Es ist wohl der größte Bankraub der Geschichte: Hacker haben zwei Jahre lang von rund 100 Finanzinstituten geschätzt eine Mrd. Dollar gestohlen - mit ebenso neuen wie raffinierten Methoden. Und der Spuk geht weiter.
Wien. Im Winter 2013 spielte sich in Kiew eine seltsame Szene ab: Ein Bankomat begann plötzlich, wie von Geisterhand gesteuert Geldscheine auszuspucken. Niemand hatte davor eine Karte eingeführt oder Tasten gedrückt. Passanten nutzten die Gunst der Stunde und schnappten sich ein paar Banknoten. Das Geldhaus gab der bekannten russischen IT-Sicherheitsfirma Kaspersky Lab den Auftrag, dem Mysterium auf den Grund zu gehen. Sie fand heraus: Ein Cyber-Krimineller hatte als falscher Administrator dem Bankomaten die Anweisung gegeben, zu einem bestimmten Zeitpunkt eine definierte Summe auszuspucken. Nicht zum ersten Mal. Aber sonst stand immer ein Komplize beim Gerät und sammelte das Geld sein. Diesmal hatte er sich offenbar verspätet.
Eine kleine Panne mit großer Wirkung: Auf diese Weise kam Kaspersky Lab dem wohl bisher größten Bankraub der Geschichte auf die Spur. Erst im Lauf der Untersuchung, in die nun auch Interpol und FBI involviert sind, wurden die Dimensionen klar: Eine internationale Hacker-Gang namens Carbanak beraubte um die 100 Banken, E-Payment-Systeme und andere Finanzinstitutionen in aller Welt. Direkt nachweisbar ist der Diebstahl von 300 Mio. Dollar. Aber dabei geht es nur um Banken, die sich als Kunden von Kaspersky Hilfe suchend an die Sicherheitsexperten gewandt haben. Das gesamte bisherige Volumen des globalen Raubzugs schätzt die Firma auf eine Milliarde Dollar.
Banken fürchten um ihr Image
Erst jetzt geht sie damit an die Öffentlichkeit. Banken nennt sie nicht, mit ihnen ist Stillschweigen vereinbart. Zu peinlich ist es für die betroffenen Institute, dass sich Hacker monate- bis jahrelang unerkannt in ihren IT-Systemen einnisten können. Nur in welchen Ländern die Gauner aktiv waren, wird verraten (siehe Grafik). Österreich zählt nicht dazu – noch nicht. Denn die Hacker sind in ihren Methoden enttarnt, aber nicht gestellt. Carbarnak ist weiter aktiv.
Ein Grund zur Sorge. Denn die Art der Attacken ist neu: Bisher griffen Cyber-Kriminelle nur Online-Banking-Kunden an ihren Computern zu Hause an, nun unterminieren sie die Institute selbst. Die Gauner gehen dabei unheimlich raffiniert vor. Sie nehmen sich für jeden virtuellen Überfall zwei bis vier Monate Zeit – bis sie in der Lage sind, legale Transaktionen vorzutäuschen. Nur deshalb konnten sie so lange unerkannt bleiben. Dabei ist der erste Schritt des Angriffs noch ein Klassiker: Zuerst hacken die Täter Mail-Accounts von Geschäftspartnern der Bank. Mitarbeiter erhalten dann E-Mails von vertrauten Adressen. Sie öffnen arglos Anhänge – und schon ist das Schadprogramm auf ihrem Rechner.
Bisher zielte solches „Phishing“ meist darauf ab, Systeme lahmzulegen. Die Carbarnak-Software aber will nicht rasch verwüsten, sondern langsam lernen. Mit Engelsgeduld infiziert sie einen Rechner nach dem anderen, bis sie bei Administratoren landet. Etwa bei jenen, die für die Videoüberwachung in den Filialen zuständig sind. Dort filmen die Kameras an Wänden und Decken auch die Bildschirme der Mitarbeiter. Die Hacker schauen ihnen also über die Schulter. So erfahren sie die Klicks und Tastenkombinationen, die für typische Transaktionen erforderlich sind. Eine Variante ist die Fernwartungssoftware, mit der Administratoren Bankomaten reparieren und steuern. Schließlich können die Hacker die Arbeit der Bankmitarbeiter perfekt nachahmen. Nun geht es nur noch darum, daraus Kapital zu schlagen – und sich selbst Geld zuzuspielen.
Der Trick mit der Null
Neben dem Bankomattrick überweisen die Gauner auch Geld auf eigene Konten bei anderen Banken in Russland, China und den USA. Die eleganteste und ergiebigste Methode eröffnet sich ihnen, wenn sie Zugang zur Buchhaltung gewinnen. Dann können sie auf Konten kurz einmal eine Null hinzufügen und sich rasch die entstandene Differenz überweisen. Dem Inhaber fällt das nicht auf, weil sich der Kontostand nicht ändert. Und viele Banken überprüfen die Konten nur alle zehn Stunden – genug Zeit für die betrügerische Transaktion.
Sind die Hacker die größten Bankräuber der Geschichte? Der einzige ernsthafte Konkurrent für den – unter Ganoven sicher ehrenvollen – Titel ist Saddam Hussein. Im März 2003, am Vorabend der Bombardierung Bagdads, schickte der Diktator seinen Sohn zur irakischen Notenbank – mit der Vollmacht, das gesamte Bargeld abzuheben. Auch damals lag die Beute bei einer Milliarde Dollar. Wenn die Hacker diesen Rekord noch nicht überboten haben, sind sie zumindest schon nahe dran.
("Die Presse", Print-Ausgabe, 17.02.2015)