GlobalSign Blog

05 Jul 2018

Bankraub 4.0: Digitale Diebstähle führen zu Verlusten von über 1 Billion US-Dollar im Bereich Cyberkriminalität

Bankraub ist ein uraltes und in Film und Literatur gerne verherrlichtes Verbrechen. Die Realität und vor allem die Folgen sind eher ernüchternd. Nicht zuletzt deswegen, weil Banken die Verluste an ihre Kunden weitergeben. Heute haben wir es mit digitalem Bankraub  zu tun, ungleich eleganter, aber mit ebenso schwerwiegenden Folgen (wenn nicht schlimmeren) wie ihre analogen Vorbilder.

Das InsuranceJournal berichtet, dass Finanzdienstleister mehr als jede andere Branche investieren müssen um Cyberangriffe abzuwehren. Laut einem von Accenture und dem Ponemon Institute veröffentlichten Bericht hat sich die Zahl der Datenschutzverletzungen in den vergangenen fünf Jahren verdreifacht.

Die Studie "Cost of Cyber Crime" befasst sich eingehend mit den Kosten, die Finanzdienstleistunger zu tragen haben. Mit einer Kostenmethodik wurden dann Jahresvergleiche vorgenommen. Die Autoren der Studie konstatieren, dass "die durchschnittlichen Kosten von Cyberkriminalität für Finanzdienstleister weltweit in den letzten drei Jahren um mehr als 40 Prozent gestiegen sind - von 12,97 Millionen Dollar  pro Unternehmen im Jahr 2014 auf 18,28 Millionen Dollar im Jahr 2017. Dieser Wert liegt deutlich höher als die Durchschnittskosten von 11,7 Millionen Dollar pro Unternehmen aller einbezogenen Branchen. Die Analyse konzentriert sich auf die direkten Kosten der Vorfälle und schließt die längerfristigen Abhilfe nicht ein."

Die jährlichen durch Cyberkriminalität entstehenden Kosten werden auf etwa 1 Billion Dollar geschätzt. Um in etwa eine Vorstellung der Größenordnung zu bekommen: das ist ein Vielfaches der rund 300 Milliarden Dollar, die 2017 zur Beseitigung der Schäden durch Naturkatastrophen aufgewendet wurden.

In einem kürzlich erschienenen Bericht von Positive Technologies, einem führenden globalen Anbieter von Sicherheitslösungen für Schwachstellen und Compliance-Management für Unternehmen, finden sich neben Beispielen zu Banküberfällen auf dem Online-Weg, Ergebnisse von Penetrationstests und Sicherheitsanalysen von Informationssystemen für Banken in den letzten drei Jahren.

Banküberfall 4.0

Banküberfälle sind lukrativ und gleichzeitig besteht nur eine relativ geringe Gefahr entdeckt zu werden. Das inspiriert wieder andere Kriminelle, "online aktiv zu werden".  Während die eine Gruppe sich trennt oder eine andere von den  Strafverfolgungsbehörden zerschlagen wird, entstehen praktisch in Echtzeit neue Gruppierungen. In der Regel mit noch besseren Angriffstechniken ausgestattet. Und Cyberkriminelle passen sich rasch an veränderte Umgebungsbedingungen an:

„In Untergrundforen kann jeder ungehindert Software (inklusive detaillierter Anleitung) kaufen, um einen Angriff zu lancieren und die Bekanntschaft skrupelloser Bankangestellter und Geldwäscher machen. Wenn er richtig vorbereitet ist, kann ein Angreifer mit minimalem technischem Wissen Millionen Euro stehlen, obwohl man davon ausgehen sollte, dass solche Netzwerke ziemlich gut geschützt sind."

Einige Beispiele

Obwohl die Netzwerkumgebung einer typischen Bank streng überwacht wird, konnten die Penetrationstester in 100 Prozent der von Positive Technologies untersuchten Fälle volle Kontrolle über die Netzwerkinfrastruktur einer Bank erlangen. Bei über der Hälfte der getesteten Banken (58 Prozent) gelangten Angreifer über einen unberechtigten Zugriff auf Finanzanwendungen ins Netzwerk der betreffenden Bank. Bei 25 Prozent der Banken konnten Penetrationstester die Workstations für das ATM-Management kompromittieren.

Die folgenden Beispiele allein aus dem letzten Jahr zeigen in welchen Dimensionen wir denken müssen:

  • Diebstahl von 100 Millionen Dollar - 2017 begann mit einer Flut von Angriffen auf die Kartenverarbeitung in Osteuropa.
  • Diebstahl von 60 Millionen Dollar - Im Herbst 2017 griffen Eindringlinge die Far Eastern International Bank in Taiwan an, und lösten Überweisungen auf Konten in Kambodscha, Sri Lanka und den USA aus.
  • Diebstahl von 4 Millionen Dollar - Während Banken in Nepal aufgrund von Feiertagen geschlossen hatten, benutzten Kriminelle SWIFT, um Geld abzuheben. Die Banken konnten nur aufgrund ihrer rechtzeitigen Reaktion die Transaktionen nachverfolgen und einen beträchtlichen Teil der gestohlenen Gelder zurückholen.
  • Diebstahl von 1,5 Millionen Dollar - Anfang Dezember 2017 begannen öffentliche Quellen die MoneyTaker-Bande zu erwähnen, die Finanzinstitute in Russland und in den USA eineinhalb Jahre lang angegriffen hatte. Kriminelle griffen Kartenverarbeitungs- und Interbanktransfersysteme an, wobei es sich um Diebstähle in Höhe von durchschnittlich 500.000 Dollar in den USA und 1,26 Millionen Dollar in Russland handelte.
  • Diebstahl von 100.000 Dollar - Ebenfalls im Dezember 2017 tauchten Berichte über den ersten erfolgreichen SWIFT-Angriff auf eine russische Bank auf. Das Opfer des Hackerangriffs: Globex, eine Tochtergesellschaft von VEB. Verdächtigt wird die Cobalt Hacker-Bande, die sich auf Cyberangriffe auf Banken spezialisiert hat.

Wer steckt hinter den Angriffen?

Einige der aktivsten Banden der letzten drei Jahren sind

Cobalt — Carbanak — Lazarus — Lurk — Metel — GCMAN


Die bei den Penetrationstests gewonnenen Erkenntnisse veranschaulichen die Planungsmethodik für Angriffe sowie die von Cyberkriminellen am häufigsten genutzten Schwachstellen. Im Wesentlichen halten sich Angreifer bei ihrer Planung an fünf Phasen:

1. Erkunden und vorbereiten

2. Eindringen in das interne Netzwerk

3. Entwickeln des Angriffs und im Netzwerk Fuß fassen

4. Banksysteme kompromittieren und Gelder stehlen

5. Spuren verwischen

Für die erste Phase sammelt ein Angreifer erst ein Mal Informationen über die Bank:

  • Informationen zu Systemen und Software der Netzwerkumgebung,
  • Mitarbeiterdaten (wie E-Mail-Adressen, Telefonnummern, Positionen und Namen),
  • Namen von Partnern und Auftragnehmern sowie deren Systeme und Mitarbeiter,
  • Geschäftsprozesse und
  • Beispiele für vorbereitende Maßnahmen.

Die so zusammengetragenen Informationen nutzen die Angreifer dann um:

  • Schadsoftware für die in der Bank verwendeten Software- und Betriebssystemversionen zu entwickeln oder daran anzupassen
  • Phishing-E-Mails zu erstellen
  • eine Infrastruktur einzurichten (wie Domainregistrierung, Servermiete und Kauf von Exploits)
  • die Infrastruktur für Geldwäsche und Bargeldabhebung vorzubereiten
  • nach Geldkurieren zu suchen
  • die Infrastruktur und Schadsoftware zu testen

Die Ergebnisse der Penetrationstests

  • Bei 100% der Banken wurden Sicherheitslücken in Webanwendungen, unzureichende Netzwerksicherheit und Fehler bei der Serverkonfiguration festgestellt.
  • Bei 58% der Banken wurden Mängel in der Benutzerkonten- und Passwortverwaltung festgestellt.
  • Bei 22% der Banken konnten Experten bei externen Penetrationstests erfolgreich die Netzwerkumgebung durchbrechen.
  • 75% der Banken sind anfällig für Social-Engineering-Angriffe.
  • Bei 100% der Banken wurde die volle Kontrolle über die Infrastruktur erlangt.
  • Bei 58% der Banken erhielten Experten Zugang zu Bankensystemen.

Der Report befasst sich mit den Schwächen, die im Einzelnen dazu geführt haben, dass es bei mehr als der Hälfte der getesteten Banken möglich war, in deren Bankensysteme einzudringen:

  • Unzureichender Schutz gegen die Wiederherstellung von Anmeldeinformationen aus dem Betriebssystemspeicher
  • Wörterbuch-Passwörter
  • In Klartext gespeicherte sensible Daten
  • SQL-Injektion
  • Reversible Codierung
  • Im Anwendungsquellcode gespeicherte Anmeldeinformationen
  • Wiederverwendung von Anmeldeinformationen für mehrere Ressourcen
  • Veraltete Software
  • Unzureichender Schutz des Stammkontos

Schwachstellen der Netzwerkumgebung

Wie der Bericht weiter ausführt, "lassen sich die Hauptschwachstellen und Fehler in den Sicherheitsmechanismen, die häufig in der Umgebung des Banknetzwerks vorkommen, in vier Kategorien einteilen: Schwachstellen in Webanwendungen, unzureichende Netzwerksicherheit, Fehler bei der Serverkonfiguration und Mängel in der Software für Benutzerkonten- und Passwortverwaltung. Im Durchschnitt muss ein Angreifer, der in das interne Netzwerk der Bank eingedrungen ist, nur eine dieser vier Schwachstellen ausnutzen, um Zugang zu den elektronischen Kronjuwelen der Banken zu erhalten.“

Abschließend wartet der Bericht mit einigen konkreten Empfehlungen auf, die Schlimmeres verhindern helfen:

  1. Es  ist möglich, Endringlinge auszubremsen, wenn man einen Angriff rechtzeitig erkennt und stoppt. Mit geeigneten Schutzmaßnahmen lassen sich Verluste in jedem Stadium verhindern.
  2. E-Mail-Anhänge sollten in einer isolierten Umgebung (Sandbox) geprüft werden, anstatt sich ausschließlich auf Antivirenlösungen für Endpunkte zu verlassen.
  3. Es ist wichtig, Meldungen von Schutzsystemen zu konfigurieren und sofort auf Alerts zu reagieren.
  4. Sicherheitsereignisse müssen von einem internen oder externen Security Operations Center (SOC) unter Verwendung von SIEM-Lösungen (Security Information and Event Management) überwacht werden. Sie erleichtern es die Flut von Sicherheits-Events zu überwachen.

Und natürlich würde es helfen, wenn alle Beteiligten enger zusammenarbeiten und mehr Transparenz walten lassen: „Cyberkriminalität entwickelt sich weiter und schreitet rasch voran. Daher ist es von entscheidender Bedeutung, dass Banken, statt Vorfälle zu verbergen, ihr Wissen bündeln, indem sie Informationen über Angriffe in der Branche weitergeben, mehr über relevante Kompromittierungsindikatoren lernen und zur Sensibilisierung in der Branche beitragen."

Weitere Informationen zum Thema finden Sie in unserer technischen Blogserie:

Artikel teilen