Neue SWIFT-Regeln für Finanzdienstleister
Unbezahlbar
Um ein Haar wäre es Hackern im vergangenen Jahr gelungen, einen der größten Betrugsfälle aller Zeiten durchzuziehen und eine knappe Milliarde US-Dollar zu erbeuten. Der SWIFT-Verbund macht nun Druck, die IT-Security in dem Bankennetzwerk flächendeckend zu stärken.
Es war eine Aktion, die das Zeug zum Krimi hatte. Im Februar 2016 schafften es bis heute unbekannte Hacker, das Zahlungsnetzwerk von SWIFT für ihre kriminellen Zwecke auszunutzen. Sie missbrauchten Zugriffsrechte und Systeme der Bangladesh Bank, um 35 Zahlungsaufträge mit einem Gesamtwert von über 950 Millionen US-Dollar vom Konto der Bank bei der Federal Reserve Bank of New York (New York FED) direkt ins SWIFT-Netzwerk einzuspeisen. Beinahe wäre den Hackern ein unglaublicher Coup gelungen, hätten nicht weiterführende manuelle Kontrollen den größten Schaden verhindert.
Nichtsdestotrotz gelang es den Hackern, fünf der 35 Zahlungsaufträge abzuwickeln. Der Schaden war damit immer noch erheblich, da rund 81 Mio. US-Dollar auf vier private Bankkonten der Hacker auf den Philippinen gelangten (weitere Informationen dazu sind über ix.de/ix1712104 zu finden). Eine Rückverfolgung dieser Zahlungen sowie des weiteren Transaktionsverlaufs war in der Folge nicht mehr möglich.
Schwierige Suche nach der Schwachstelle
Die Suche nach potenziellen Schwachstellen erwies sich als überaus schwierig. Zwar zeigte sich schnell, dass die SWIFT-seitigen Komponenten (Software, Hardware, Schutzsysteme, SWIFT-Netzwerk et cetera) nicht betroffen waren. Ausgenutzt wurden stattdessen kundenseitig unzureichend geschützte Umgebungen, Endsysteme und Accounts. Zusätzlich wurden Softwarekomponenten, beispielsweise ein PDF-Reader, so verändert, dass man manipulierte Zahlungen nicht mehr erkennen konnte. Gelingt es Hackern, an Administratorrechte eines SWIFT-Nutzers zu gelangen, kann das Bollwerk der SWIFT einen möglichen Schaden nur noch beschränken. Basierend auf den Erkenntnissen der Schwachstellensuche veröffentlichte SWIFT im Mai 2016 eine Erklärung, wonach jeder SWIFT-Nutzer – also Inhaber eines Business Identifier Code (BIC 8) – sich weiterhin um die interne Sicherheit selbst kümmern muss. Zudem sei künftig eine Selbstdeklaration zum Status der internen IT-Sicherheit einzureichen.
Die Nachrichtenagentur Reuters berichtete in der Folge, dass das Eindringen in die Systeme der geschädigten Bank vor allem einer unzureichenden Sicherheitsinfrastruktur geschuldet sei (siehe „Alle Links“). So sei ungeeignete und unzureichende Hardware eingesetzt worden, zudem habe man an wichtigen Stellen auf wirksame Schutzsysteme wie Firewall und Vulnerability Scanner verzichtet – fatale Fehler, die es Hackern letztendlich leicht gemacht hatten, das Unternehmen zu infiltrieren.
Es zeigte sich, dass das IT-Sicherheitskonzept der betroffenen Bank erhebliche Mängel aufwies. Zudem waren die Angreifer nicht nur über die eingesetzte Software und IT-Infrastruktur genauestens informiert, sondern wussten auch exakt, wo die Schwachstellen lagen und zu welchem Zeitpunkt ihr Angriff erfolgen musste.
Um herauszufinden, worin die Sicherheitslücken bestanden, die den Betrugsfall ermöglichten, trafen sich Vertreter von Bangladesh Bank, Federal Reserve Bank of New York und SWIFT. Ihr Ziel war es, nicht nur die Kriminellen aufzuspüren, sondern auch alle Details zum Fall aufzuklären, damit das globale Finanzsystem zukünftig gegen solche Attacken besser geschützt werden kann.
Die Befürchtung, dass weitere Attacken im ähnlichen Stil folgen könnten, bestätigte sich: Im Verlauf des Jahres informierte SWIFT über Angriffe mit Schadsoftware, bei denen durchweg wieder bankseitige Komponenten betroffen waren. Auch bei diesen Attacken blieben das eigene Messaging-System und die Software der SWIFT unversehrt.