Ein Kommentar von Luis Corrons, technischer Leiter der PandaLabs in Bilbao, Spanien

In den letzten Tagen gab es diverse Berichte in internationalen Medien über den vermutlich größten Bankraub aller Zeiten.  Den Berichten zufolge haben Cyberkriminelle Dutzende von Banken gehackt und dabei mindestens 300 Millionen US-Dollar gestohlen. Vermutungen stehen im Raum, dass der Schaden weltweit sogar bis zu einer Milliarde Dollar betragen könnte.

Um an das Geld zu kommen haben die Diebe Malware verwendet, die die PCs der Bankangestellten infiziert haben und den Cyberverbrechern so Zugang zu internen Netzwerken ermöglichten. Auf diese Weise haben die Angreifer die internen Vorgänge und Funktionsweisen der Banken studiert, so dass die Transaktionen, die sie planten, keine Aufmerksamkeit erregten und nicht in Konflikt mit den normalen täglichen Abläufen der Banken gerieten.

Die New York Times war eine der ersten Zeitungen, die über den großangelegten Hacker-Bankraub berichtete. Der Artikel beginnt wie eine Hollywood-Story: Ein Bankautomat in Kiew (Ukraine) hat angefangen, Geld auszuspucken, ohne dass jemand diesen zuvor berührt hat.

Der überraschendste Aspekt an der Geschichte ist dabei nicht der Vorgang selbst. Ein Bankautomat ist auch nur ein Computer. Dass dieser gehackt wird  und dann Befehle ausführt, die nicht von der Bank gesteuert werden, ist möglich. Was keinen Sinn macht, ist die Tatsache, dass die Hacker diese Art von Diebstahl durchführten, wenn sie doch gleichzeitig in der Lage sind, Millionen von Dollar über versteckte Transaktionen zu stehlen, ohne dabei irgendeine Aufmerksamkeit zu erregen.

Die Antwort auf diese Ungereimtheit ist ganz einfach: Es handelt sich nicht um einen einzigen Diebstahl, sondern um Hunderte. Diverse Banken in verschiedensten Ländern in der ganzen Welt sind Opfer der Angriffe geworden. In jedem Land haben die Kriminellen Angriffe ausgeführt, die am besten zu dem jeweiligen Niveau der Kontrollübernahme, die sie erreicht hatten, passte. In den Fällen, in denen sie die Möglichkeit hatten, Überweisungen unbemerkt vorzunehmen und so Gelder ins Ausland umzuleiten, taten sie dies. Wenn dies nicht möglich war, hackten sie die Geldautomaten und stahlen das Geld auf diese Weise.

cashier

Nach bisher veröffentlichten Informationen haben Cyberkriminelle über 100 Banken in 30 Ländern angegriffen. Dabei haben die Angriffe in vielerlei Hinsicht so begonnen, wie andere Angriffe auch: Bankangestellte haben verseuchte E-Mails erhalten, diese angeklickt, und so ihren Computer mit einem Schadprogramm infiziert. Sobald die Hacker die Kontrolle über den infizierten PC übernommen hatten, war es (für sie zumindest) relativ einfach, sich durch das interne Netzwerk zu bewegen um herauszufinden, welche PCs Zugriff auf kritische Finanzsysteme hatten, und um diese dann für kriminelle Handlungen zu missbrauchen.

Die Verluste, die ein derartiger Raubzug verursachen kann, sind immens, und es ist beachtlich, dass ein derartiger Angriff so lange Zeit (die Hacker habe seit Ende 2013 daran gearbeitet) unbemerkt bleiben konnte. Denn die Banken, mit denen ich bisher zu tun hatte, nehmen Sicherheit sehr ernst. Ich zweifle nicht daran, dass sie alle irgendeine Art von Sicherheitslösung installiert hatten sowie ein Team von IT-Mitarbeitern, die dafür sorgten, dass diese korrekt operierten. Ich bezweifle jedoch, dass diese Sicherheitslösungen ausreichend waren – obwohl sich das natürlich leicht sagen lässt in Anbetracht der Reichweite des hier diskutierten Angriffs.

Was also rate ich den Banken? Gibt es einen Weg, derartige Angriffe zu vermeiden? Kein System ist zu 100 Prozent vor Angriffen gefeit. Dennoch gibt es Maßnahmen, die relativ leicht durchzuführen sind und die die IT-Sicherheit signifikant erhöhen.

Zunächst einmal ist es sehr fraglich, ob Mitarbeiter einer Bank die Möglichkeit haben sollten, Software zu installieren und auszuführen, die nicht zuvor durch die IT-Administratoren genehmigt wurde. Denn bedenken Sie: obwohl der Angriff von den mit der Untersuchung des Falles beauftragten Experten als „einer der hoch-entwickeltsten Angriffe, die die Welt bisher gesehen hat“ bezeichnet wurde, bedienten sich die Angreifer noch immer einer simplen Phishing-E-Mail, die von einem Bankangestellten geöffnet und deren Anhang oder Link angeklickt wurde.

Sie könnten vermuten, dass die Angreifer eine unbekannte Sicherheitslücke nutzten, um die Kontrolle über den PC zu übernehmen, was in der Vergangenheit häufig getan wurde und sehr gut möglich ist. Wenn Sie jedoch ein System haben, das das Verhalten der laufenden Prozesse jedes einzelnen Computers in einem Netzwerk überwacht, dann wird die Art von Angriffen entdeckt. Wenn beispielsweise ein Browser ein unbekanntes Programm herunterlädt und ausführt, erkennt ein solches Monitoring-System dies und blockiert es automatisch. Problem gelöst.

Wenn es denn so leicht wär – könnten Sie jetzt denken – dann würden doch alle großen Unternehmen diese Systeme nutzen. Wenn nicht auf allen PCs, so doch auf denen, die Zugang zu kritischen Daten haben und besonders geschützt sein sollten. Leider sind jedoch nur sehr wenige solcher Sicherheitslösungen verfügbar. Whitelisting-basiere Anwendungen, die grundsätzlich nur die Ausführung von bekannten Dateien erlauben, sind in der täglichen Nutzung äußerst umständlich. Darüber hinaus haben sie den Nachteil, dass sie, sobald sie einen Prozess genehmigen (zum Beispiel den Internet-Browser), diesen nicht mehr überwachen.

Was bleibt also zu tun? Nach 16 Jahren im IT-Security Business kann ich Ihnen versichern, dass es höchste Zeit ist, diese Angriffe ernst zu nehmen. Wir müssen unsere Angst ausschalten und Technologien unterstützen, die uns die vollständige Kontrolle über alle Vorgänge in unserem Netzwerk ermöglichen. Diese Technologien müssen flexibel genug sein, einerseits ein Netzwerk komplett zu „schließen“ und die Installation und Ausführung jeglicher unbekannter Daten zu verhindern. Andererseits müssen sie die Möglichkeit erlauben etwas „offener“ zu sein, vorausgesetzt wir haben zeitgleich Informationen über alles, was in unserem Netzwerk vor sich geht.

An einem derartigen Prozess-Monitoring-Service haben wir bei Panda mehr als zwei Jahre lang gearbeitet. Das Resultat heißt Panda Advanced Protection Service, ein intelligenter Mix aus Anwendungskontrolle und traditioneller Antimalware-Analyse, der unseren Kunden ein höchstmögliches Maß an Sicherheit bietet, dass keine Malware unerkannt eindringen und ausgeführt werden kann.

Mit den mir derzeit vorliegenden Informationen über den vermutlich größten Bankraub aller Zeiten kann ich heute Folgendes behaupten: Hätte eine der mehr als 100 betroffenen Banken Panda Advanced Protection Service genutzt, wäre sie sicher gewesen und die Hacker hätten vermutlich nicht einen Penny stehlen können.

Selbstverständlich ist auch, dass alle unsere zurzeit erhältlichen Produkte im Stande sind, die von den Bank-Hackern verwendete Software zu entdecken und zu blockieren. Einige dieser Malware-Angriffe wurden bereits vor Monaten abgewehrt, lange bevor es publik wurde, dass sie zu diesem Bankraub gehörten. Ich möchte jedoch verdeutlichen, dass es sowohl für Panda als auch für seine Wettbewerber *heute* ein Leichtes ist, diese Malware zu bekämpfen. Was den entscheidenden Unterschied macht, ist die Fähigkeit, die Angriffe in dem Moment zu entdecken, in dem sie erfolgen. Aus diesem Grund sollte die  Verwendung von technologisch hochentwickelten Anti-Malware-Lösungen wie Panda Advanced Protection Service insbesondere für stark gefährdete Unternehmen wie Banken verpflichtend sein.

Luis Corrons

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.