Plötzlich sind 81 Millionen Dollar weg

Es war einer der größten Banküberfälle der Geschichte – und noch immer liegt im Dunkeln, wie es die Täter genau angestellt haben. Anfang Februar erreichten die US-Notenbank Fed mehrere Zahlungsanweisungen aus Bangladesch. Die Zentralbank des Landes wollte, dass von ihrem Konto, das sie bei der New Yorker Filiale der Fed unterhält, mehrere hohe Beträge überwiesen würden. Weitere Anweisungen folgten, am Ende waren es rund 35. Ein paar gab die Fed frei, den Großteil blockte sie. Die Amerikaner baten in Bangladesch um Bestätigung, doch in der Hauptstadt Dhaka war bereits Freitag, und das hieß dort: Wochenende.

Erst zwei Tage später, am Sonntag, wurde den Notenbankern klar, dass die Anweisungen gefälscht und Teil eines dreisten Betrugs waren.

Insgesamt 951 Millionen Dollar versuchten die Diebe zu stehlen. In einem Fall verhinderte ein Lapsus den Erfolg: Bei einer Anweisung, an deren Abwicklung die Deutsche Bank beteiligt war, vertippten sich die Kriminellen. Statt foundation – für "Stiftung" – schrieben sie fandation. Das fiel auf, jemand fragte in Bangladesch nach, und die Zahlung über 20 Millionen Dollar, die nach Sri Lanka gehen sollte, wurde gestoppt. Eine Handvoll anderer Aufträge aber ging durch – genug, um 81 Millionen Dollar zu verlieren. Als das im März öffentlich wurde, trat der Chef der Zentralbank zurück.

Eine lokale Posse, so schien es. Doch seit vergangener Woche ist klar: Der Fall könnte weltweit Schule machen. Es wurde bekannt, dass die Diebe zum Verschleiern ihrer Tat eine Software des weltumspannenden Netzwerks Swift manipuliert hatten, die auf den Computern der Zentralbank von Bangladesch lief. Es gelang ihnen, die Spuren von Transaktionen zu löschen, Protokolle zu fälschen und alles korrekt erscheinen zu lassen. Das Programm dafür sei leicht anzupassen, erklärte ein damit befasster Experte des IT-Sicherheitskonzerns BAE Systems. Und warnte, "es könnte in der Zukunft für ähnliche Attacken genutzt werden". Nach Kenntnis des Bundesamts für Sicherheit in der Informationstechnik (BSI) war Bangladesch "der erste Fall", in dem eine Infrastruktur des globalen Zahlungsverkehrs erfolgreich angegriffen wurde.

In der Bankenwelt herrscht Unruhe. Swift ist das Nervensystem der globalen Finanzbranche. Will ein Land internationale Geschäfte abwickeln, muss es daran angeschlossen sein. Wer abgeschnitten wird, wie 2012 der Iran, ist vom Rest der Wirtschaftswelt isoliert. Zwar gibt es auf nationaler Ebene oft vergleichbare Netzwerke, aber wenn es um grenzüberschreitende Geschäfte geht, dominiert Swift. Umso größer sind jetzt die Sorgen, gerade hierzulande, denn Deutschland und seine Banken sind wichtige Knotenpunkte des Netzwerks.

Swift verbindet die Finanzsysteme der Welt miteinander – inklusive Kuba und Nordkorea

Der Systembetreiber, der im belgischen Örtchen La Hulpe sitzt, spielt die Risiken herunter. Doch sogar er hat auf zentrale Fragen noch keine Antworten, vor allem auf eine nicht: Wie gelang es den Räubern, Zahlungsanweisungen zu fälschen?

Swift, muss man wissen, verschickt kein Geld. Die 1973 gegründete Society for Worldwide Interbank Financial Telecommunication ist eine Genossenschaft. Diese gehört aktuell 2.452 Finanzhäusern weltweit und wird von 11.169 Banken, Brokern, Börsen oder Investmenthäusern genutzt. Sie alle verfügen über eine Schnittstelle, über die sie Nachrichten in das Netzwerk einspeisen – Nachrichten, die später Finanztransaktionen auslösen, ähnlich wie früher ein Überweisungsformular oder eine Lastschrift. Dem Vorgang kann eine Zahlung zugrunde liegen, ein Wertpapiergeschäft oder der Handel von Waren. Swift garantiert, dass die Nachricht ausschließlich den Adressaten erreicht, sie auf dem Weg unverändert bleibt und eine Nachricht etwa der Deutschen Bank auch tatsächlich von der Deutschen Bank ist, nicht von Barclays. Ist die Nachricht angekommen, wird die Transaktion von den Banken separat abgewickelt. Swift führt keine Konten, nimmt keine Buchungen vor.

"Die Hintermänner haben sich Zeit gelassen"

Die große Stärke des Netzwerks ist seine Reichweite. 2013, im letzten Jahr, für das Nutzerzahlen öffentlich verfügbar sind, verband es 214 Staaten und Territorien, einschließlich Outlaws wie Kuba und Nordkorea. Deutschland zählte zu den Hauptknotenpunkten mit 108 Finanzhäusern unter den Eigentümern und 419 Institutionen unter den Nutzern. Bei der Zahl der Nachrichten stand es in den Top fünf, ein Grund dafür, dass die Deutsche Bank und die Commerzbank seit Jahren im Verwaltungsrat vertreten sind. Insgesamt verschickte Swift vergangenes Jahr 6,1 Milliarden Nachrichten. Aktuell sind es am Tag 26 Millionen. Gemessen daran, dass der Chef die Transaktion hinter einer Nachricht vor Jahren im Schnitt mit 400.000 Euro bezifferte, stehen die Nachrichten eines Tages für Transaktionen von geschätzt 10,4 Billionen Euro.

"Der Angriff war sehr gezielt und die Hintermänner haben sich Zeit gelassen"

Im Fall Bangladesch waren die Nachrichten in Ordnung, auch ihr Versand. Swift sieht daher weder seine Nachrichtendienste noch das Netzwerk gefährdet. Im Fokus stünden die Nutzer, ihre "lokalen Systeme" und Schwächen der "lokalen Sicherheit", teilt der Betreiber mit. Soll heißen: Die Manipulationen sind in der Zentralbank geschehen, vor dem Versand, vor dem Passieren der Schnittstelle. Noch ist aber offen, ob Mitarbeiter der Zentralbank bestochen wurden oder ob jemand aus Versehen ein Virus installierte, mit dem Hacker von außen eindringen konnten. Und: Wie konnten die Diebe Nachrichten erstellen und versenden, die korrekte Daten enthielten und glaubwürdig erschienen?

Klar ist bisher nur, dass die Kriminellen verstanden, wie sie ihr Tun verschleiern konnten. Alliance Access, die Software, die sie dafür manipulierten, ist weltweit bei rund 2.000 Kunden installiert und das beliebteste Mittel, um sich mit Swift zu verbinden. Fachleute sind vom Vorgehen der Diebe beeindruckt. "Dieser Angriff hatte eine neue Dimension", sagt Roger Halbheer, Experte für die Cybersicherheit von Finanzdienstleistern beim Beratungskonzern Accenture. "Der Angriff war sehr gezielt, er war sehr gut vorbereitet, und die Hintermänner haben sich Zeit gelassen." Solch eine Attacke sei mit "erheblichen Kosten" verbunden, für Informationen, Bestechung, Programmierer. Doch das könne sich finanziell lohnen, wenn es gelinge, Millionen oder Milliarden zu klauen.

Und wie groß ist die Gefahr, dass auch einmal Nachrichten versandt werden, die Geld von den Konten privater Kunden verschwinden lassen?

Swift betont, nur Nachrichten zwischen Institutionen zu verschicken und nicht auf Konten von Bankkunden zuzugreifen. In der Tat wiesen die Diebe in Bangladesch zwar Zahlungen von einem Konto an, aber von einem Konto, das der Zentralbank gehört. IT-Experte Halbheer sieht denn auch eher die Banken gefährdet, weniger deren Kunden. Das liege in der Logik der Kriminellen: "Wenn Sie mit einem Schlag eine Milliarde oder mit 100.000 Mogeleien je 10.000 Euro erbeuten können, was machen Sie? Sie gehen auf die Milliarde."

Privatkunden sollten sich eher um die Sicherheit bei den Banken sorgen. Die Deutsche Bundesbank und die Finanzaufsicht schauen sich den Fall an, vermögen derzeit aber nicht viel zu sagen. Das fängt schon bei der Frage an, wie verbreitet Alliance Access in Deutschland ist. Man selbst verwende die Software nicht, so die Bundesbank, Zahlen für die Branche besitze man aber nicht. Selbst in Finanzkreisen herrscht Unklarheit. Deutsche Großbanken nutzten Alliance Access nicht, heißt es einmal. Die Deutsche Bank benutze es in London, heißt es ein anderes Mal.

Der Verband der Genossenschaftsbanken kann wenig sagen. Die Sparkassen antworten auf Fragen der ZEIT zu Alliance Access oder dazu, ob aktuelle Checks Hinweise auf Manipulationen ergeben hätten, man möge sich bitte an Swift wenden. Beim Bankenverband sieht man kein Risiko für Privatleute und erklärt, Kunden könnten gefälschte Lastschriften ohnehin ein Jahr lang zurückgeben. Dem BSI "liegen keine Erkenntnisse vor, dass Angriffe vergleichbaren Aufwands und vergleichbarer Komplexität" sich auch gegen Privatkunden richteten.

Ein großes Institut erläutert, wie es Zahlungsaufträge seiner Kunden prüft, als Nachrichten über Swift versendet, später abwickelt. Ständig gebe es interne Checks, heißt es, vieles gehe automatisch, Computerprogramme filterten Aufträge heraus, wenn sie verdächtige Muster aufwiesen. Und es gebe auch Kontrollen durch Mitarbeiter. Sollten jemandem etwa dreimal 9.999 Euro gutgeschrieben werden, genau unter der Meldegrenze von 10.000 Euro, schaue man sich das an, sagt ein Banker. "Oder wenn jemand mit kleinem Gehalt plötzlich 17 Millionen erhalten soll."

Bleibt die Frage, ob die Banken genug gegen Manipulationen tun. Aus Statements von Swift geht hervor, dass es insgesamt mehrere Fälle gegeben hat, in denen Kriminelle die Identität einer Bank annehmen, Nachrichten erstellen und diese versenden konnten. Das Problem, dass sie dies im Fall von Bangladesch verschleiern konnten, soll ein Update von Alliance Access bis zum 12. Mai lösen. Aber ist das genug, um die Kriminellen zu bekämpfen?

"Das Update wird dieses eine Problem beheben. Es bleibt abzuwarten, ob damit alle Probleme behoben sind", sagt IT-Experte Halbherr. Er glaubt, dass sich der Vorfall von Bangladesch wiederholen kann, dass sich jedes System manipulieren lässt, ob in einer Zentralbank oder einer Großbank, ob in Asien oder in Europa. "Das kann überall passieren. Sie brauchen nur einen Mitarbeiter, der mit seinem Gehalt unzufrieden ist – und schon haben die Diebe einen Ansatzpunkt."