Ist die Sicherheit des SWIFT-Netzes gefährdet?

Bilbao (pts016/20.06.2016/14:00) – Großangelegte Cyberhacks in Bangladesch und Vietnam werfen Fragen nach der Sicherheit des internationalen Geldtransfersystems auf. Panda Security bietet Banken „Anti-Malware-Service“ mit intelligenter Prozessüberwachung zum Schutz vor fortschrittlichen Cyberangriffen.

Banken sind seit Jahren ein attraktives Ziel für Cyberkriminelle. Bisher haben Hacker dabei meist das schwächste Glied in der Kette anvisiert: den Endverbraucher. Dieser ist für die Angreifer ein verhältnismäßig leichtes Opfer, da die IT-Sicherheitsmaßnahmen bei Endanwendern häufig sehr lückenhaft sind.

Es gibt jedoch auch ein paar Nachteile in dieser Angriffsstrategie: Die Hacker müssen ein große Menge an PCs kompromittieren, da sie bei den Endverbrauchern meist nur relativ kleine Geldbeträge „erbeuten“ können. Sie benötigen dritte Personen, die in ihrem Auftrag illegal erworbenes Geld transferieren. Sie müssen an die persönlichen Daten ihrer Opfer kommen und individuell unterschiedliche Antiviren-Software umgehen usw. Anders gesagt: Auf diese „traditionelle Weise“ können die Cyberkriminellen zwar viel Geld stehlen, müssen dafür aber einen relativ hohen Aufwand betreiben.

Anders sieht es aus, wenn Cyberkriminelle die Banken direkt attackieren. Zwar ist es schwierig, in deren spezielle IT-Systeme einzubrechen und diese vollständig zu infizieren, Geld zu stehlen und danach spurlos zu verschwinden. Es erfordert eine wesentlich größere Investition, all die Informationen für diese Art des Cyberangriffs zu sammeln. Jedoch lohnt sich der Aufwand für die Hacker, wenn man auf einen Schlag zig Millionen Dollar stehlen kann.

Mit gezielten Angriffen auf Banken stahlen Hacker zig Millionen auf einen Schlag

Im Februar dieses Jahres ist dies der Zentralbank in Bangladesch passiert. Hacker infizierten ihr digitales System mit Malware, die eigens für diese Attacke entwickelt wurde, und verschafften sich so Zugriff auf valide Zugänge zum SWIFT-Netzwerk. Mithilfe dieser Zugänge versuchten sie anschließend, betrügerische Überweisungen im Gesamtwert von 951 Millionen Dollar auszuführen. Das Geld befand sich auf dem Konto, das die Zentralbank von Bangladesch bei der US-Notenbank in New York hatte. Ein Rechtschreibfehler erregte jedoch die Aufmerksamkeit der Prüfer, so dass ein Großteil der Überweisungen rechtzeitig blockiert werden konnten. Der Schaden belief sich daher auf „nur“ rund 81 Millionen Dollar.

Doch dies war nicht der einzige Fall dieser Art. Die vietnamesische Tien Phong Bank erlitt im letzten Quartal des Jahres 2015 einen ähnlichen Angriff. Auch hier hatten Cyberkriminelle SWIFT-Überweisungen manipuliert. Jedoch bemerkte die Bank das rechtzeitig und konnte die Transaktionen in Höhe von einer Million Dollar noch stoppen. Ebenfalls Anfang 2015 wurde die Banco del Austro in Ecuador auf ähnliche Weise getroffen. Dort sollen mehr als neun Millionen Dollar gestohlen worden sein.

Inwiefern ähneln sich diese Fälle?

1. Es wurde jeweils maßgeschneiderte Malware genutzt, um den Angriff auszuführen.

2. Die Geldüberweisungen wurden mithilfe des SWIFT-Netzwerkes vorgenommen.

SWIFT (Society for Worldwide Interbank Financial Telecommunication) ist eine Organisation mit Sitz in Belgien, die 1973 gegründet wurde und den Nachrichten- und Transaktionsverkehr von weltweit mehr als 10.000 Banken über sichere Telekommunikationsnetze (das SWIFT-Netz) standardisiert. Anders gesagt: Das SWIFT-Netz ist der Garant für den sicheren Geldtransfer zwischen verschiedenen Banken.

Ist die Sicherheit des gesamten SWIFT-Netzwerkes in Gefahr?

Nach den Angriffen auf die Banken in Bangladesch, Vietnam und Ecuador stellte sich die Frage, ob das SWIFT-Netz, das bis dato als sicher galt, gehackt wurde. Sollte das der Fall sein, wäre das gesamte Finanzsystem in Gefahr. Es sieht jedoch so aus, als sei dem nicht so. SWIFT hat eine Pressemitteilung herausgegeben, in der sie ausdrücklich erklärt: „(…) das SWIFT-Netz, die wesentlichen Nachrichtendienste und Software sind nicht gehackt worden.“

Ob man das SWIFT-Netz jedoch nach wie vor als sicher betrachten kann, hängt vom Standpunkt ab. Fakt ist: Cyberkriminelle haben das SWIFT-Netzwerk erfolgreich genutzt, um diese Cyber-Raubüberfälle zu begehen. Zwar bietet SWIFT eine sichere Umgebung für Geldtransaktionen, aber letzten Endes hat jedes Finanzinstitut sein eigenes internes System, das mit dem SWIFT-Netz kommuniziert. Das bedeutet, dass man zwar sagen kann, dass das SWIFT-Netz sicher ist, aber dass es auch Tausende von potenziellen Sicherheitslücken hat, und zwar so viele wie Finanzinstitute, die sich mit ihm verbinden.

Wie haben diese Angriffe genau stattgefunden? In Bezug auf die genannten Bankraube gibt es viele Unbekannte und einiges davon wird wohl nie aufgeklärt werden. Denn eines der Hauptmerkmale der für die Banküberfälle genutzten Malware war es, die eigenen Spuren zu beseitigen.

Wenn wir uns beispielsweise den Angriff in Bangladesch genauer ansehen, war es eine Attacke auf einem hohen Stand der Technik, die sich gezielt gegen die dortige Zentralbank richtete. Die Struktur der Malware deutete allerdings von Beginn an darauf hin, dass es weitere Opfer geben würde. (Es wurde eine externe Konfigurationsdatei verwendet, was keinen Sinn ergibt, sollte dies eine einmalige Aktion gewesen sein.) Die Cyberkriminellen haben laut Medienberichten (link zu Bloomberg) mindestens 12 weitere Banken angegriffen, die Schwachstellen in ihren Sicherheitssystemen hatten.

SWIFT appelliert an seine Kunden, ihre IT-Sicherheit zu erhöhen

In der Kommunikation mit ihren Kunden appelliert SWIFT an die Banken, dass es ihre erste Priorität sein sollte, die eigene IT-Sicherheit zu verbessern. Das hört sich einfach an. Doch was genau können und müssen Finanzunternehmen tun, um derartige Cyberattacken zu verhindern?

Aus den bisherigen Angriffen ziehen wir mindestens zwei wichtige Informationen: Wir wissen, worauf es die Hacker abgesehen haben: Geld. Zudem ist bekannt, welche Computer im Fokus der Attacken stehen: Diejenigen, die sich mit dem SWIFT-Netz verbinden. Generell ist der Zugriff auf das SWIFT-Netzwerk äußerst beschränkt. Er kann nur über bestimmte Computer erfolgen und nur wenige Anwender haben die Berechtigung dafür. Diese Computer müssen also besonders gut geschützt werden. Und damit ist nicht nur aktuelle Software und die Verwendung einer Antimalware-Lösung gemeint.

Auf diesen Computern sollte nur die Ausführung von im Voraus genehmigten Prozessen erlaubt sein. Das bedeutet, dass alle laufenden Prozesse in Echtzeit überwacht werden müssen. Alles, was auf den IT-Systemen passiert, muss protokolliert und nach ungewöhnlichem Verhalten durchsucht werden. Keine unautorisierte Anwendung sollte auf diesen Terminals laufen dürfen und die genehmigten Aktionen müssen mit Anti-Exploit-Technologien geschützt und in Echtzeit überwacht werden, für den Fall, dass sie sich ungewöhnlich verhalten.

Natürlich könnte jemand, der direkten Zugriff auf einen Zielcomputer hat, irgendwann jede Sicherheitslösung deaktivieren. Doch auch dies ist an sich kein Problem, wenn man diesbezüglich eine Warnmeldung in der Konsole erhält, die vom jeweiligen Sicherheitsteam genutzt wird. Gibt es einen besseren Hinweis für eine akute Gefährdung als die Manipulation der Sicherheitssoftware, die auf einem wichtigen System installiert ist?

Wie können (Finanz-)Unternehmen sich vor gezielten Angriffen schützen?

Für ein Opfer ist es zudem wichtig zu wissen, wie sich der Überfall ereignet hat: Wie ist die Malware ins System gelangt? Wann hat der Hack angefangen? Wie lange konnte die Malware dort unentdeckt bleiben bzw. arbeiten? Was hat sie bewirkt? Sind vertrauliche Informationen durchgesickert? Im Fall der Zentralbank von Bangladesch konnten nach dem Angriff drei Malwareprogramme wiederhergestellt werden, die für den Angriff genutzt wurden. Die Angreifer haben aber wahrscheinlich noch viele andere Tools genutzt, die nachträglich gelöscht wurden und von denen das Opfer nichts weiß. Doch Wissen ist Macht. Nur wenn wir wissen, wie der Cyberangriff passiert ist, können wir alle Schwachstellen in der betroffenen Umgebung beseitigen.

Es gibt nur wenige IT-Security-Lösungen, die in der Lage sind, einen solchen Servicelevel zu bieten. Panda hat für diese Art der Cyberbedrohungen Adaptive Defense entwickelt. Diverse Finanzunternehmen und große Firmen in verschiedenen Branchen (Gesundheit, Hotels, Versicherungen, öffentliche Versorgungsunternehmen usw.) nutzen bereits Panda Adaptive Defense. Denn alle diese Firmen sind nicht nur Ziel der ganz ’normalen‘ Cyberattacken, sondern werden immer häufiger Opfer zielgerichteter Angriffe.

Fazit: Die jüngsten Banküberfälle hätten verhindert werden können, wenn die betroffenen Geldinstitute Panda Adaptive Defense genutzt hätten – zumindest auf den Terminals, mit denen sie sich in das SWIFT-Netz einloggen.

(Ende)

Aussender: PAV Germany GmbH Ansprechpartner: Gerhard Eßbichl Tel.: +43 664 5255164 E-Mail: gerhard.essbichl@panda-security.at Website: www.pandasecurity.com