Die Banken werden immer besser in der Abwehr von Angriffen aus dem Internet, sagt Cybercrime-Abwehrspezialist Bruce Nikkel. Die Konsequenz: Die Kriminellen spielen auf den Mann.

Bruce Nikkel macht aus seinem Respekt für Kriminelle keinen Hehl. Die Bewunderung des Experten für Cyberkriminalität gilt allerdings nur seinen direkten Gegnern: Hochintelligente, fantasievolle Diebe, die sich das Internet zunutze machen, um an das Geld anderer Leute zu kommen.

Der Dozent an der Berner Fachhochschule, der auch bei der UBS für die Abwehr und Untersuchung von Cyberkriminalität zuständig ist, sprach an der Digital Investigations Conference, welche diese Woche in Rüschlikon stattfand. Die dort versammelten Experten pflegen ein diskretes Metier: Fotos, auf welchen einzelne Teilnehmer zu erkennen sind, waren nicht erlaubt.

Elegant programmiert

In seinem Vortrag zeigte Nikkel die Evolution der Angriffe auf Banken und ihre Kunden auf. Von einfachem Phishing – der Versuch, durch täuschende Emails an Kreditkarteninformation oder Passwörter zu kommen – bis zu modernen Trojanern, über welche tausende von Computern gleichzeitig überwacht werden können.

An einem Beispiel eines solchen zeigte sich die widerwillige Bewunderung des Kanadiers für die Programmierer, welche hinter den Angriffen stecken. Auf einer Folie zeigte er einige Zeilen Computer-Code und schwärmte, wie elegant dieser geschrieben sei.

Aufwändige Maultiere

«Sich in ein Bankkonto zu hacken, ist nicht der schwierige Teil», sagte Nikkel. «Das Schwierige ist, an das Geld zu kommen.»

Dafür setzen die Kriminellen Kuriere – sogenannte «Mules», oder Maultiere – ein, welche das gestohlene Geld auf ihren Bankkonten entgegennehmen, abheben und dann auf anderen Kanälen weiterleiten. Ist das einmal passiert, lässt sich der Endempfänger nur noch schwer ermitteln.

Ein entsprechendes Netzwerk aufrecht zu erhalten ist allerdings aufwändig, während die IT-Infrastruktur hohe Kosten mit sich bringt. Deshalb lohnt sich der Aufwand, einzelne Bankkonten von Privatkunden anzugreifen nur bedingt.

Lukrative Ziele

Am meisten Geld gibt es bei Banken oder sogar Zentralbanken zu holen. So gelang es bei einem Angriff auf die Zentralbank von Bangladesch im Jahr 2016, 81 Millionen Dollar zu entwenden.

Aus einer gestohlenen Kreditkarte lassen sich laut Nikkel im Vergleich dazu nur ein paar hundert Franken herausholen. Verschafft man sich Zugang zu einem privaten Bankkonto können es Zehntausende sein. Firmen bieten demgegenüber lohnendere Ziele. Hier lassen sich mit einem einzigen erfolgreichen Angriff bereits Hundertrausende von Franken holen.

Social Engineering

Bei den Angriffen auf Unternehmen zeigt sich denn auch ein Trend: Social Engineering, das Manipulieren von Menschen über täuschend echte Emails oder Telefonanrufe, nimmt im Vergleich zu reinem Hacking zu.

«Die Technologie wird immer besser», erklärt Nikkel. «Die Menschen bleiben verwundbar.»

Gutgläubige Angestellte

So reicht die Gutgläubigkeit eines einzigen Angestellten aus, um die Anweisung eines vermeintlichen Vorgesetzten oder Geschäftspartners zu befolgen – mit teuren Konsequenzen. Auch hier gehen die Diebe häufig sehr geschickt vor, indem sie zum Beispiel ganze Email-Konversationen fälschen, welche sie dann an einen arglosen Auftragsempfänger weiterleiten.

In einem Fall, welcher finews.ch bekannt ist, wurde die gefälschte Email nur durch einen Fehler der Kriminellen erkannt: Sie hatten den Auftragsempfänger gesiezt. Nicht alle Mitarbeiter sind so aufmerksam und in einer auf Englisch verfassten Email wäre dieser Fehler nie aufgefallen.

Kein Passwort zwei Mal

Denn unabhängig davon, ob ein Unternehmen oder eine Privatperson das Ziel eines Angriffs sind: Das schwächste Glied ist der Mensch. Sei es, weil sie vertrauensselig auf einen Email-Anhang klicken, Informationen am Telefon weitergeben oder überall dasselbe Passwort verwenden.

Vor diesem letzten Faux-Pas warnte Nikkel zum Abschluss seiner Präsentation besonders eindringlich. Das komplizierteste Passwort schützt nicht, wenn es auch für den Login einer völlig ungesicherten Seite verwendet wird.

War die Übernahme der Credit Suisse durch die UBS rückblickend gesehen die beste Lösung?
Vote
War die Übernahme der Credit Suisse durch die UBS rückblickend gesehen die beste Lösung?
  • Ja, es gab keine andere, wirtschaftlich sinnvolle Alternative.
    26.66%
  • Nein, man hätte die Credit Suisse abwickeln sollen.
    18.54%
  • Nein, der Bund hätte die Credit Suisse übernehmen sollen.
    28.2%
  • Man hätte auch ausländische Banken als Käufer zulassen sollen.
    9.1%
  • Man hätte eine Lösung mit Schweizer Investoren suchen sollen.
    17.5%
← Back
powered by
pixel