbemerkt Millionen stehlen?

Die Hacker konnten in Echtzeit sehen, welche Geldüberweisungen die Bankmitarbeiter ausführten.
Die Hacker konnten in Echtzeit sehen, welche Geldüberweisungen die Bankmitarbeiter ausführten.bild: kaspersky

Die Carbanak-Gang schickte Nachrichten mit Schadprogrammen (zum Beispiel E-Mails mit Word-Anhängen) an wichtige Angestellte – dies von vertrauten E-Mail-Adressen aus. Zuvor hatten die Täter die Mail-Konten von Geschäftspartnern der Institute gehackt.

So infizierten sie in den Banken Rechner um Rechner, bis sie auf die Computer der Administratoren stiessen. Dort installierten sie Remote Access Tools. Das sind Programme, die PCs durchleuchten und auch Passwörter mitschneiden können. Über die Computer der Administratoren hatten sie Kontrolle über Überwachungskamers und Geldtransfersysteme. Die Kriminellen konnten sehen, was auf den PC-Bildschirmen der Bankmitarbeiter geschieht und zapften Videokameras an, die in den Büros an Wänden und Decken hängen.

Das Ziel der Spionage: Die Online-Kriminellen wollten verstehen, wie die Angestellten arbeiten, welche Eingabemasken sie aufrufen und wann sie welche Transaktionen durchführen. So konnten die Diebe zum Beispiel selbst Geldüberweisungen ausführen, die nicht auffielen, da sie das Verhalten der Bankmitarbeiter bis ins Detail imitierten.

So funktionierte der Internet-Bankraub

video: youtube/Kaspersky Lab

Wie gelangte das Geld zu den Internet-Dieben?

Die Carbanak-Hacker mussten nicht kritische Banksysteme wie die Geldautomaten hacken oder mit Schadsoftware infizieren, sondern lediglich die Computer einzelner wichtiger Mitarbeiter. Es spielte für die Hacker daher auch keine Rolle, welche Software die einzelnen Banken verwenden.

Die Carbanak-Hacker hatten drei Methoden entwickelt, um das Geld von den Banken abzuzügeln:

  • Online-Banking: Wenn die Diebe das Bankensystem ausspioniert hatten, überwiesen sie via interne E-Payment-Systeme Geld an eigene Konten. Das Geld soll jeweils auf Konten in China oder Amerika hinterlegt worden sein.
  • Manipulierte Kontostände: Die Angreifer sollen den Kontostand fremder Konten um den Betrag erhöht haben, den sie anschliessend an sich selbst transferierten. So sind den Inhabern der Konti keine Unregelmässigkeiten aufgefallen. Ein Beispiel: Wenn auf einem Konto 1000 Franken liegen, haben die Kriminellen den Kontostand auf 10'000 Franken erhöht und dann 9000 Franken an sich selbst überwiesen.
  • Ferngesteuerte Geldautomaten: Die Angreifer konnten Geldautomaten aus der Ferne anweisen, zu einem bestimmten Zeitpunkt Geld auszugeben. Das Geld wurde dann von einem Handlanger in Empfang genommen. Die Täter konnten den Geldautomaten vortäuschen, dass in den Fächern nur kleine Noten lagen, obwohl in Wahrheit grosse darin steckten.
Die Täter des jüngsten Milliardenraubes konnten Geldautomaten fernsteuern und so unbemerkt Geld abheben.
Die Täter des jüngsten Milliardenraubes konnten Geldautomaten fernsteuern und so unbemerkt Geld abheben.bild: kaspersky

Könnten Hacker auch Schweizer Geldautomaten überlisten?

In der Schweiz gibt es rund 5500 Geldautomaten. Sie werden von verschiedenen Banken betrieben und zum Teil von Drittfirmen betreut, sind aber alle über das gleiche Netzwerk verbunden. Dafür verantwortlich ist das international tätige Unternehmen SIX Payment Services. Auf Anfrage erklärt ein Fachmann, dass es bei uns nicht möglich sei, über eine Fernwartungssoftware die Kontrolle über einzelne Geldautomaten zu erlangen, um (böswillig) auf Konten zuzugreifen. 

Mit der Software könne nicht in Transaktionen eingegriffen werden. Solche Programme dienten lediglich der Überwachung. Etwa um zu erkennen, ob ein Bankomat beschädigt sei oder das Druckerpapier aufgefüllt werden müsse. Zusätzlich gebe es die Möglichkeit, bei Problemen per Fernsteuerung einen Neustart zu veranlassen. Mehr nicht. 

Die Täter des jüngsten Milliardenraubes konnten den Geldautomaten hingegen vortäuschen, dass in den Fächern nur kleine Noten lagen, obwohl in Wahrheit grosse darin steckten. Das erreichten sie, indem sie über die Fernwartungssoftware heimlich die Voreinstellungen zu den Geldscheinwerten änderten. Ein Komplize wartete dann vor dem Schlitz und kassierte ein Vielfaches der angeforderten Summe. Dem Vernehmen nach wäre dieser Trick hierzulande nicht möglich. 

Wurden auch Schweizer Banken heimlich ausgeraubt?

Welche Banken weltweit betroffen sind, ist noch nicht bekannt. Die meisten geschädigten Finanzinstitute gibt es in Russland und den USA. In Deutschland sollen laut Kaspersky mindestens neun Banken betroffen sein. Auch die Schweiz steht auf der Liste der betroffenen Länder. Bei der Melde- und Analysestelle Informationssicherung MELANI vom Bund heisst es auf Anfrage indes: «Es gibt momentan keine Indizien, ob und welche Schweizer Banken betroffen sind. Woher Kaspersky diese Informationen hat, entzieht sich unserer Kenntnis.» Erfahrungsgemäss seien Schweizer Banken im Vergleich zu ausländischen Finanzinstituten sehr gut geschützt. Daher gehe man nicht davon aus, dass eine Verletzung der Sorgfaltspflicht seitens Schweizer Banken vorliege. 

Carbanak: Bis zu hundert Banken in fast 30 Ländern wurden Opfer des Diebstahls. Laut Kaspersky ist auch die Schweiz betroffen.
Carbanak: Bis zu hundert Banken in fast 30 Ländern wurden Opfer des Diebstahls. Laut Kaspersky ist auch die Schweiz betroffen.grafik: kaspersky 

Was sagen die Schweizer Banken?

Bei der ZKB heisst es: «Grundsätzlich ist es möglich, dass auch Schweizer Banken von diesen Attacken betroffen sind. Die Zürcher Kantonalbank ist jedoch durch Carbanak nicht betroffen.» UBS und Credit Suisse äussern sich nicht zum Fall Carbanak. 

Werden wir je wissen, welche Schweizer Banken betroffen sind?

Vermutlich nicht. Max Klaus, Stellvertretender Leiter der Melde- und Analysestelle Informationssicherung MELANI vom Bund sagt: «Zum von Kaspersky gemeldeten Fall haben wir bisher keine Meldungen erhalten. Momentan laufen interne Abklärungen. Wir haben mit zahlreichen Banken ein Stillschweigeabkommen unterzeichnet, so dass wir keine Namen nennen dürften, auch wenn uns diese bekannt wären.»

Wie viel Geld haben Schweizer Banken allenfalls verloren?

Nochmal Max Klaus, Stellvertretender Leiter der Melde- und Analysestelle Informationssicherung MELANI: «Es gibt in der Schweiz keine Meldepflicht für Cybervorfälle. Daher würden wir keine Schadensumme nennen, auch wenn uns diese bekannt wäre. Die Dunkelziffer kann in jedem Fall sehr hoch sein, weil wir uns nur auf die uns gemeldeten Vorfälle abstützen können.» 

Warum fielen die Online-Diebstähle so lange nicht auf?

Die Hacker gingen sehr bedacht vor und haben ihre Attacken geschickt hinter legitimen Geldüberweisungen versteckt. Im Durchschnitt habe ein solcher Angriff zwischen zwei und vier Monate gedauert, von der Infizierung des ersten Computers im Unternehmensnetzwerk der Bank bis zum eigentlichen Diebstahl. Sie erbeuteten auch nie mehr als 10 Millionen Dollar pro Raubzug, um nicht unnötig Aufmerksamkeit auf sich zu ziehen.

Warum flogen die Diebe nun doch auf?

«Die Welt» schreibt: «Es geschah in Kiew, an einem Tag im Winter 2013. Der Automat einer Bank hatte Scheine bereitgestellt, ohne dass jemand eine Karte eingeführt hätte. Kameras zeichneten auf, wie Kunden vor die Maschine traten und das Geld einsteckten, scheinbar zufällig, einfach im richtigen Moment. Die Bank beauftragte die Experten von Kaspersky mit Ermittlungen.»

Wurden die Online-Gauner gefasst?

Nein. Die Täter sind unbekannt und rauben weiter Banken aus. Zumindest einige geschädigte Finanzinstitute dürften die Online-Überfälle auch künftig gar nicht bemerken, da die Kriminellen äusserst unauffällig vorgehen und kaum Spuren hinterlassen. Laut Kaspersky dürften die Carbanak-Hacker künftig vor allem in Europa, im Nahen Osten, Asien und Afrika aktiv werden.

Wer steckt hinter der Cybergang Carbanak?

Die Cyberkriminellen, die von Kaspersky «Carbanak Gang» genannt werden, sollen aus Russland, der Ukraine, der EU und China stammen. Sie sind seit mindestens Ende 2013 aktiv.

Haben die Diebe mehr als nur Geld gestohlen?

Carbanak hat es laut Kaspersky auf Geld und nur auf Geld abgesehen. Sie nutzen modifizierte Versionen des Carbanak-Schadprogramms (daher der Name der Gruppe) für ihre Onlineüberfälle. Bei ihren Raubzügen sind ihnen auch vertrauliche E-Mails, Passwörter, Crypto-Keys und mehr in die Hände gefallen. Vermutlich könnten sie auch Wirtschaftsspionage betreiben und Firmengeheimnisse weiterverkaufen.

Was ist beim Cabarnak-Coup anders als bei bisherigen E-Banking-Angriffen?

«Der Vorgang markiert den Beginn einer neuen Phase in der Entwicklung der Cyberkriminalität, in der Geld direkt von Banken anstatt von Heimanwendern gestohlen wird», schreibt Kaspersky. Die Attacken unterstreichen, dass Kriminelle künftig jede Schwachstelle in jedem System ausnutzen werden, egal in welcher Branche sich das Unternehmen befindet: «Es gibt keine Branche, die immun gegen Attacken ist», wird Sanjay Virmani, Cyber-Ermittler bei Interpol, zitiert.

Hier kannst du allen Artikeln aus der Rubrik Digital & Games folgen

Kennst du schon die watson-App?

Über 100'000 Menschen nutzen bereits watson für die Hosentasche. Unsere App hat den «Best of Swiss Apps»-Award gewonnen und wird von Apple als «Beste Apps 2014» gelistet. Willst auch du mit watson auf frische Weise informiert sein? Hol dir jetzt die kostenlose App für iPhone/iPad und Android.

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
Hast du technische Probleme?
Wir sind nur eine E-Mail entfernt. Schreib uns dein Problem einfach auf support@watson.ch und wir melden uns schnellstmöglich bei dir.
2 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
2
Putin gründet KI-Allianz gegen den Westen – das steckt dahinter
Russland will Länder des Globalen Südens mit Künstlicher Intelligenz unterstützen. Fraglich ist, woher die Ressourcen kommen sollen.

Auf der internationalen Konferenz «AI Journey» in Moskau hat der russische Präsident Wladimir Putin am Montag die Rolle Künstlicher Intelligenz (KI) für die globale Entwicklung hervorgehoben.

Zur Story