In dem US-Thriller "Sneakers - die Lautlosen" verschaffen sich zwei Studenten im Jahr 1969 über ein Terminal ihrer Universität Zugang zum Bankkonto des damaligen Präsidenten Richard Nixon und überweisen von dort eine Spende an das Komitee zur Legalisierung von Marihuana. Das ist der heitere Anfang einer spannenden Geschichte über talentierte Hacker, die ihr Geld damit verdienen, im Auftrag heimlich in die Computersysteme von Banken einzudringen. Der Thriller, der 1992 mit Robert Redford in der Hauptrolle in die Kinos kam, gab damals schon einen guten Einblick in die multiplen Anfälligkeiten der IT-Sicherheitssysteme der Finanzkonzerne.
Judith Wunschik, 47, kennt den Hollywoodstreifen. Die Leiterin für IT-Sicherheit bei der ING-Diba vergibt auch Aufträge an private Sicherheitsunternehmen, die Deutschlands drittgrößte Privatbank attackieren sollen, um Schwachstellen zu identifizieren. Die promovierte Physikerin führt in den achten Stock der ING-Diba-Zentrale in Frankfurt. "Hier ist das Kommandozentrum", sagt sie. Es ist der Raum, in dem die Bank ihre Abwehrfront aufgebaut hat. Man sieht rund ein Dutzend Mitarbeiter vor ihren Bildschirmen sitzen.
Das weltweite Finanzsystem befindet sich im Krieg mit kriminellen Hackern. Die Banken rüsten ihre bis zu 30 Jahre alten IT-Systeme auf, um sich zu wehren. Die Gegner klauen Geld von Konten oder überfluten die Webseiten der Banken mit Anfragen, bis diese unter dem Datenverkehr zusammenbrechen. Kunden haben dann keinen Zugang mehr zu ihrem Onlinekonto. Diese Attacken dienen als Ablenkungsmanöver oder Erpressungsgrundlage: Entweder die Bank zahlt - oder die Attacken gehen weiter.
Hacker versuchen den Jackpot zu knacken
Die Kriminellen schleichen sich auch direkt ein. Mutmaßlich nordkoreanischen Hackern ist es mehrmals gelungen, in das Backoffice von Banken einzudringen und deren SWIFT-Zugang zu nutzen*. Swift, so der Name des Systems, steht für "Society for Worldwide Interbank Financial Telecommunication". Im vergangenen Jahr konnten Kriminelle den Swift-Zugang der Zentralbank von Bangladesch hacken. Sie fingierten einen Überweisungsauftrag der Bank und raubten 81 Millionen Dollar. Der Fall rüttelte weltweit Sicherheitsbehörden auf: Über Swift wickeln 11 000 Zentralbanken, Geschäftsbanken und Investmentfirmen große Teile ihres Zahlungsverkehrs ab. Wenn Kriminelle dort eindringen, können sie theoretisch alle Bankkonten plündern - weltweit. Ein Jackpot.
"Es ist ein Wettrennen mit den bösen Jungs, die international vernetzt sind", sagt Marc Hofmann, verantwortlicher Sicherheitsexperte bei Swift. "Wir beraten die Banken dabei, wie sie ihren Swift-Zugang besser sichern können, etwa durch biometrische Zutrittskontrolle." Der Zahlungskontrollservice erlaube es Kunden darüber hinaus, sogenannte Weiße Listen mit potenziellen Empfängern zu erstellen, oder den Zahlungsverkehr auf bestimmte Uhrzeiten zu limitieren. Swift macht Druck auf die Anwender. "Wir verlangen von unseren Mitgliedern, dass sie bis Ende des Jahres eine Selbsterklärung unterschreiben, in der sie versichern, alle empfohlenen Sicherheitsmaßnahmen umgesetzt zu haben", sagt Hofmann. "Wer sich weigert, muss damit rechnen, dass eine Meldung an die Bankenaufsicht erfolgt."
Verbraucher sollten für ihre Online-Bankgeschäfte einige Sicherheitsvorkehrungen treffen. Es empfiehlt sich, die Betriebssysteme der Computer und mobilen Endgeräte immer mit den aktuellsten Sicherheits-Updates auszustatten. Das gilt auch für Virenscanner und andere Abwehrprogramme. Experten raten, beim Bankgeschäft sehr genau auf die Adresszeilen zu achten: www.postbank.de ist nicht das Gleiche wie www.post-bank.de. Kriminelle verteilen ihre Trojaner und andere Schadsoftware häufig über Mails. Deshalb gilt: Keine Mailanhänge öffnen von Absendern, die man nicht kennt. Mitunter kapern Hacker jedoch die Identität von Freunden und Bekannten und schicken Mails von deren Adresse aus. Es ist also immer Vorsicht geboten. Im Zweifel sollte der Mailempfänger zur Sicherheit den Bekannten anrufen und fragen, ob dieser tatsächlich eine Mail geschickt hat. Es gibt Internetseiten, auf denen die Wahrscheinlichkeit hoch ist, sich ein gefährliches Computervirus einzufangen. Das sind etwa Seiten, die illegal kostenpflichtige Fernsehprogramme ausstrahlen. Am besten wäre es, wenn man einen Computer ausschließlich für Bankgeschäfte reserviert - doch das ist natürlich teuer. Auch wer Bankgeschäfte über das Handy abwickelt, könnte die App für das Einmalkennwort (Tan) auf einem anderen Gerät installieren als die Banking-App. Hakan Tranriverdi/Markus Zydra
Auch die Aufsichtsbehörden sind alarmiert und prüfen die Sicherheitsarchitektur der Banken noch strenger. "Es hat zwar noch keinen spektakulären Erfolg der Cyberkriminellen gegeben", sagt der Präsident der deutschen Finanzaufsicht Bafin, Felix Hufeld. Doch er hält das nur für eine Frage der Zeit. Raimund Röseler, bei der Bafin für die Bankenaufsicht zuständig, sieht vor allem die oft veralteten IT-Systeme mit Sorge. Kürzlich sei es Mitarbeitern einer Bank gelungen, einen riesigen Geldbetrag "ins Nirwana" zu überweisen, ohne dass die IT das blockiert habe, erzählt er.
Das Problem: Die Banken arbeiten teilweise mit sehr alten Großrechnern und mit der Programmiersprache "Cobol", die überhaupt nur noch wenige Experten beherrschen. Andreas Bogk ist einer von ihnen. Er sagt, verglichen mit modernen Programmiersprachen sei es ein "Schmerz", in Cobol zu schreiben. "Das ist eine der ältesten Programmiersprachen, die heute noch in Verwendung ist."
Die Großrechner, auf denen Cobol eingesetzt wird, wurden unter der Annahme gebaut, dass das Netz, in dem sie stehen, sicher ist. Deshalb kommunizieren sie ohne zusätzliche Schutzmechanismen. "Zum Beispiel werden beim Zugriff auf den Großrechner mit dem Protokoll Telnet die Passwörter im Klartext versendet", sagt Bogk. Wenn Hacker also ihren Weg in das Netz finden, kommen sie schnell an Passwörter von Administratoren - und wären dann berechtigt, Transaktionen durchzuführen. Ein weiteres Manko: Die Großrechner der Banken brauchen lange zum Hochfahren. "Daher werden oft nur einmal im Jahr wichtige Sicherheits-Updates aufgespielt", sagt Bogk. Meist passiere das zu Ostern, wenn man drei Tage am Stück Zeit habe,um nach den Updates auch noch zu prüfen, ob alles funktioniert, und, falls nötig, Probleme zu beseitigen. Die Banken wissen also, warum sie in Gefahr sind.
Im Darknet wird ungeniert über die Tricks debattiert
Gleichzeitig wächst bei den Kunden das Unbehagen. Die Kriminellen kommen aus der Steckdose und dem Handy, sie kapern die Identität des Kunden, um unbemerkt Geld zu stehlen. Das hat viele Bankkunden verunsichert: Sie können nicht immer sicher sein, ob der E-Mail-Absender der ist, für den er sich ausgibt. Oder ob die Internetseite, bei der man sich einloggt, wirklich die der Bank ist. "Das ist für die Endkunden manchmal nicht einfach zu durchschauen", sagt ING-Diba-Sicherheitschefin Wunschik. Mitunter erhalten Bankkunden gefährliche Mails. Ein falscher Klick - und schon installiert sich ein Trojaner, der die Passwörter für das Onlinebanking abgreift. Viele Verbraucher werden daher schon nervös, wenn der Anmeldevorgang zum Onlinebanking aus unerfindlichen Gründen plötzlich abbricht. Ist man schon gehackt?
In den allermeisten Fällen ersetzen Banken ihren Kunden den Schaden, es sei denn sie können dem Kunden ein fehlerhaftes Verhalten nachweisen. "Ein Guthaben auf einem Bankkonto führt zu einem vertraglichen Anspruch, das eingezahlte Geld zurückzubekommen", sagt Manuel Lorenz, Bankrechtsexperte bei der Kanzlei Baker&McKenzie. "Die Bank hat im Ernstfall die Beweislast. Sie muss zeigen, dass der Kunde und nicht der Betrüger das Geld abgehoben hat. Wenn Banken diese Schäden ersetzen, dann tun sie das also nicht aus Kulanz, sondern weil sie dazu verpflichtet sind."
Die Geschichte der Banken ist schon immer auch eine Geschichte der großen Bankraube gewesen: Maskierte und bewaffnete Typen, die am Schalter mit Nachdruck die Herausgabe von Bargeld einfordern oder sich durch einen Tunnel heimlich einschleusen, um den Banktresor zu knacken. Die Geldhäuser haben aus diesen Überfällen stets gelernt und ihre Sicherheitsvorkehrungen angepasst. Doch wird ihnen das auch diesmal gelingen?
Der Krieg gegen die Hacker hat eine andere Qualität. Nirgends sind Bits und Bytes so schnell in Geld umzutauschen wie im Finanzsektor. Das lockt Kriminelle aus aller Welt an. In Diskussionsforen im Darknet besprächen diese ungeniert die Fälschung von Zahlungsaufträgen oder Sabotageakte, wie die Blockade von Online-zugängen für Bankkunden, erzählen Experten. Viele Kreditinstitute engagieren nun ihrerseits Hacker, um die Sicherheitssysteme zu testen. "Die Lebensläufe dieser Hacker sind natürlich ein Thema, etwa wenn Vorbestrafte beauftragt werden", sagt ein Bankmanager. Er räumt aber ein, dass die Institute auf das Spezialwissen dieser Hacker angewiesen sind: "Die Banken haben lange die Frage unterschätzt, ob sie überhaupt wissen, dass sie bereits angegriffen wurden", sagt er. Mittlerweile warnen auch die Aufsichtsbehörden vor solchen "Schläfern", die in die Systeme der Banken eindringen, dort unbemerkt verweilen, um Informationen aus der Sicherheitsarchitektur abzugreifen.
ING-Diba-Sicherheitschefin Wunschik zeigt im Kontrollraum auf einen Bildschirm an der Wand. "Hier sehen wir, wie viele Kunden gerade bei uns online sind." Diese Netzauslastung folge einem Muster, erzählt sie, weil die meisten Kunden ihre Geldgeschäfte in der Mittagspause machten. "Sobald die Auslastung unerwartet abweicht, könnte ein Angriff erfolgt sein. Wir sehen, wenn ein Betrüger an unsere Tore klopft, etwa, weil er ungewöhnliche Abfragen macht und wissen möchte, welche Ports offen sind", erzählt Wunschik. "Wir schauen, wer reinwill. Wir schauen auch, wer rausmöchte", sagt die IT-Expertin. "Vielleicht ist das ja einer, der gar kein Recht hatte, sich dort rumzutreiben."
*Artikel wurde aktualisiert, um klarzustellen, dass die mutmaßlich nordkoreanischen Hacker nicht direkt Swift-Systeme kompromittieren konnten.