Die E-Mail kommt vom Arbeitskollegen, den man gut kennt, im Anhang ein Text. Das ist nicht ungewöhnlich. Man arbeitet bei Projekten häufig zusammen. Der Klick auf das Dokument geht deshalb schnell von der Hand. Doch im selben Moment installiert sich im Hintergrund unbemerkt eine Schad-Software. Der Empfänger der E-Mail wird erst viel später merken, dass der Absender gar nicht der nette Kollege war. Vielmehr hatten Kriminelle dessen Identität gekapert und von seinem Konto in seinem Namen die E-Mail verschickt. So kam der Trojaner ins IT-System der Bank.
So ähnlich ist es bei der Zentralbank in Bangladesch passiert. Die Cyberkriminellen hatten die Spionage-Software in ein PDF-Programm eingeschleust, das ein Mitarbeiter der Bank öffnete. Damit war die Tür offen. Die Eindringlinge konnten im Namen der Zentralbank Geld auf ein ihnen genehmes Konto überweisen.
Selbst Notenbanken werden um Millionen erleichert - das zeigt, wie verwundbar das System ist
In der Finanzwirtschaft spezialisierten sich kriminelle Hacker in den letzten Jahren vornehmlich darauf, die Konten von Privatkunden zu plündern und Kreditkartendaten abzugreifen. Doch jetzt richtet sich die Attacke auf die wichtigsten Institutionen des globalen Finanzsystems. Zentralbanken gelten als Fort Knox der Finanzindustrie, als gut gesichert. Denn Notenbanker können Geld aus dem Nichts schaffen. Zudem überwachen viele Zentralbanken die Kreditinstitute des Landes. Die Sicherheitsvorkehrungen dort sollten also state of the art sein. Es gibt zuhauf sensible Daten. Jedes Leck ist eine Gefahr für das globale Finanzsystem. Normalerweise schweigen die Betroffenen, wenn so etwas passiert. Die Zentralbank von Bangladesch hat den Fall öffentlich gemacht und damit ein Tabu gebrochen. Zuletzt meldete eine vietnamesische Bank einen ähnlichen Vorfall.
Der Geldraub von Bangladesch hat den Scheinwerfer auf eine Institution gerichtet, von der viele Menschen wohl noch nie etwas gehört haben: die Gesellschaft für weltweiten Geldtransfer (Society for Worldwide Interbank Financial Telecommunication), Swift. Das System wickelt in mehr als 200 Staaten für 11 000 Banken den Geldverkehr ab. Swift ist das Nachrichtensystem des internationalen Zahlungsverkehrs. Wenn Bank X an Bank Y einen Geldbetrag überweisen möchte, dann schickt sie einen entsprechenden Überweisungsauftrag über das Kommunikationsnetzwerk Swift. Die Konten werden dann belastet oder erhalten die Gutschrift. Swift ist ein wichtiger Pfeiler für die Stabilität der globalen Finanzmärkte. Alle Zentralbanken, Geschäftsbanken und Investmentfirmen regeln auf diesem Weg ihre internationalen Handelsgeschäfte und Überweisungen.
Doch Banken müssen nun erleben, dass sich Hacker mit Tarnkappe bei Swift einschleusen, in die Identität des Kreditinstituts schlüpfen und unbemerkt Geld auf eigene Konten überweisen. Es sind unsichtbarer Gegner, die nicht durch die Haustür kommen, keine Tunnel graben oder Tresore aufschweißen. Cyber-Kriminelle kommen aus der Steckdose, aus dem Handy, aus dem Äther. Selbst wenn man den Angriff entdeckt, gibt es selten verwertbare Spuren. Die Sicherheitsbehörden sind hoffnungslos hinterher. Eine Verurteilung der Gangster ist in aller Regel schwer, weil sie in Staaten operieren, die solche Taten nicht so verfolgen, wie es wünschenswert wäre.
Da kann es nicht überraschen, dass die Anzahl der Hacker-Attacken in den vergangenen Jahren enorm gestiegen ist - weltweit und in allen Gesellschaftsbereichen. Im Jahr 2007 legten Internetangriffe gegen das estnische Parlament, gegen Banken, Ministerien und Rundfunkanstalten ganz Estland lahm. Das Bundestag-Netzwerk wurde im vergangenen Jahr gehackt. Nun hat es Swift erwischt.
Die Zentralbank von Bangladesch hat "nur" 80 Millionen Dollar verloren. Eigentlich wollten die Hacker eine Milliarde Dollar überweisen - doch dieser Plan scheiterte an einem Buchstabendreher in der Swift-Überweisung. Das nächste Mal werden die Hacker genauer arbeiten.
Wie auch Geldwäsche, Terrorismus und Steuerhinterziehung kann man die Cyber-Kriminalität nur durch internationale Kooperation bekämpfen. Nötig sind gemeinsame Ermittler sowie harmonisierte Standards bei der Sicherheit der IT-Systeme. Das muss nun politisch umgesetzt werden.
Digitale Sicherheitslücken in Firmen und Organisationen erhöhen nicht nur das Misstrauen der Kunden. Auch das Vertrauen der Angestellten untereinander wird zum Schaden aller ausgehöhlt: Die Arbeitsabläufe laufen unrund, wenn man sich am Job nie sicher sein kann, ob der Absender einer E-Mail wirklich der ist, für den er sich ausgibt.