- Zuletzt waren es Cyber-Angriffe auf Kommunen, Unternehmen und Krankenhäuser, die in Deutschland für Schlagzeilen sorgten.
- Aber was ist mit Banken? Ist das Finanzwesen besser aufgestellt? Und was können Kunden tun?
Es war eine Sicherheitslücke in der Druckfunktion von Windows, die im Juli dieses Jahres auftauchte und kurze Zeit später von Microsoft wieder geschlossen werden konnte. Doch diese kurze Zeit genügte den bis heute unbekannten Hackern, um die Server der Landkreis-Verwaltung von Anhalt-Bitterfeld mit sogenannter Ransomware zu infizieren.
Einmal installiert, legte die Schadsoftware los und verschlüsselte Datensatz um Datensatz. Das Computersystem der sachsen-anhaltischen Kommune war zeitweise tot, Autos konnten nicht zugelassen und Sozialhilfe nicht ausgezahlt werden. Für die Freigabe forderten die Hacker Lösegeld (englisch Ramson) in Millionenhöhe.
Erst nach mehreren Tagen konnte das Computersystem des Landkreises wieder langsam hochgefahren werden - auch Dank der Hilfe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und Sicherheitsexperten der Bundeswehr. Allerdings wollte sich Landrat Andy Grabner (CDU) nicht erpressen lassen und entschied sich gegen die Lösegeldzahlung. Die sensiblen Daten landeten daraufhin im Darknet - darunter Namen, Handynummern und Kontodaten von Bürgern.
Solche Angriffe häufen sich in Deutschland. Neben Kommunen sind auch Unternehmen und Krankenhäuser betroffen. So gab es Anfang 2020 einen Cyberangriff auf den Autovermieter Buchbinder: Telefonnummern, E-Mail-Adressen sowie Verträge mit Unterschriften von Millionen Kunden wurden im Internet veröffentlicht. Im Sommer 2019 schleusten Hacker Ramsonware bei einer Trägergesellschaft des Deutschen Roten Kreuzes in Rheinland-Pfalz und im Saarland ein. Mehrere Krankenhäuser wurden dadurch erheblich in ihrer Versorgungsleistung beeinträchtigt.
Wie stark Banken betroffen sind
Die Finanzwelt bleibt von solchen Attacken nicht verschont. Andreas Krautscheid, Hauptgeschäftsführer des Bundesverbandes deutscher Banken (BdB), bezeichnet Cyberangriffe gegenwärtig als das "größte operationelle Risiko im Finanzsektor" und warnt vor einer zunehmenden Professionalisierung der Cyberkriminellen.
Eine genaue Anzahl von Cyberangriffen auf den Finanzsektor zu erfahren, ist allerdings schwierig. Seit Januar 2018 müssen Banken und andere Zahlungsdienstleister relevante Sicherheitsprobleme bei der IT an die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) melden. BaFin-Sprecher Harald Hürter bestätigt zwar, dass es in den vergangenen Jahren Angriffsversuche auf deutsche Banken gegeben habe. Konkrete Zahlen dazu würden aber "grundsätzlich nicht veröffentlicht", sagte er.
Laut einer Broschüre zur Cybersicherheit der BaFin aus dem Jahr 2020 wurden zwischen 2018 und 2020 rund 600 Sicherheitsvorfälle gemeldet. "Der Großteil der uns gemeldeten IT-Sicherheitsvorfälle ist kein Resultat externer Hackerangriffe, sondern Ergebnis interner Schwachstellen in den Instituten", schränkte der damalige BaFin-Präsident Felix Hutfeld in dem Papier ein.
Eine weitere Quelle ist die Europäische Zentralbank (EZB). In einem kürzlich veröffentlichten Report meldet das Finanzinstitut für das Jahr 2020 bei Cyber-Angriffen einen Anstieg von 54 Prozent im Vergleich zum Vorjahr. Der Anstieg bezieht sich auf alle gemeldeten Fälle von Banken im Euro-Raum, sagt Sprecher François Peyratout. Auch hier werde die genaue Anzahl der Fälle nicht veröffentlicht.
Welche Angriffe gibt es?
Laut EZB-Sprecher Peyratout sind die häufigsten Angriffe zurzeit sogenannte Distributed Denial of Service Attacken (DDoS), bei denen die Server der Finanzinstitute durch tausende Fake-Anfragen zeitweise lahmgelegt werden. Die Bild-Zeitung berichtete kürzlich über einen solchen Angriff auf das deutsche Finanzsystem durch eine russische Hackergruppe. Allerdings bestätigten sowohl die BaFin als auch das BSI den Fall gegenüber dieser Redaktion nicht.
Einen bestätigten Fall eines DDoS-Angriffes hat es im Januar 2020 gegeben. Damals war das Online-Banking der Comdirect Bank und der Deutschen Kreditbank stundenlang nicht erreichbar. Der Angriff soll zwar einen hohen Schaden verursacht haben, gestohlen wurde aber nichts.
Doch auch das gab es schon - und zwar in beträchtlichem Ausmaß. Der spektakulärste digitale Bankraub ist der sogenannten Cabernak-Gruppe zuzurechnen. Zwischen 2013 und 2018 sollen die Hacker etwa eine Milliarde Euro aus 40 größtenteils russischen, amerikanischen und asiatischen Banken erbeutet haben.
In einem Youtube-Video von Simplicissimus wird das Vorgehen erklärt: Die Hacker drangen über eine Schwachstelle in die Computersysteme ein und spielten eine verdeckte Software auf bestimmte Rechner auf. So konnten sie die Bankmitarbeiter bei Überweisungen beobachten. Mit ihrem Wissen transferierten die Hacker daraufhin Beträge auf Konten, von denen sie am Bankautomaten Geld abheben konnten.
Lesen Sie auch: Hacker erbeuten Kryptowährungen im Wert von über 600 Millionen Dollar
Wie sind Banken aufgestellt
Ob so ein Angriff heute in Deutschland noch möglich wäre, ist schwer zu sagen. "Auszuschließen ist nichts, aber es ist unwahrscheinlich", sagt Rainer Böhme, Professor für Datensicherheit am Institut für Informatik der Universität Innsbruck. Ihm zufolge ist das deutsche Finanzsystem in puncto Sicherheit im internationalen Vergleich gut aufgestellt - und auch weit besser als Kommunen und Kliniken. "Banken können sich besseres Personal leisten und sie werden beaufsichtigt", sagt der Wissenschaftler, der auch viele Jahre an der TU Dresden und der Universität Münster geforscht hat.
Das BSI kommt zu einem ähnlichen Ergebnis: "Vorliegende Nachweise zur Erfüllung der gesetzlichen Vorgaben des IT-Sicherheitsgesetzes belegen, dass die Thematik im Finanzwesen ernst genommen wird", sagt der stellvertretende Pressesprecher, Joachim Wagner.
Beaufsichtigt werden die Banken von der BaFin. Nach Angaben von Sprecher Harald Hürter müssen die Kreditinstitute regelmäßig die Wirksamkeit ihrer Abwehrmechanismen testen und nachweisen. Das geschieht unter anderem durch die gezielte Suche nach Schwachstellen und der Simulationen von Angriffen.
Simulierte Angriffe für mehr Sicherheit
Wie aus einer Anfrage der FDP-Fraktion an die Bundesregierung hervorgeht, haben in den Jahren 2017 bis 2020 insgesamt 94 durch die BaFin veranlasste Sicherheitsprüfungen bei deutschen Banken stattgefunden. Dabei seien bis zu zwölf Prüfer mit einer maximalen Prüfungsdauer von acht Wochen vor Ort gewesen.
Darüber hinaus können sich Banken seit 2019 freiwillig einem sogenannten TIBER-Test unterziehen. TIBER steht für Threat Intelligence-based Ethical Red Teaming. "Dabei testen von der Bank beauftragte ethische Hacker die Verteidigungsfähigkeiten der Institute", erklärt BaFin-Sprecher Hürter.
Nach Angaben der Deutschen Bundesbank, die für die Durchführung von TIBER-Tests verantwortlich ist, haben sich bisher neun Banken einem solchen abgestimmten Angriff ausgesetzt.
Mensch ist ein Risikofaktor
Allerdings kann man noch so viel in Technik investieren und Angriffsszenarien durchspielen. Wenn die Mitarbeiter nicht ausreichend sensibilisiert sind, nützt das wenig. "Ich spüre noch immer eine gewisse Neigung, interne Schwachstellen und den berühmten menschlichen Faktor als Quelle von IT-Sicherheitsvorfällen zu unterschätzen", sagte der ehemalige BaFin-Präsident Felix Hutfeld.
Andreas Krautscheid vom BdB warnt in diesem Zusammenhang: "Angriffspunkte sind oft Einzelpersonen, über deren Zugangsdaten Cyberkriminelle versuchen, Zugriff auf Konten oder Banksysteme zu bekommen." Das Spektrum der Attacken reiche von breit gestreuten Phishing-E-Mails bis hin zu gezielten Angriffen auf speziell ausgewählte Personen, die teilweise über viele Monate ausspioniert werden, so genannte Spear-Phishing-Angriffe.
Auch bei dem Raubzug der Cabernak-Gruppe waren Mitarbeiter das Ziel der Angriffe. Fatal in diesem Fall: Nicht durchgeführte Updates sollen die Ursache dafür gewesen sein, dass die Hacker überhaupt in die Bankensysteme eindringen konnten.
Lesen Sie auch: Hacker übernehmen Accounts von Verschwörungsprediger Attila Hildmann
Nutzer kann selbst für Sicherheit sorgen
Eine andere große Sicherheitslücke sind die Bank-Kunden selbst. Trotz abnehmender Zahlen spielen auch hier Phishing-Angriffe immer noch eine große Rolle. Dabei fallen Online-Kunden auf gefälschte E-Mails herein und klicken auf Links, die sie auf vermeintlich echte Internetseiten der Banken führen. Wenn die Kunden ihre Zugangsdaten in die Fake-Seiten im Browser eingeben, bekommen die Hacker die Passwörter frei Haus geliefert.
Die Verbraucherzentrale NRW warnt deshalb davor, solche E-Mails überhaupt zu öffnen. Zudem sollten Kontobewegungen regelmäßig kontrolliert und ein Tageshöchstlimit für das Online-Banking festgelegt werden. Für Überweisungen wird momentan das Chip-, Photo-, oder QR-Tan-Verfahren oder andere Techniken empfohlen, bei denen die beiden Sicherheitsabfragen auf zwei verschiedenen Geräten (einerseits der Computer, andererseits das Smartphone bzw. ein spezielles Lesegerät) erfolgt.
Apps bieten mehr Sicherheit - noch
Momentan bieten Smartphone-Apps für das Online-Banking eine höhere Sicherheit als das Banking von Laptop oder vom heimischem PC. Das liegt laut Sicherheitsexperte Böhme an den geschlossenen Systemen der Apps, in die es Hacker zumindest gegenwärtig noch schwer haben, einzudringen.
Die Stiftung Warentest kam bei einem Test von Banking-Apps im Magazin 6/2020 ebenfalls zu diesem Ergebnis: "Alle Apps im Test sind umfassend gegen Fremdangriffe geschützt. Sicherheitslücken, die Fremden Zugang zu Bankdaten geben, fanden wir nicht."
Doch auch hier müssen die Kunden einiges beachten: Banking-Apps sollten immer von den offiziellen App-Stores von Apple oder Google heruntergeladen werden. "Folgen Sie auf keinem Fall einem Link, der Ihnen zum Beispiel per E-Mail zugeschickt wird", schreibt die Stiftung Warentest. Eine weitere Gefahr bestehe bei offenen W-Lan-Netzen. Dort sollten die Banking-Apps nicht geöffnet werden. Das gilt übrigens auch für das Online-Banking vom Laptop.
Rainer Böhme warnt zudem davor, Passwörter auf dem Smartphone zu speichern - auch nicht als Foto - und das Handy Fremden zu geben. Um gegenüber Banken einen sicheren Nachweis über den Kontostand zu haben, empfiehlt der Sicherheitsexperte regelmäßig digitale Kontoauszüge als PDF herunterladen.
Wo könnten in Zukunft Sicherheitsprobleme auftreten
Die Banken lagern ihre IT-Systeme zunehmend auf eine kleine Anzahl an Cloud-Anbietern aus. "Wird ein solcher Anbieter angegriffen, wären damit auch die Dienste der Banken beeinträchtig", sagt Böhme. Für einen bislang rein hypothetischen Fall, dass es in so einem Rechenzentrum zu einem Datenverlust kommen sollte, wären digital signierte Kontoauszüge eine sichere Nachweis-Möglichkeit für Konteninhaber.
Probleme mit der Sicherheit von Daten sieht der Informatik-Professor allerdings eher bei den Zahlungsdienstleistern, die beim Online-Shopping zwischen Bank und Shop zwischengeschaltet sind und die Daten bei den Banken abfragen könnten. Bei der einen oder anderen Firma müsse man sich Sorgen machen, dass hochsensible Kundendaten irgendwann im Internet stehen, sagt er.
Auch bei den Apps sei es nur eine Frage der Zeit, bis Hacker in die Systeme eindringen könnten. Böhme rechnet damit, dass das zuerst bei Handys mit Android-Betriebssystemen passiert. Apple habe sein Betriebssystem IOS besser unter Kontrolle und lasse nur zertifizierte Entwickler zu. In Zukunft müssten sich Banken überlegen, ob sie die Bedienfreundlichkeit mit nur einer PIN-Abfrage bei Banking-Apps auf Dauer halten könnten.
Und zum Schluss: die Nummer für den Ernstfall
Sollte das Online-Konto einmal gehackt worden sein, bietet jede Bank eine individuelle Sperr-Nummer. Mit der Telefonnummer 116 116 - im Ausland mit der Vorwahl 0049 - gibt es außerdem einen Telefonservice, über den sich Konten fast aller Finanzinstitute sperren lassen. Dazu braucht man die IBAN oder Kontonummer und Bankleitzahl. Die Nummer funktioniert übrigens auch bei Verlust von Geldkarten.
Verwendete Quellen:
- Rainer Böhme, Professor für Datensicherheit am Institut für Informatik der Universität Innsbruck
- Presseanfragen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und an die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und an die Deutsche Bundesband
- Geldinstitute.de: DDoS: Teenager greifen deutsche Banken an
- BaFin.de: BaFinPerspektiven Ausgabe 1 | 2020
- Bankenverband.de: Wie sich Deutschlands Banken gegen Cyberkriminalität rüsten
- Website des Bundesamts für Sicherheit in der Informationstechnik: Die Lage der IT-Sicherheit in Deutschland
- Website der Europäischen Zentralbank: IT and cyber risk: a constant challenge
- Sicherheitstipps der Verbraucherzentrale NRW zum Online-Banking
- Stiftung Warentest: 38 Apps fürs Banking mit dem Handy
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.