Angriff ist die beste Verteidigung

Cyberattacken nehmen zu. Die Täter haben es auf Firmen­netzwerke und private Daten abgesehen. Wie schützt die Zürcher Kantonalbank ihre IT-Systeme und die Daten ihrer Kundschaft? Zwei Hacker klären auf.

Text: Andreas Dürrenberger / Illustration: Ariel Davis | aus dem Magazin «ZH» 1/2023

Illustration Cybersecurity, Aufmacher

«Hackerangriff auf Schweizer Spitalverband», «SBB von Hackerangriff getroffen» oder «Ernster Cyberangriff auf die Universität Zürich» – Schlagzeilen wie diese sind immer häufiger zu lesen. Und sie sind nur die Spitze des Eisbergs: Cyberangriffe nehmen seit Jahren stark zu, und nur ein Bruchteil gelangt an die Öffentlichkeit. Die weltweiten wirtschaftlichen Schäden durch Cyberkriminalität belaufen sich mittlerweile auf über 900 Milliarden Dollar jährlich. Auf dem Sorgenbarometer von Wirtschaftsführern nimmt die Angst vor Cyber­risiken regelmässig den Spitzenplatz ein, noch vor Rezessions- und Kriegsängsten.

Das Nationale Zentrum für Cybersicherheit des Bundes (NCSC) verzeichnete vergangenes Jahr 34’000 Meldungen zur Cyberkriminalität, ein Jahr zuvor waren es noch rund 21’000 Meldungen. Die Bandbreite der Angriffe ist gross: Sie reicht von Phishing über Betrug und Hacking bis zur Verbreitung von Schadsoftware. Das NCSC erfasst dabei Fälle von Privatpersonen, aber auch von Unternehmen.

Hacker schützen die Bank vor Hackern

Einer, der weiss, wie man Unternehmen digital angreift, ist Thomas Kern*. Kern ist ein Hacker. «Dunkler Kapuzenpullover, im muffigen Keller sitzend, umgeben von leeren Pizzaschachteln, Energydrink-Dosen und leuchtenden Monitoren voller Codezeilen»: Dieses Bild entwirft Kern und grinst schelmisch dabei. Denn in Realität entspricht er keinem dieser Hackerklischees. Der 32-Jährige hat kurze Haare und ein jugendliches Gesicht, er trägt zwar einen dunklen Pullover, doch ohne Kapuze, dazu Chino-Hosen und Sneaker. Er sitzt auch nicht in einem düsteren Keller, sondern in einem hellen Büro der Zürcher Kantonalbank mitten im Kreis 5 in Zürich.

Kern ist ein Ethical Hacker und Angestellter der Bank. Sein Auftrag: Er greift die Informatikinfrastruktur regelmässig mit den gleichen Mitteln an, die kriminelle Hacker einsetzen würden. So prüft er die Widerstandsfähigkeit der Systeme und würde Schwachstellen entdecken, bevor diese zum Problem werden. In Filmen sitzen Hacker ständig am Computer, hämmern auf der Tastatur herum und dringen mit Leichtigkeit in fremde Systeme ein. Sieht so auch Kerns Arbeitsalltag aus? «Eher nicht», sagt er lachend. «Ich verbringe mehr Zeit mit der Recherche und der Vorbereitung als mit dem Angriff selbst.»

Das auf Cybersecurity spezialisierte Unternehmen Check Point hat die Attacken auf Schweizer Unternehmen anhand eigener Daten untersucht. Um 61 Prozent haben diese im letzten Jahr zugenommen. Im Durchschnitt greifen Cyberkriminelle 777 Mal ein Unternehmen an – pro Woche! Überdurchschnittlich stark – um mehr als das Doppelte – sind dabei die Angriffe auf Unternehmen in der Finanzindustrie gestiegen.

Hacker lassen sich je nach Motiv in unterschiedliche Gruppen einteilen, wie Kern erklärt. «Es gibt staatlich gesponserte Hacker, die im Auftrag einer Regierung tätig sind. Eigentlich sind sie digitale Spione, die vor allem an geheimen Informationen interessiert sind oder die Infrastruktur anderer Staaten sabotieren wollen.» Gänzlich andere Motive verfolgten Hacktivisten. «Deren Motivation ist politischer Aktivismus. Sie hacken beispielsweise Websites von Unternehmen, um dort mit eigenen Botschaften auf Missstände aufmerksam zu machen. Die betroffenen Unternehmen erleiden dabei vor allem einen Imageschaden.»

Illustration Cybersecurity, Hackerin

Hacken, verschlüsseln, Lösegeld fordern

«Für uns als Bank haben Cybercrime-Banden die höchste Bedeutung. Ihre Motive sind meist rein finanzieller Natur», sagt Kern. Diese Gruppierungen, von denen einige internationale Bekanntheit erlangt haben, versuchen in Unternehmensnetzwerke einzudringen. Gelingt ihnen das, installieren sie ein eigenes Computerprogramm, eine sogenannte Ransomware. Der Begriff setzt sich aus den Worten Software und Ransom – englisch Lösegeld – zusammen.

Die Ransomware verschlüsselt die Daten und IT-Systeme des Unternehmens und macht diese so temporär unbrauchbar. Nur gegen Zahlung eines Lösegelds werden die Daten von den Kriminellen wieder entschlüsselt. Der Druck auf Unternehmen, das Lösegeld zu zahlen, ist hoch – selbst wenn sie dank Back-up-Daten ihre Geschäftstätigkeit fortsetzen können. Denn erfolgt keine Zahlung, drohen die Erpresser immer häufiger mit der Veröffentlichung der Daten, die sie bei ihrem Hack nicht nur verschlüsselt, sondern möglicherweise auch gestohlen haben.

«Individuelle Kundendaten standen bisher nicht unbedingt im Fokus dieser Hackerbanden», so Kern. «Sie wollten mit der Verschlüsselung einfach möglichst schnell so viel Geld wie möglich verdienen. Kundendaten zu stehlen, diese aus­zuwerten und für weitere kriminelle Zwecke zu verwenden, bedeutet mehr Arbeit und ist zeitauf­wendig.» Doch auch dies geschieht offenbar zunehmend. Besonders interessant sind für die Verbrecher hier sensible medizinische Daten oder Finanzinformationen. Damit lassen sich auch Privat­personen erpressen, die sich des Werts dieser Informationen und der potenziellen Gefahr eines Hacks gar nicht bewusst sind.

Die Zürcher Kantonalbank und ihre IT-Spezialistinnen und -Spezialisten hingegen sind sich dieser Gefahr sehr bewusst: «Als Bank wird von uns ein besonders hohes Sicherheitsniveau erwartet. Wäre ein Cyberangriff auf uns erfolgreich, wäre das Schadenspotenzial enorm. Nicht nur in finanzieller Hinsicht, sondern auch unser Ruf als besonders sichere Bank wäre beschädigt», sagt Kern.

Unterwegs im Darknet

Damit genau dies möglichst nicht passiert und die IT-Systeme und Kundendaten geschützt sind, betreibt die Zürcher Kantonalbank viel Aufwand. Thomas Kerns Rolle als interner Hacker ist dabei nur ein Zahnrädchen, das mit vielen anderen verzahnt ist. Wie genau Kern bei seiner Arbeit vorgeht und welche Abwehrmassnahmen seine Kollegen in der IT-Sicherheit vorbereitet haben, möchte und darf Kern öffentlich nicht ausführen. Solche Informationen könnten von Hackern bei Angriffen genutzt werden. Was allerdings verraten werden darf: Die Cyberverteidigung der Zürcher Kantonalbank ist mehrstufig aufgestellt.

Ein Team beispielsweise kümmert sich um die Cyber Threat Intelligence, also die Analyse der Bedrohungslage: Spezialisten der Bank sammeln und analysieren Daten darüber, welche Techniken und Taktiken Cyberkriminelle bei Angriffen anwenden. Sie arbeiten hierfür mit Organisationen wie dem NCSC, aber auch spezialisierten Unternehmen zusammen und frequentieren Online-Foren von Hackern – den Guten und den Bösen unter ihnen. Denn auch Letztere verfügen im Internet beziehungsweise im Dark­net – anonymen, der Öffentlichkeit weitgehend verborgenen Netzwerken – über ihre eigenen Treffpunkte. Sein Wissen teilt Kern auch gerne mit anderen. «Die Cybersecurity-Szene ist sehr gut vernetzt», sagt er. «Ich tausche mich oft mit Kolleginnen und Kollegen aus anderen Unternehmen aus. Auch IT-Security-Konferenzen sind ein guter Ort, um Informationen aus erster Hand zu erhalten.»

Die zweite Ebene der Cyberabwehr nennt sich Cyber Detect. Spezialisierte Programme scannen unentwegt das Banknetzwerk und suchen nach ungewöhnlichen Aktivitäten. Erhärtet sich ein Verdacht, schlägt das System Alarm. Nun übernehmen die Spezialisten des Teams Cyber Incident Response. Als schnelle Eingreiftruppe gehen sie jedem Alarm auf den Grund und würden im Notfall sofort Massnahmen zum Schutz der Systeme und Daten einleiten.

Illustration Cybersecurity, Abschluss

Die grösste Schwachstelle: der Mensch

So merkwürdig es klingen mag: Das grösste Risiko für Kundendaten ist der Kunde selbst. Das weiss niemand besser als die Experten der Fachstelle eChannel-Sicherheit der Zürcher Kantonalbank. Mit Francesco Rossi* ist auch hier ein ­Ethical Hacker im Auftrag der Bank tätig. Sein Spezialgebiet sind die digitalen Kundenkanäle der Bank. Genau wie Kern greift er diese regelmässig an, um deren Sicherheit auf Herz und Nieren zu prüfen.

«Unser eBanking und das Mobile Banking für Smartphones erfüllen die höchsten Sicherheitsstandards», sagt Rossi. «Wir hatten noch keinen einzigen Fall, bei dem ein Kunde durch eine rein technische Sicherheitslücke zu Schaden gekommen ist.» Deshalb greifen Cyberkriminelle gerne dort an, wo sie eine Schwachstelle vermuten: beim Menschen. Wie sie dabei vorgehen?

«Psychologie spielt eine entscheidende Rolle», sagt Rossi. «Die Täter nutzen das sogenannte Social Engineering, um die Menschen zu manipulieren.» Wie das funktioniert, zeigt Rossi anhand einer Masche auf, die von Kriminellen immer wieder genutzt wird und leider erfolgreich ist: des Google Scam. In einem ersten Schritt gehe es immer darum, Aufmerksamkeit zu erzeugen. «Sucht ein Kunde über Google die Loginseite für das eBanking seiner Bank, erscheint an erster Stelle eine Anzeige, die vermeintlich auf diese Seite führt», erklärt er.

Solche Anzeigen können die Täter für wenig Geld schalten und mit den passenden Suchwörtern verknüpfen. «Klickt der Kunde auf den Anzeigelink, gelangt er auf eine Website, die der echten Loginseite bis ins Detail nachempfunden ist», so Rossi weiter. Ein Login sei jedoch nicht möglich, stattdessen erscheine der Warnhinweis, dass das Konto gesperrt sei. «Wie auf der gefälschten Website gefordert, ruft der Kunde nun die – natürlich ebenfalls gefälschte – Telefonnummer der Hotline an. Am anderen Ende der Leitung sitzt ein freundlicher Betrüger statt eines freundlichen Bankmitarbeiters.»

Geschicktes Spiel mit den Emotionen

Danach nimmt das Unheil seinen Lauf. «Es ist vorgekommen, dass Kunden dem vermeintlichen Hotline-Mitarbeiter durch die Installation einer Software die Kontrolle über ihren Computer gegeben haben. Durch die Herausgabe ihrer Logindaten und weiterer Identifizierungsmerkmale war danach auch ein Zugriff auf das Konto möglich.» Auch Überweisungen auf ein Bitcoin-Konto, die angeblich die Funktionstüchtigkeit des Kontos prüfen sollten, sind eine beliebte Masche der Täter. «Die Kriminellen gehen geschickt vor», sagt Rossi. «Sie setzen den Kunden im Gespräch unter Druck und machen ihm Angst, dass er sein Konto künftig nicht mehr nutzen kann, wenn er nicht kooperiert.»

Das Spiel mit den Emotionen beherrschen die Betrüger perfekt. Welche Gefühle angesprochen werden, hängt immer von der jeweiligen Betrugsmasche ab: Beim Investment Scam versprechen die Betrüger sichere Anlagen mit maximalen Gewinnen und fordern stattdessen immer mehr Geld; beim Romance Scam wird eine digi­tale Liebesbeziehung vorgespielt, die stets in Geldforderungen endet; oder Erpresser drohen, heikle Bilder oder Daten zu veröffentlichen. «Sorge um das eigene Ansehen, die vermeintlich grosse Liebe, die Aussicht auf sagenhafte Renditen – es geht um Angst, Zuneigung, Sicherheit oder Gier», sagt Rossi.

Die Zürcher Kantonalbank klärt ihre Kundinnen und Kunden aktiv darüber auf, wie sie sich vor Betrugsversuchen beim digitalen Banking schützen können. Auf ihrer Website und in Broschüren gibt sie wichtige Tipps (siehe unten). In Zusammenarbeit mit der Hochschule Luzern bietet sie Interessierten auch Kurse an, wie man sich vor Gefahren im Internet schützt. Die Experten der Bank treten selbst regelmässig an Anlässen für Privat- und Firmenkunden der Bank auf und führen Schulungen durch. Für Rossi ist klar: «Je besser sich Unternehmen und Privatpersonen schützen, desto weniger Erfolg haben die Cyberkriminellen.» Denn auf Schlagzeilen zum Thema können wir alle gerne verzichten.

* Namen aus Gründen der Sicherheit geändert.

Sechs Tipps für sicheres eBanking

1 – Vorsicht

Illustration Cybersecurity, Tipp 1

Seien Sie skeptisch bei ungewöhnlichen Angeboten. Hohe Gewinne bei geringen Risiken und sehr tiefe Preise für üblicherweise teure Produkte gehören eher zur Kategorie der Illusionen. Weder ihre Bank noch Microsoft werden Sie ungefragt anrufen, um Support zu leisten. Lassen Sie sich nicht täuschen und brechen Sie den Kontakt ab.

2 – Verschwiegenheit

Illustration Cybersecurity, Tipp2

Geben Sie niemals – weder am Telefon noch online – persönliche Daten wie Vertragsnummer, Passwort oder PIN preis oder laden Sie nie infolge einer E-Mail eine Ausweiskopie hoch. Bankmitarbeitende werden Sie nie am Telefon oder per E-Mail nach diesen «Geheimnissen» fragen.

3 – Hinterfragen

Illustration Cybersecurity, Tipp 3

Haben Sie eine E-Mail oder Kurznachricht auf dem Smartphone erhalten, die Sie nicht erwartet haben? Hinterfragen Sie sie in diesem Fall kritisch und klären Sie auf einem anderen Kanal, beispielsweise per Telefon, ab, ob der Absender die Nachricht wirklich verschickt hat. Verwenden Sie dafür die Telefonnummer 0844 840 140. Öffnen Sie bei Verdacht keine Links oder Anhänge.

4 – Sicheres Einloggen

Illustration Cybersecurity, Tipp 4

Suchen Sie die Loginseite für das eBanking nie über eine Suchmaschine wie Google. Geben Sie die Adresse der Loginseite immer direkt im Adressfeld des Browsers ein oder verwenden Sie den Link auf der Website zkb.ch.

5 – Regelmässige Updates

Illustration Cybersecurity, Tipp 6

Lassen Sie Ihr Smartphone oder Ihren PC automatisch updaten. Achten Sie beim PC darauf, dass dies auch für Software wie Browser, Adobe Reader etc. gilt. Damit werden Schwachstellen schnell geschlossen und Angreifer können diese nicht ausnutzen.

6 – Vertrauenswürdigkeit

Illustration Cybersecurity, Tipp 6

Stellen Sie sicher, dass nur Personen Ihres Vertrauens Ihr Smartphone oder Computersystem nutzen. Wickeln Sie Ihre Bank­geschäfte nie über nicht vertrauenswürdige Computer ab und nutzen Sie beim Mobile Banking, wenn immer möglich, kein öffentliches WLAN und keine öffentlichen USB-Anschlüsse. Laden Sie Apps nur aus sicheren Quellen herunter (App Store von Apple oder Play Store von Google).

Kategorien

ZH Ausgewählte Themen