Die Evolution des Bankraubs

Der digitale Wandel wirkt sich auf die gesamte Gesellschaft und das Wirtschaftsleben aus und macht auch vor der Branche der Bankräuber nicht halt. Waren früher noch Dynamit, Spitzhacke und Schweißbrenner das Handwerkszeug der Panzerknacker, kommen heute eher Maus, Tastatur und Mobiltelefon zum Einsatz.

Auch das Objekt der Begierde, die erhoffte Beute, hat sich gewandelt. Früher standen Gold- und Bargeldreserven im Fokus der kriminellen Machenschaften. Die nächste Generation der Bankräuber hatte es dann zum Ziel, Geld von fremden Konten auf das eigene zu transferieren – oder sogar neu zu schaffen. Mittlerweile gehören neben diesen klassischen Verlockungen auch neue Assetklassen wie Kryptowährungen und sensible Daten zum Beuteportfolio der Räuber.

Beginnen wir unsere Reise durch die Evolution des Bankraubs mit einem hollywoodreifen Coup, bei dem am 8. August 2005 in Brasilien ca. 56 Millionen Euro erbeutet wurden.

In der Stadt Fortaleza wurden durch einen 78 Meter langen Tunnel in vier Metern Tiefe etwa 3,5 Tonnen(!) Bargeld aus der Zentralbank gestohlen. Es handelte sich dabei ausschließlich um gebrauchte, kleine, nicht-markierte Scheine, die aus dem Verkehr gezogen wurden und vernichtet werden sollten.

Aber wie hatten es die Täter geschafft, über drei Monate einen Tunnel dieses Ausmaßes zu graben, der sogar über Beleuchtungs- und Entlüftungsanlagen verfügte? Zumal bei den Grabarbeiten geschätzte sechs LKW-Ladungen Erdreich anfielen, die abtransportiert werden mussten? Zur Tarnung gaben die Räuber vor, in der Nachbarschaft der Zentralbank eine Gärtnerei eröffnen zu wollen. Den Tunnel ließen sie dabei unter einem der Gebäude beginnen. Und wer wird schon misstrauisch, wenn in einer Gärtnerei Männer mit Spitzhacken und Schaufeln guten Mutterboden bewegen?

Banken ausrauben, ohne das Haus zu verlassen. Möglich wurde das durch das Internet und die zunehmende globale Vernetzung. Dabei nehmen sowohl die Häufigkeit als auch die Schwere der virtuellen Bankraube zu. Waren die ersten digitalen Angriffe auf Banken noch oft amateurhaft und eher spontan vorbereitet, haben sich die Täter im Laufe der Zeit stark professionalisiert. Neben rein technischen Sicherheitslücken werden auch organisatorische und prozessuale Schwachstellen ausgenutzt.

Ein prominentes und sehr erfolgreiches Beispiel eines solchen digitalen Angriffs stellt der 2014 bekannt gewordene Fall Carbanak dar. Die Bankräuber – eine kleine Gruppe von Hackern – mussten dabei zwar nicht persönlich in die Banken eindringen, die Planungsphase stand aber einem konventionellen Bankraub in nichts nach. Über Monate hinweg versuchte die Gruppe, ihre selbstprogrammierte Schadsoftware durch gezielte Phishing-Angriffe, in deren Fokus insbesondere potenzielle Bankmitarbeiter standen, weltweit zu verbreiten.

Tatsächlich gelangte die Schadsoftware in die Systeme von mehr als 100 Banken in über 30 Ländern. Die Hacker schlugen aber nicht sofort zu. Vielmehr warteten sie ab und ließen durch ihre Software die normalen Arbeitsabläufe der Bankmitarbeiter aufzeichnen. Nach zwei bis vier Monaten der Beobachtung waren die Hacker dann in der Lage, die Handlungen der Angestellten zu imitieren. Sie tätigten Überweisungen von diversen Kundenkonten auf eigene Konten oder programmierten ans Netzwerk angeschlossene Geldautomaten so um, dass diese zu fest vorgegebenen Zeiten hohe Bargeldbeträge ausspuckten, die von Komplizen eingesammelt werden konnten.

Um möglichst lange unentdeckt zu bleiben, manipulierten die Hacker außerdem die Kontostände der genutzten Konten. Diese wurden zunächst um den zu stehlenden Betrag erhöht, bevor dieser überwiesen wurde. Der betroffene Kontoinhaber konnte also an seinem Nettosaldo keine Unregelmäßigkeiten erkennen. Experten gehen davon aus, dass pro Bank ein Schaden von etwa 2,5 bis 10 Mio. Dollar entstanden ist, so dass im Fall Carbanak eine gesamte Beute von etwa 1 Mrd. USD gemacht wurde. Ein echter „Bankraub 2.0“.

Die Methoden der digitalen Bankräuber entwickeln sich stetig weiter. Neben dem allseits bekannten Phishing, bei dem Bankkunden durch betrügerische E-Mails dazu verleitet werden sollen, persönliche oder sicherheitsrelevante Daten preiszugeben, gehen die Ganoven auch neue Wege:

Beim Smishing (aus SMS & Phishing) werden die Opfer durch SMS dazu verleitet, auf gefälschte Webseiten zu gehen und dort ihre Daten einzugeben. Beim besonders dreisten Vishing (aus Voice & Phishing) ruft der Täter das Opfer sogar selbst an und gibt sich als Bankberater aus.