Die große Stärke des Netzwerks ist seine Reichweite. 2013, im letzten Jahr, für das Nutzerzahlen öffentlich verfügbar sind, verband es 214 Staaten und Territorien, einschließlich Outlaws wie Kuba und Nordkorea. Deutschland zählte zu den Hauptknotenpunkten mit 108 Finanzhäusern unter den Eigentümern und 419 Institutionen unter den Nutzern. Bei der Zahl der Nachrichten stand es in den Top fünf, ein Grund dafür, dass die Deutsche Bank und die Commerzbank seit Jahren im Verwaltungsrat vertreten sind. Insgesamt verschickte Swift vergangenes Jahr 6,1 Milliarden Nachrichten. Aktuell sind es am Tag 26 Millionen. Gemessen daran, dass der Chef die Transaktion hinter einer Nachricht vor Jahren im Schnitt mit 400.000 Euro bezifferte, stehen die Nachrichten eines Tages für Transaktionen von geschätzt 10,4 Billionen Euro.

"Der Angriff war sehr gezielt und die Hintermänner haben sich Zeit gelassen"

Im Fall Bangladesch waren die Nachrichten in Ordnung, auch ihr Versand. Swift sieht daher weder seine Nachrichtendienste noch das Netzwerk gefährdet. Im Fokus stünden die Nutzer, ihre "lokalen Systeme" und Schwächen der "lokalen Sicherheit", teilt der Betreiber mit. Soll heißen: Die Manipulationen sind in der Zentralbank geschehen, vor dem Versand, vor dem Passieren der Schnittstelle. Noch ist aber offen, ob Mitarbeiter der Zentralbank bestochen wurden oder ob jemand aus Versehen ein Virus installierte, mit dem Hacker von außen eindringen konnten. Und: Wie konnten die Diebe Nachrichten erstellen und versenden, die korrekte Daten enthielten und glaubwürdig erschienen?

Klar ist bisher nur, dass die Kriminellen verstanden, wie sie ihr Tun verschleiern konnten. Alliance Access, die Software, die sie dafür manipulierten, ist weltweit bei rund 2.000 Kunden installiert und das beliebteste Mittel, um sich mit Swift zu verbinden. Fachleute sind vom Vorgehen der Diebe beeindruckt. "Dieser Angriff hatte eine neue Dimension", sagt Roger Halbheer, Experte für die Cybersicherheit von Finanzdienstleistern beim Beratungskonzern Accenture. "Der Angriff war sehr gezielt, er war sehr gut vorbereitet, und die Hintermänner haben sich Zeit gelassen." Solch eine Attacke sei mit "erheblichen Kosten" verbunden, für Informationen, Bestechung, Programmierer. Doch das könne sich finanziell lohnen, wenn es gelinge, Millionen oder Milliarden zu klauen.

Und wie groß ist die Gefahr, dass auch einmal Nachrichten versandt werden, die Geld von den Konten privater Kunden verschwinden lassen?

Swift betont, nur Nachrichten zwischen Institutionen zu verschicken und nicht auf Konten von Bankkunden zuzugreifen. In der Tat wiesen die Diebe in Bangladesch zwar Zahlungen von einem Konto an, aber von einem Konto, das der Zentralbank gehört. IT-Experte Halbheer sieht denn auch eher die Banken gefährdet, weniger deren Kunden. Das liege in der Logik der Kriminellen: "Wenn Sie mit einem Schlag eine Milliarde oder mit 100.000 Mogeleien je 10.000 Euro erbeuten können, was machen Sie? Sie gehen auf die Milliarde."

Privatkunden sollten sich eher um die Sicherheit bei den Banken sorgen. Die Deutsche Bundesbank und die Finanzaufsicht schauen sich den Fall an, vermögen derzeit aber nicht viel zu sagen. Das fängt schon bei der Frage an, wie verbreitet Alliance Access in Deutschland ist. Man selbst verwende die Software nicht, so die Bundesbank, Zahlen für die Branche besitze man aber nicht. Selbst in Finanzkreisen herrscht Unklarheit. Deutsche Großbanken nutzten Alliance Access nicht, heißt es einmal. Die Deutsche Bank benutze es in London, heißt es ein anderes Mal.

Der Verband der Genossenschaftsbanken kann wenig sagen. Die Sparkassen antworten auf Fragen der ZEIT zu Alliance Access oder dazu, ob aktuelle Checks Hinweise auf Manipulationen ergeben hätten, man möge sich bitte an Swift wenden. Beim Bankenverband sieht man kein Risiko für Privatleute und erklärt, Kunden könnten gefälschte Lastschriften ohnehin ein Jahr lang zurückgeben. Dem BSI "liegen keine Erkenntnisse vor, dass Angriffe vergleichbaren Aufwands und vergleichbarer Komplexität" sich auch gegen Privatkunden richteten.

Ein großes Institut erläutert, wie es Zahlungsaufträge seiner Kunden prüft, als Nachrichten über Swift versendet, später abwickelt. Ständig gebe es interne Checks, heißt es, vieles gehe automatisch, Computerprogramme filterten Aufträge heraus, wenn sie verdächtige Muster aufwiesen. Und es gebe auch Kontrollen durch Mitarbeiter. Sollten jemandem etwa dreimal 9.999 Euro gutgeschrieben werden, genau unter der Meldegrenze von 10.000 Euro, schaue man sich das an, sagt ein Banker. "Oder wenn jemand mit kleinem Gehalt plötzlich 17 Millionen erhalten soll."

Bleibt die Frage, ob die Banken genug gegen Manipulationen tun. Aus Statements von Swift geht hervor, dass es insgesamt mehrere Fälle gegeben hat, in denen Kriminelle die Identität einer Bank annehmen, Nachrichten erstellen und diese versenden konnten. Das Problem, dass sie dies im Fall von Bangladesch verschleiern konnten, soll ein Update von Alliance Access bis zum 12. Mai lösen. Aber ist das genug, um die Kriminellen zu bekämpfen?

"Das Update wird dieses eine Problem beheben. Es bleibt abzuwarten, ob damit alle Probleme behoben sind", sagt IT-Experte Halbherr. Er glaubt, dass sich der Vorfall von Bangladesch wiederholen kann, dass sich jedes System manipulieren lässt, ob in einer Zentralbank oder einer Großbank, ob in Asien oder in Europa. "Das kann überall passieren. Sie brauchen nur einen Mitarbeiter, der mit seinem Gehalt unzufrieden ist – und schon haben die Diebe einen Ansatzpunkt."