SeongJoon Cho / Bloomberg

Cyberkriminalität

Wie Hacker eine Notenbank knacken

von Zoé Baches / 09.10.2016

Hacker nehmen weltweit Notenbanken ins Visier. Der Fall Bangladesh wirft die Frage auf, wo und wie genau derartige Angriffe passieren und ob es auch die Schweizer Nationalbank treffen könnte.

Bei einer der grössten virtuellen Attacken aller Zeiten hatten im Februar dieses Jahres Cyberkriminelle die Sicherheitssysteme der Notenbank von Bangladesh geknackt. Sie erbeuteten 81 Mio. $, die auf Konten in den Philippinen und von dort aus weitergeleitet wurden. Der Grossteil des Betrages wird immer noch vermisst. Internationale Hackergruppen wie Anonymous kündeten daraufhin weitere Angriffe auf Zentralbanken an. Diese sind wegen der riesigen Geldmengen, die sie täglich weltweit verschieben, ein attraktives Ziel. Nun hat die Bank für Internationalen Zahlungsausgleich, die Zentralbank der Notenbanken, eine Spezialeinheit für den Kampf gegen Hackerattacken gegründet.

Ein fingierter Mindestkurs

Ganz grundsätzlich bieten Zentralbanken verschiedene Angriffspunkte für Cyberattacken. Bei einem Angriff auf die Schweizer Nationalbank (SNB) beispielsweise könnten Hacker versuchen, die SNB-Website zu knacken. Man stelle sich beispielsweise vor, es würde am Morgen auf dieser Website die Wiedereinführung eines Mindestkurses des Frankens zum Euro verkündet, beispielsweise bei Fr. 1.30. Gleichzeitig würde die Falschmeldung an Agenturen und Zeitungen gemailt und würde ihr unmittelbar eine weitere E-Mail folgen, die eine Pressekonferenz mit dem SNB-Präsidenten um 12 Uhr ankündigt. Innerhalb der vielleicht nur sehr kurzen Zeitspanne, bis die SNB reagiert, könnte es zu Marktreaktionen kommen, mit deren Antizipation ein Dieb unter Umständen ein Vermögen verdienen könnte.

Ein weiteres Szenario böte eine Attacke auf die Repo-Plattform der Schweizer Börse SIX. Auf dieser „one-stop-shop“-Plattform wickelt die SNB ihre Repo-Geschäfte (Interbankenhandel), den Wertschriftenhandel und den Handel mit SNB-Schuldscheinen ab. Angreifbar wäre theoretisch auch die SIC-Plattform, über die 90% der Zahlungen innerhalb der Schweiz ausgeführt werden. Hacker könnten auch versuchen, das SNB-Devisengeschäft anzugreifen. So wickelt die SNB ihre Operationen im Devisenmarkt, auch diejenigen aus der Dependence in Singapur, offenbar nicht über die SIX-Plattform, sondern über die in New York stationierte CLS-Bank ab.

10.000 Hacker weltweit

Cyberkriminelle bevorzugen nun aber offensichtlich einen komplett anderen Ansatz. So sei im Fall Bangladesh die hauseigene Software geknackt worden, welche die Zentralbank an das führende internationale Interbanken-Netzwerk Swift anbindet, sagt Daniel Wettstein, Präsident der Interessenvertretung von Swift-Nutzern in der Schweiz. Swift überträgt auf ihrem System Swiftnet die internationalen Informationen zur Abwicklung des Zahlungsverkehrs. Weltweit wickeln 11 000 Finanzinstitute ihre Geschäfte über Swift ab, genauso die meisten internationalen Zahlungsausgleiche. Bei Swift werden jährlich rund 2,5 Mrd. Zahlungsaufträge aufgegeben, täglich arbeitet das Netzwerk mit Milliarden von Dollars.

Wettstein betont, dass in Bangladesh nicht das Swiftnet selber geknackt worden sei, sondern die Software, die die Zentralbank und jede Bank intern installieren muss, um ans Swift-System anzudocken. Von hier aus wurde die fingierte Zahlungsanweisung für die 81 Mio. $ aufgegeben. Genau diesen Weg über die Swift-Andockstelle wählten Hacker auch bei Angriffen auf Geschäftsbanken in Vietnam, Ecuador und der Ukraine.

Vollamtliche Kriminelle

„Auch ich würde eine Notenbank über Swift angreifen“, sagt ein Hacking-Spezialist. Generell würden Angreifer einfachere Ziele vor gut geschützten bevorzugen, zudem flössen die grossen Beträge im internationalen Verkehr. Im Fall Bangladesh wurde die Alliance-Access-Software geknackt, sagt Swift-Kenner Wettstein. Auch einige Schweizer Banken dürften diese Software zum Anschluss an Swift verwenden. Jede Bank entscheide aber selber, ob sie weitere Eintrittsbarrieren und, wenn ja, in welcher Höhe um ihre Software aufbaue. In der Schweiz seien diese Barrieren sehr hoch, im Fall Bangladesh dürften sie um einiges niedriger gewesen sein, so Wettstein.

Ein Angriff auf diese Andock-Software zum Swiftnet sei aber selbst für einen erfahrenen Hacker schwierig, sagt IT-Sicherheitsexperte Ulrich Fleck, Mitgründer der SEC Consult. Seine „White Hat“ Hacker hacken im Auftrag von Firmen deren IT-Systeme, um so die Sicherheitslücken zu finden, über die kriminelle „Black Hat“-Hacker eindringen könnten. Weltweit seien immerhin 10 000 Personen fähig und verfügten über die kriminelle Energie, einen solchen Angriff durchzuführen, sagt ein IT-Experte, der kürzlich Einsicht in den entsprechenden Bericht eines ausländischen Nachrichtendienstes hatte.

Fleck betont, dass er den manchmal in Hollywood-Filmen gezeigten, oft ideologisch getriebenen Hacker, der tagsüber einem „normalen“ Job nachgehe und nächtens bei einer „bösen“ Bank virtuell einbreche, noch nie angetroffen habe. Im Gegenteil, so Fleck, seien Hacker in der Realität Kriminelle, meist jüngere Männer unter 35, die ihren „Job“ vollamtlich ausübten. Befragte sagen, dass ein einziger Hacker den Angriff auf die Bank in Bangladesh hätte durchführen können. Allerdings sollen rund 20 Hacker beteiligt gewesen sein. Der Zeitaufwand habe aber in jedem Fall rund drei Monate betragen, führen die Spezialisten aus.

Geld waschen als Knackpunkt

Gemäss Fleck ist es heute der Normalfall, dass mehrere Hacker gemeinsam angreifen. Hinter derart konzertierten Aktionen stehe dann fast immer ein krimineller „Mastermind“ wie das organisierte Verbrechen, das über Strukturen zur Geldwäsche verfüge. „Viele Cyberattacken scheitern am Geldwaschen“, sagen Befragte. Der Eingang zweistelliger Millionenbeträge auf ein „normales“ Konto lasse heute nämlich bei vielen Banken sämtliche Alarmglocken läuten, erklären Bankspezialisten. Sobald das Geld virtuell auf ein Konto verbucht wurde, muss es dann so rasch als möglich aufgeteilt und auf weitere Konten verschoben werden.

Wie genau läuft ein solcher Angriff auf die Swift-Schnittstelle ab? Zuerst muss sich der Hacker Zugang zu einem Firmencomputer der angepeilten Organisation verschaffen. Dies kann rein technisch geschehen, indem er eine virtuelle Schwachstelle in einem Serversystem der Firma aufspürt, das mit dem Internet verbunden ist. Er kann sich eine solche Schwachstelle auch auf dem Schwarzmarkt kaufen (siehe Box).

Möglich ist zudem die Zusammenarbeit mit einem Mitarbeiter, einem Insider, durch den er Zugriff auf dessen Computer erhält. Oftmals aber startet ein Angriff mit einer einfachen Internetsuche nach „Swift“ oder dem Namen der anvisierten Organisation. Ziel ist es, zum Namen und damit zur E-Mail-Adresse eines Mitarbeiters zu gelangen. Dieser muss selber wohlgemerkt keinen Zugang zu Swift haben, er muss einzig über einen Firmencomputer verfügen.

„Das interessiert dich sicher“

Nun muss dieser Firmencomputer mit einem Schadcode („Malware“) infiziert werden. Dies geschah in Bangladesh mit einer auf die Zentralbank massgeschneiderten Schadsoftware. Um das zu erreichen, sieht sich der Hacker beispielsweise das Online-Profil des Mitarbeiters in den sozialen Netzwerken an. Vielleicht steht dort, dass das Opfer ein Fan der Comics von Grant Morrison ist. Aus dem Online-Profil entnimmt der Angreifer zudem den Namen eines Freundes. Jetzt schreibt der Hacker dem Mitarbeiter im Namen dieses Freundes eine E-Mail – von einer selbst erstellten, aber plausibel wirkenden Adresse. Nach einigen persönlichen Worten verweist der „Freund“ auf den neuen 25-Jahre-Jubiläumsband von Morrisons Kultcomic Arkham Asylum, der „dich sicher interessiert“. Der beigefügte Link führt nun augenscheinlich auf die Website des Comicverlages. In Wirklichkeit aber gelangt der Mitarbeiter auf eine vom Angreifer manipulierte Website.

Durch das Anklicken des Links wird nun die Malware auf den Firmencomputer geladen. Sie verbindet sich mit der Infrastruktur des Angreifers, der wiederum eine RAT-Software (Remote Access Trojan) nachladen kann. Diese erlaubt jetzt das Nachladen weiterer Software-Tools im Hintergrund. Nun kann der Hacker alle Aktionen vornehmen, die dem Mitarbeiter erlaubt sind; der Computer ist „übernommen“.

„Interne Suche geht schnell“

Auf diese Weise kann er in weiteren Systemen und Computern der Firma nach Schwachstellen suchen und so lange Computer um Computer übernehmen, bis der „richtige“ Rechner gefunden und übernommen ist – und der fatale Zahlungsauftrag gemacht werden kann. Diese interne Suche gehe schneller, als man denke, sagt Fleck. Interne Systeme würden oft nicht so gut geschützt wie im Internet exponierte, zudem würden Mitarbeiter oft die gleichen Passwörter in den verschiedenen Systemen gebrauchen.

Auch die SNB könnte im Prinzip von einem solchen Angriff betroffen sein; sie wickelt viele ihrer internationalen Geschäfte über Swift ab. Die Befragten sind sich aber einig, dass Hacker einfachere Ziele als die SNB oder generell eine Schweizer Bank vorziehen. Die Sicherheitsstandards seien in der Schweiz auch wegen des Regulators enorm hoch. Professor Hannes Lubich, langjähriger Leiter IT-Sicherheit bei der Bank Julius Bär, vergleicht die IT-Infrastruktur der SNB mit einem KMU. Sie sei überschaubarer, da kleiner und weniger komplex als bei grösseren Banken, die Mitarbeiter seien deshalb sensibilisierter. Ein Bankspezialist betont, dass heute kein Schweizer Banker einen ungeschützten USB-Stick an seinen Laptop anhängen könne, externe Links laufend überprüft würden oder gar nicht anklickbar seien und interne Systeme getrennt vom Internet aufgestellt würden.

Eindringen „sehr schwierig“

Die SNB will keine Details zu ihrem Sicherheitsdispositiv abgeben, verweist aber auf „umfangreiche Sicherheitsmassnahmen“, welche das Risiko eines Cyberangriffes stark reduzierten. Auch die Schweizer Börse SIX betont, dass ein erfolgreicher virtueller Hack der SNB oder des Schweizer Finanzplatzes generell „sehr schwierig“ sei.