Banking über VPNs

Buchstäblich jeder in der Geschäftswelt dürfte dankbar sein, dass es SWIFT gibt. SWIFT ist die Abkürzung für „Society for Worldwide Interbank Financial Telecommunications“, das internationale Netzwerk für den elektronischen Zahlungsverkehr. Über SWIFT können Geldbeträge schnell an jedes beliebige Finanzinstitut in der Welt gesendet oder von einem solchen empfangen werden. Durch SWIFT sollen Transaktionen effizienter werden. Ohne SWIFT würde die Wirtschaft wieder in das Zeitalter zurückfallen, als Schecks noch mit der Post geschickt wurden und Transaktionen schrecklich lange dauerten.

Zurzeit werden von den rund 10.000 SWIFT-Mitgliedsinstitutionen jeden Tag circa 24 Millionen Nachrichten über das Netzwerk versandt. Für die Sicherheit von SWIFT spielen VPNs eine entscheidende Rolle. Nach einer Reihe erfolgreicher Angriffe in den vergangenen 12 Monaten scheinen jedoch nicht alle Banken – insbesondere Banken in weniger entwickelten Volkswirtschaften – der Sicherheit höchste Priorität einzuräumen. Die Lösung dieses Problems könnte darin bestehen, dass die Aufsichtsbehörden darauf bestehen, VPNs nicht nur im Kernbereich des SWIFT-Netzwerks zu verwenden, sondern auch im Rahmen der Verbesserung von Sicherheitsmaßnahmen an seinen Außengrenzen.

In Folge einer Reihe hochkarätiger Angriffe geriet das SWIFT-Netzwerk kürzlich unter Druck. Im Februar 2016 wurden 81 Millionen Dollar vom Konto der Zentralbank Bangladeschs bei der Federal Reserve Bank of New York gestohlen. Andernorts verklagte die Banco del Austro S.A. in Ecuador das Bankunternehmen Wells Fargo & Co., da Wells Fargo Hacker mutmaßlich nicht davon abgehalten hatte, SWIFT für den Diebstahl von 12 Millionen Dollar zu nutzen. Ein weiterer Diebstahl wurde bei einer nicht namentlich genannten Geschäftsbank begangen. Gleichzeitig gelang es der Tien Phong Commercial Joint Stock Bank von Vietnam Ende 2015, den Diebstahl von einer Million Euro zu verhindern.

Ermittler fanden heraus, dass es Cyberkriminellen in mindestens zwei Fällen gelungen war, sich Zugang zu den Computern von Mitarbeitern mit privilegiertem Systemzugriff zu verschaffen. Angefangen hatte es mit einem erfolgreichen Spear-Phishing-Angriff, über den die Angreifer an die Zugangsdaten von Mitarbeitern gelangen konnten. Diese nutzten sie zur Identifikation der Rechner von Administratoren. Durch das Einschleusen von Malware in diese Geräte konnten die Angreifer alles sehen, was auf den Bildschirmen der Administratoren geschah, die die Bargeldtransfersysteme warteten. Auf diese Weise konnten sich die Betrüger so gut mit der Routine vertraut machen, dass sie unentdeckt blieben, während sie über viele Monate Geld von Konten abschöpften.

Im Laufe der Untersuchung der Diebstähle bei der Zentralbank Bangladeschs sowie bei Wells Fargo haben amtierende und ehemalige für SWIFT verantwortliche Führungskräfte zugegeben, dass sie dem Komfort eine höhere Priorität als der Sicherheit eingeräumt hatten. Das ist bei Weitem nicht das einzige Beispiel, bei dem die Sicherheit nicht so groß ist, wie es in dem System für den Zahlungsverkehrsdatenaustausch möglich wäre. VPNs bilden den Kern des SWIFT-Netzwerks. Für den Einbau von Systemredundanz empfiehlt die Organisation ihren Mitgliedern, ein Connectivity Pack bestehend aus zwei VPNs für jede Niederlassung und jedes Büro mit SWIFT-Anbindung zu nutzen. Da zwei Connectivity Packs pro Niederlassung die Investition allerdings verdoppeln, beschließen viele Mitglieder, insbesondere kleinere Unternehmen, diese Regel nicht zu beachten.

Die jüngsten Angriffe auf SWIFT zeigen: Banken mögen zwar die Compliance- und Banking-Vorschriften einhalten, aber sie sind immer noch angreifbar, wenn nicht genügend auf die Sicherheit geachtet wird. Hacker nehmen die Computer derjenigen Bankeninsider ins Visier, die mit hohen Zugangsprivilegien ausgestattet sind. Zur Abwehr solcher Angriffe muss die IT-Sicherheit der Banken vielschichtig sein, regelmäßig aktualisiert und ständig auf anormales Verhalten hin kontrolliert werden. Ebenso muss SWIFT mehr unternehmen. Beispielsweise sollte SWIFT Regeln durchsetzen wie etwa die Einrichtung von zwei VPN-Verbindungen pro Niederlassung für jene Mitglieder, die Überweisungen senden. Idealerweise sollten die Regeln erweitert werden, um Empfängerbanken einzubeziehen. Viele größere Banken senden und empfangen Zahlungen per SWIFT. Andere hingegen, häufig kleinere Finanzinstitute aus Entwicklungsländern, empfangen lediglich Zahlungen. Diese Banken sind keine SWIFT-Mitglieder. Letztendlich sind die Banken für ihr eigenes Risikomanagement verantwortlich. Wie in jeder anderen Branche auch, räumen einige Unternehmen der Sicherheit eine höhere Priorität ein als andere. Ein adäquater Schutz für das gesamte SWIFT-Netzwerk erfordert ein Einschreiten der Aufsichtsbehörden. Diese müssen die zuvor genannten Sicherheitsmaßnahmen zum absoluten Mindest-Compliance-Standard für jede Bank erheben. Insgesamt können alle Beteiligten daraus lernen, sowohl SWIFT und die Banken als auch die Aufsichtsbehörden. Zunächst einmal müssen bestehende Regeln, wie beispielsweise die Regeln in Bezug auf die Nutzung von VPNs, durchgesetzt werden. Zudem ist die Einführung neuer Vorschriften für eine verbesserte Überwachung, ein strikteres Management hoher Zugriffsrechte sowie für die Multi-Faktor-Authentisierung notwendig. Hacker haben der Reputation eines für die Weltwirtschaft unentbehrlichen Systems erheblich geschadet. Mit verbesserten Sicherheitsmaßnahmen sollte SWIFT jedoch schnell wieder zu dem Netzwerk werden, auf das sich jeder verlassen kann.