Zentralbank Bangladesch

Bankraub mithilfe gestohlener Passwörter

| Autor / Redakteur: Daniel Wolf* / Stephan Augsten

Wozu in einen Bankraub begehen, wenn ein Passwort-Diebstahl so viel unkomplizierter und ungefährlicher ist?
Wozu in einen Bankraub begehen, wenn ein Passwort-Diebstahl so viel unkomplizierter und ungefährlicher ist? (Bild: beebright - Fotolia.com)

Die größten Sicherheitslücken im Firmennetzwerk entstehen, wenn Cyber-Kriminelle in den Besitz von Zugangsdaten gelangen. Wie real die Gefahr eines solchen Hacker-Angriffes ist, erlebte die Zentralbank von Bangladesch. Ihr Fall zeigt auch, dass sich ein schlüssiges Sicherheitskonzept nicht allein auf den Passwortschutz beschränken darf.

Im Februar dieses Jahres erbeuteten Hacker 81 Millionen US-Dollar von der Zentralbank in Bangladesch, die sie in die Philippinen überwiesen und über zwischengeschaltete Spielbank-Konten im Nirwana verschwinden ließen. Bis die Bank diesen Cyber-Angriff bemerkte, war es zu spät.

Erst als die Hacker weitere 870 Millionen US-Dollar stehlen wollten, flogen sie auf. Von den 870 Millionen US-Dollar konnte die Bank das meiste retten – die 81 Millionen auf den Philippinen sind definitiv weg. Der Trick bei dem Bankraub war recht simpel: Gestohlene Zugangsdaten dienten den Cyber-Kriminellen dazu, sich in das SWIFT-Netz für Bankenkommunikation einzuwählen und dort die Überweisungen zu veranlassen.

Banken geben viel Geld für Sicherheitssysteme aus, um ihre Software und Netzwerke vor Angriffen von außen zu schützen. Wenn der Eindringling jedoch einen Schlüssel hat, nutzt das beste Abwehrsystem nichts. Ein Hacker kann sich mit einem gestohlenen Passwort als autorisierter Mitarbeiter tarnen und unbemerkt verschiedene Aktionen durchführen. Das System akzeptiert die passenden Zugangsdaten und erkennt folglich keinen Einbruch, vor dem es warnen müsste.

Schwachstellen detailliert dokumentiert

Wie raffiniert Angreifer heute solche Schlupflöcher nutzen, kann man in einem Hacker-Tagebuch im Internet detailliert nachlesen. Der Autor beschreibt, wie er in das Netzwerk des italienischen IT-Security-Unternehmens Hacking Team eingedrungen ist und sich anschließend von Sicherheitslücke zu Sicherheitslücke gehangelt hat.

Angeblich sei es noch viel einfacher, in die großen Netzwerke der Fortune-500-Unternehmen einzudringen. Diese böten viele Angriffspunkte, weil sie E-Mail-Adressen nicht ausreichend sichern und anfällige Technologie einsetzen. Die Bedrohung, welche von gestohlenen Zugangsdaten und Passwörter ausgeht, betrifft demnach alle Unternehmen.

Eine aktuelle Studie von Skyhigh Networks zeigt, dass im Durchschnitt jeder zehnte Mitarbeiter bereits Opfer eines solchen Übergriffs war. Auch Verizons 2016 Data Breach Investigations Report bestätigt die Gefahr: 63 Prozent aller datenbezogener Sicherheitsverletzungen stehen in Zusammenhang mit gestohlenen Passwörtern. Außerdem gibt es immer wieder Meldungen über gehackte E-Mail-Accounts oder gestohlene Zugangsdaten, die Kriminelle weiterverkaufen. Damit werden Angreifern Tür und Tor geöffnet.

Die Internet-Verbindung als Risikofaktor

Unternehmen sind in Zeiten der Digitalisierung kein in sich abgeriegelter Mikrokosmos mehr. Viele Mitarbeiter nutzen private Smartphones, Tablets oder Notebooks am Arbeitsplatz – oder dürfen umgekehrt Firmengeräte für Privates einsetzen. Das Risiko des Passwortdiebstahls steigt, je mehr sich Privates und Geschäftliches vermischen.

Via Cloud-Dienst können Mitarbeiter von überall über verschiedene Endgeräte auf sensible Firmendaten zugreifen. Dadurch gibt es nicht mehr nur ein zentrales Tor, durch das Angreifer eindringen können, sondern eine Vielzahl an kleinen Türen. Die ständige Verbindung mit dem Internet macht diese Eingänge für Hacker zu verlockenden Zielen. So veranschaulicht auch die Studie von Verizon die Online-Verbindungen als das derzeit größte IT-Sicherheitsrisiko für Unternehmen.

Entscheidend ist, dass man diese Eingangspunkte überwacht. Hier kommt ein automatisiertes Monitoring ins Spiel. Die verwendeten Tools sammeln ununterbrochen Daten über die Aktivitäten im System und werten sie in Echtzeit aus. Sie sind außerdem rund um die Uhr im Einsatz und analysieren riesige Mengen an Informationen.

Wenn nun zum Beispiel ein Mitarbeiter große Datenmengen herunterlädt, sensible Inhalte löscht oder – wie im Fall der Zentralbank von Bangladesch – große Geldsummen auf ungewöhnliche Konten überweist, fällt das auf. Denn die IT-Security-Abteilung erkennt mithilfe der Software diese verdächtigen Vorkommnisse sofort und leitet umgehend Abwehrmaßnahmen ein.

Ein passendes Security-Konzept ist notwendig

Zu einem erfolgreichen Security-Konzept gehört neben dem Monitoring eine Firewall auf dem neusten Stand. Auch die aktuellen Software-Updates müssen eingehalten und eingespielt sein. Denn immer wieder werden auch in großen Standardanwendungen Sicherheitslücken aufgedeckt, die es schnellstmöglich zu schließen gilt, bevor Angreifer sie ausnutzen.

Die getroffenen Sicherheitsvorkehrungen dürfen sich jedoch nie auf einen einzigen Aspekt konzentrieren, sondern sie müssen sich zu einem mehrschichtigen Security-Konzept zusammenfügen. So war es von der Zentralbank in Bangladesch ein großer Fehler, nur auf den Passwortschutz zu vertrauen. Die Bank ging davon aus, dass sich das gesicherte SWIFT-System nicht hacken lässt und deshalb keine weiteren Sicherheitsvorkehrungen notwendig sind.

Jedoch mussten die Hacker das System gar nicht knacken. Ihnen reichten die gestohlenen Zugangsdaten vollkommen aus, um ins System einzudringen. SWIFT weist jede Verantwortung für den Einbruch zurück und lehnt Schadenersatzansprüche ab. Denn Verantwortung trage allein die Bank, die eigene IT-Umgebung abzusichern.

Daniel Wolf
Daniel Wolf (Bild: Skyhigh Networks)

Mit einem mehrschichtigen Security-Konzept aus Passwortschutz, Firewall und automatischem Monitoring hätte die Zentralbank in Bangladesch den Hackerangriff und damit den Millionenschaden abwenden können.

* Daniel Wolf ist Regional Director DACH bei Skyhigh Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44155966 / Zugangs- und Zutrittskontrolle)