Eine Szene wie aus einem Gangsterfilm: Nachts, im Foyer einer Bank herrscht Stille. Einzig der Geldautomat ist noch in Betrieb, um Kund*innen zu später Stunde mit Geld zu versorgen, als plötzlich ein lautes Rattern das Foyer erfüllt. Die Auszahleinheit des Automaten öffnet sich und aus dem gepanzerten Tresor werden Geldscheine ins Foyer geschossen. Als der Lärm verstummt, sammelt eine Person die Scheine ein und rennt davon.
Weg des geringsten Widerstands
Photo by Benoit Dare on Unsplash
Fachleute bezeichnen dieses Vorgehen als „Jackpotting“: Dabei handelt es sich um eine spezielle Form des Bankraubs, bei dem Geldautomaten mit einer Schadsoftware infiziert werden. „Im Automat befindet sich ein PC, der die Auszahleinheit steuert und den versuchen die Angreifenden zu manipulieren“, erklärt Dr. Jochen Dinger, Chief Information Security Officer bei der Fiducia & GAD. Um den PC zu infizieren, haben die Kriminellen verschiedene Taktiken entwickelt. Manche brechen den Automaten auf und verkabeln sich mit dem Rechner. Andere dringen in das Netzwerk der Bank ein und spielen eine Schadsoftware auf den Geldautomaten auf, mit der sie dann die Auszahlung auslösen. International sind derartige Angriffe auf Geldautomaten seit etwa 2010 bekannt. In Deutschland wurden die ersten Fälle 2015 gemeldet. Für 2019 hat das Bundeskriminalamt insgesamt 69 solcher Fälle registriert, was angesichts der hohen Summen, die sich für gewöhnlich in den Automaten befinden, eine ernst zu nehmende Bedrohung darstellt.
Allein die deutschen Genossenschaftsbanken, die Jochen Dinger als Experte der Fiducia & GAD betreut, haben bundesweit etwa 19.000 Automaten aufgestellt. Doch nicht nur die gilt es zu schützen. Auch an anderer Stelle droht Gefahr aus dem Netz: „Die Täter*innen haben es typischerweise auf das Geld der Bank abgesehen. Um es zu erbeuten, suchen sie sich den Weg des geringsten Widerstands und Risikos. Klassische Angriffspunkte dafür sind neben den Geldautomaten auch das Online-Banking sowie das Bankennetz, in das Kriminelle mittels Schadsoftware eindringen“, so Dinger.
Skaleneffekte beim eBanking
Photo by Skitterphoto on Pexels
Neben diesen Angriffspunkten kommen Attacken auch beim kontaktlosen Bezahlen vor. Dabei betrügen Täter*innen, indem sie über ein mobiles Bezahlterminal aus geringer Distanz auf die Karte des Opfers zugreifen und so Zahlungen auslösen. Und das Opfer merkt nichts davon. Doch unter Kriminellen werde diese Methode eher selten genutzt, erklärt Jochen Dinger: „Angreifende versuchen Skaleneffekte zu nutzen, statt einzelne Transaktionen zu manipulieren, wie beim kontaktlosen Bezahlen. Zudem gibt es Sicherheitsvorkehrungen wie zum Beispiel ein Limit für Transaktionsbeträge, weshalb der mögliche Schaden vergleichsweise gering ist.“
Photo by Christiann Koepke on Unsplash
Ganz anders gestaltet sich das beim eBanking, wo Angreifende weitaus mehr Geld erbeuten können. Dafür beschaffen sie sich zunächst einmal die Login-Daten von mehreren Kontoinhabenden, entweder über einen Trojaner im Browser oder über eine gefälschte Login-Website (Phishing). Laut dem Virenschutz-Anbieter Kaspersky sind allein im ersten Halbjahr 2019 etwa 10.000 Trojaner-Attacken und rund 339.000 Phishing-Versuche dokumentiert worden. Haben die Täter*innen eine gewisse Menge an Login-Daten gesammelt, schauen sie, wo sich ein Betrug am meisten lohnt, und versuchen dann Zugang zum TAN-Verfahren der Kund*innen zu erlangen. „Hier sind die Kriminellen sehr kreativ und erfinden ständig neue Methoden, wobei sie digitale und analoge Angriffsstrategien miteinander kombinieren. Dabei setzen sie vor allem auf Social-Engineering-Methoden und versuchen Endkund*innen oder Bankmitarbeitende davon zu überzeugen, ihnen die Freischaltcodes zu übermitteln, um die Sicherheitsvorkehrungen zu umgehen“, erklärt Dinger. Haben sie Zugriff auf das TAN-Verfahren, sind sie in der Lage, normale Zahlungen über das Online-Konto auszuführen, ohne dass diese sofort als klarer Betrugsfall identifiziert werden können. Für Sicherheitsfachleute wie Jochen Dinger kein einfacher Fall; ein Teil ihrer Arbeit besteht deshalb auch in der Prävention und Aufklärung: „Der Angreifende geht den kürzesten Weg und der führt im eBanking nun mal über den Menschen, da er leichter manipuliert werden kann als die Technik. Kund*innen zu sensibilisieren ist deshalb wichtig.“
Mustererkennung und Machine Learning
Doch betrügerische Zahlungen, die legal ausgelöst werden, können von Sicherheitsfachleuten auch mittels Software identifiziert und unterbunden werden. „Dafür haben wir spezielle Programme, die wir mit großen Datenmengen füttern und die über Machine Learning gewisse Muster bei Betrugsfällen ausmachen können“, so Dinger. Bei der Fiducia & GAD wurde hierfür ein eigenes System aufgebaut, das aus sehr vielen technischen und fachlichen Transaktionsdaten verdächtige Events, also potenziell betrügerische Zahlungen, herausfiltert“. Derartige Muster werden erkannt und von Mitarbeitenden manuell überprüft.
Photo by Rahul Chakraborty on Unsplash
Bei Cyberangriffen, die auf das bankinterne Netzwerk ausgeführt werden, gehen Dinger und sein Team anders vor: Typische Einfallschleusen sind hier Mitarbeitende, die von den Hacker*innen über E-Mails oder den Besuch gefälschter Internetseiten mit Viren infiziert werden. Einmal im Netzwerk eingedrungen, hangeln sich die Angreifenden dann immer weiter, bis sie dazu in der Lage sind, ihre Schadsoftware zu installieren. Damit können sie zum Beispiel die Geldausgabe am Automaten auslösen – wie beim Jackpotting. Um solche Angriffe abzuwehren, sind leistungsstarke Scanner-Programme für Viren und den E-Mail-Verkehr nötig. Dabei ist es aus Sicht der IT-Sicherheit entscheidend, stets auf dem neuesten Stand zu sein.
Für kleinere Banken, die ihre eigenen Server betreiben und entsprechendes Personal selber einstellen, ist das kaum zu leisten. Für sie können Dienstleistende wie die Fiducia & GAD deshalb zu einer großen Hilfe im Kampf gegen Cyber-Kriminelle werden: „Um auf Attacken angemessen zu reagieren, braucht man ein tiefes Know-how über die Vorgehensweisen der Angreifenden und auch die entsprechende Anzahl an Fachpersonal. Die ist in kleineren Unternehmen nur schwer zu etablieren. Durch den Aufbau und die Weiterentwicklung dieser spezifischen Fachexpertisen bei der Fiducia & GAD bieten sich für die angeschlossenen Banken Synergiepotenziale, um den fachlich versierten Angreifer*innen einen angemessenen Gegenpol gegenüberzustellen.“ Doch selbst wenn Dienstleistende, wie die Fiducia & GAD, Banken in Sachen Cybersicherheit unterstützen, wird sich an dem grundlegenden Katz-und-Maus-Spiel mit den Kriminellen erst einmal nur wenig ändern. Für Jochen Dinger und sein Team gibt es also auch in Zukunft viel zu tun.
