bedeckt München 22°
vgwortpixel

Kriminelle Hacker:Wie angreifbar Banken sind

WIR

Foto: Imago

  • Das Finanzsystem befindet sich im Krieg mit kriminellen Hackern. Jetzt rüsten die Banken ihre alten IT-Systeme auf, um sich zu wehren.
  • Um ihre Verteidigung zu verbessern, bezahlen Banken sogar Hacker für "Testangriffe".
  • Auch die Aufsichtsbehörden sind alarmiert und prüfen die Sicherheitsarchitektur der Banken noch strenger.

In dem US-Thriller "Sneakers - die Lautlosen" verschaffen sich zwei Studenten im Jahr 1969 über ein Terminal ihrer Universität Zugang zum Bankkonto des damaligen Präsidenten Richard Nixon und überweisen von dort eine Spende an das Komitee zur Legalisierung von Marihuana. Das ist der heitere Anfang einer spannenden Geschichte über talentierte Hacker, die ihr Geld damit verdienen, im Auftrag heimlich in die Computersysteme von Banken einzudringen. Der Thriller, der 1992 mit Robert Redford in der Hauptrolle in die Kinos kam, gab damals schon einen guten Einblick in die multiplen Anfälligkeiten der IT-Sicherheitssysteme der Finanzkonzerne.

Judith Wunschik, 47, kennt den Hollywoodstreifen. Die Leiterin für IT-Sicherheit bei der ING-Diba vergibt auch Aufträge an private Sicherheitsunternehmen, die Deutschlands drittgrößte Privatbank attackieren sollen, um Schwachstellen zu identifizieren. Die promovierte Physikerin führt in den achten Stock der ING-Diba-Zentrale in Frankfurt. "Hier ist das Kommandozentrum", sagt sie. Es ist der Raum, in dem die Bank ihre Abwehrfront aufgebaut hat. Man sieht rund ein Dutzend Mitarbeiter vor ihren Bildschirmen sitzen.

IT-Sicherheit Schwachstelle im Mobilfunknetz: Kriminelle Hacker räumen Konten leer
IT-Sicherheit

Schwachstelle im Mobilfunknetz: Kriminelle Hacker räumen Konten leer

Auch deutsche Kunden waren betroffen. O2-Telefonica bestätigte die Vorfälle. Die konkrete Schwachstelle, die die Kriminellen ausnutzten, ist seit zwei Jahren bekannt.   Von Hakan Tanriverdi und Markus Zydra

Das weltweite Finanzsystem befindet sich im Krieg mit kriminellen Hackern. Die Banken rüsten ihre bis zu 30 Jahre alten IT-Systeme auf, um sich zu wehren. Die Gegner klauen Geld von Konten oder überfluten die Webseiten der Banken mit Anfragen, bis diese unter dem Datenverkehr zusammenbrechen. Kunden haben dann keinen Zugang mehr zu ihrem Onlinekonto. Diese Attacken dienen als Ablenkungsmanöver oder Erpressungsgrundlage: Entweder die Bank zahlt - oder die Attacken gehen weiter.

Hacker versuchen den Jackpot zu knacken

Die Kriminellen schleichen sich auch direkt ein. Mutmaßlich nordkoreanischen Hackern ist es mehrmals gelungen, in das Backoffice von Banken einzudringen und deren SWIFT-Zugang zu nutzen*. Swift, so der Name des Systems, steht für "Society for Worldwide Interbank Financial Telecommunication". Im vergangenen Jahr konnten Kriminelle den Swift-Zugang der Zentralbank von Bangladesch hacken. Sie fingierten einen Überweisungsauftrag der Bank und raubten 81 Millionen Dollar. Der Fall rüttelte weltweit Sicherheitsbehörden auf: Über Swift wickeln 11 000 Zentralbanken, Geschäftsbanken und Investmentfirmen große Teile ihres Zahlungsverkehrs ab. Wenn Kriminelle dort eindringen, können sie theoretisch alle Bankkonten plündern - weltweit. Ein Jackpot.

"Es ist ein Wettrennen mit den bösen Jungs, die international vernetzt sind", sagt Marc Hofmann, verantwortlicher Sicherheitsexperte bei Swift. "Wir beraten die Banken dabei, wie sie ihren Swift-Zugang besser sichern können, etwa durch biometrische Zutrittskontrolle." Der Zahlungskontrollservice erlaube es Kunden darüber hinaus, sogenannte Weiße Listen mit potenziellen Empfängern zu erstellen, oder den Zahlungsverkehr auf bestimmte Uhrzeiten zu limitieren. Swift macht Druck auf die Anwender. "Wir verlangen von unseren Mitgliedern, dass sie bis Ende des Jahres eine Selbsterklärung unterschreiben, in der sie versichern, alle empfohlenen Sicherheitsmaßnahmen umgesetzt zu haben", sagt Hofmann. "Wer sich weigert, muss damit rechnen, dass eine Meldung an die Bankenaufsicht erfolgt."

Darauf sollte man im Netz achten

Verbraucher sollten für ihre Online-Bankgeschäfte einige Sicherheitsvorkehrungen treffen. Es empfiehlt sich, die Betriebssysteme der Computer und mobilen Endgeräte immer mit den aktuellsten Sicherheits-Updates auszustatten. Das gilt auch für Virenscanner und andere Abwehrprogramme. Experten raten, beim Bankgeschäft sehr genau auf die Adresszeilen zu achten: www.postbank.de ist nicht das Gleiche wie www.post-bank.de. Kriminelle verteilen ihre Trojaner und andere Schadsoftware häufig über Mails. Deshalb gilt: Keine Mailanhänge öffnen von Absendern, die man nicht kennt. Mitunter kapern Hacker jedoch die Identität von Freunden und Bekannten und schicken Mails von deren Adresse aus. Es ist also immer Vorsicht geboten. Im Zweifel sollte der Mailempfänger zur Sicherheit den Bekannten anrufen und fragen, ob dieser tatsächlich eine Mail geschickt hat. Es gibt Internetseiten, auf denen die Wahrscheinlichkeit hoch ist, sich ein gefährliches Computervirus einzufangen. Das sind etwa Seiten, die illegal kostenpflichtige Fernsehprogramme ausstrahlen. Am besten wäre es, wenn man einen Computer ausschließlich für Bankgeschäfte reserviert - doch das ist natürlich teuer. Auch wer Bankgeschäfte über das Handy abwickelt, könnte die App für das Einmalkennwort (Tan) auf einem anderen Gerät installieren als die Banking-App. Hakan Tranriverdi/Markus Zydra

Auch die Aufsichtsbehörden sind alarmiert und prüfen die Sicherheitsarchitektur der Banken noch strenger. "Es hat zwar noch keinen spektakulären Erfolg der Cyberkriminellen gegeben", sagt der Präsident der deutschen Finanzaufsicht Bafin, Felix Hufeld. Doch er hält das nur für eine Frage der Zeit. Raimund Röseler, bei der Bafin für die Bankenaufsicht zuständig, sieht vor allem die oft veralteten IT-Systeme mit Sorge. Kürzlich sei es Mitarbeitern einer Bank gelungen, einen riesigen Geldbetrag "ins Nirwana" zu überweisen, ohne dass die IT das blockiert habe, erzählt er.

Das Problem: Die Banken arbeiten teilweise mit sehr alten Großrechnern und mit der Programmiersprache "Cobol", die überhaupt nur noch wenige Experten beherrschen. Andreas Bogk ist einer von ihnen. Er sagt, verglichen mit modernen Programmiersprachen sei es ein "Schmerz", in Cobol zu schreiben. "Das ist eine der ältesten Programmiersprachen, die heute noch in Verwendung ist."

Die Großrechner, auf denen Cobol eingesetzt wird, wurden unter der Annahme gebaut, dass das Netz, in dem sie stehen, sicher ist. Deshalb kommunizieren sie ohne zusätzliche Schutzmechanismen. "Zum Beispiel werden beim Zugriff auf den Großrechner mit dem Protokoll Telnet die Passwörter im Klartext versendet", sagt Bogk. Wenn Hacker also ihren Weg in das Netz finden, kommen sie schnell an Passwörter von Administratoren - und wären dann berechtigt, Transaktionen durchzuführen. Ein weiteres Manko: Die Großrechner der Banken brauchen lange zum Hochfahren. "Daher werden oft nur einmal im Jahr wichtige Sicherheits-Updates aufgespielt", sagt Bogk. Meist passiere das zu Ostern, wenn man drei Tage am Stück Zeit habe,um nach den Updates auch noch zu prüfen, ob alles funktioniert, und, falls nötig, Probleme zu beseitigen. Die Banken wissen also, warum sie in Gefahr sind.