Cybercrime-Experte: «Die Menschen bleiben verwundbar»

25.06.2019 Die Banken werden immer besser in der Abwehr von Angriffen aus dem Internet, sagt Cybercrime-Abwehrspezialist Bruce Nikkel. Die Konsequenz: Die Kriminellen spielen auf den Mann.

Bruce Nikkel macht aus seinem Respekt für Kriminelle keinen Hehl. Die Bewunderung des Experten für Cyberkriminalität gilt allerdings nur seinen direkten Gegnern: Hochintelligente, fantasievolle Diebe, die sich das Internet zunutze machen, um an das Geld anderer Leute zu kommen.
Der Dozent an der Berner Fachhochschule, der auch bei der UBS für die Abwehr und Untersuchung von Cyberkriminalität zuständig ist, sprach an der Digital Investigations Conference, welche diese Woche in Rüschlikon stattfand. Die dort versammelten Experten pflegen ein diskretes Metier: Fotos, auf welchen einzelne Teilnehmer zu erkennen sind, waren nicht erlaubt.

Elegant programmiert

In seinem Vortrag zeigte Nikkel die Evolution der Angriffe auf Banken und ihre Kunden auf. Von einfachem Phishing – der Versuch, durch täuschende Emails an Kreditkarteninformation oder Passwörter zu kommen – bis zu modernen Trojanern, über welche tausende von Computern gleichzeitig überwacht werden können.
An einem Beispiel eines solchen zeigte sich die widerwillige Bewunderung des Kanadiers für die Programmierer, welche hinter den Angriffen stecken. Auf einer Folie zeigte er einige Zeilen Computer-Code und schwärmte, wie elegant dieser geschrieben sei.

Aufwändige Maultiere

«Sich in ein Bankkonto zu hacken, ist nicht der schwierige Teil», sagte Nikkel. «Das Schwierige ist, an das Geld zu kommen.»
Dafür setzen die Kriminellen Kuriere – sogenannte «Mules», oder Maultiere – ein, welche das gestohlene Geld auf ihren Bankkonten entgegennehmen, abheben und dann auf anderen Kanälen weiterleiten. Ist das einmal passiert, lässt sich der Endempfänger nur noch schwer ermitteln.
Ein entsprechendes Netzwerk aufrecht zu erhalten ist allerdings aufwändig, während die IT-Infrastruktur hohe Kosten mit sich bringt. Deshalb lohnt sich der Aufwand, einzelne Bankkonten von Privatkunden anzugreifen nur bedingt.

Lukrative Ziele

Am meisten Geld gibt es bei Banken oder sogar Zentralbanken zu holen. So gelang es bei einem Angriff auf die Zentralbank von Bangladesch im Jahr 2016, 81 Millionen Dollar zu entwenden.
Aus einer gestohlenen Kreditkarte lassen sich laut Nikkel im Vergleich dazu nur ein paar hundert Franken herausholen. Verschafft man sich Zugang zu einem privaten Bankkonto können es Zehntausende sein. Firmen bieten demgegenüber lohnendere Ziele. Hier lassen sich mit einem einzigen erfolgreichen Angriff bereits Hundertrausende von Franken holen.

Mehr erfahren