Anfang Jahr verkündete die internationale Hackergruppe «Rex Mundi» («König der Welt») stolz: «Wir haben 30 192 private E-Mails der Genfer Kantonalbank runtergeladen.» Tatsächlich gelang es ihnen, in Computer der Genfer Kantonalbank einzudringen und dort Korrespondenz mit Kunden zu stehlen. Diese hatten ihre Anfragen über das Formular auf der Website der Bank eingegeben. Die Kundennachrichten an die Bank enthielten Namen, Adressen, Telefonnummern und zum Teil Angaben zu Einkommen und Vermögensverhältnissen oder zur gewünschten Höhe einer Hypothek.
Die Hacker versuchten die Genfer Kantonalbank zu erpressen: Sie würden alle Daten veröffentlichen, falls die Bank ihnen nicht 25 000 Euro überweise. Die Kantonalbank ging auf die Forderung nicht ein und wandte sich an die Polizei. Darauf publizierten die Erpresser die Daten im Deep Web, einem nicht einfach zugänglichen Teil des Internets.
Hackerangriffe werden selten öffentlich
«Auch bei einer Zahlung hätten wir keine Gewähr gehabt, dass die Daten nicht doch veröffentlicht werden», sagt Hélène De Vos Vuadens, Sprecherin der Bank. Zudem hätten die Hacker nach Erhalt des Geldes möglicherweise weitere Forderungen gestellt. Die Bank habe jetzt die Sicherheit ihrer Website verbessert und das problematische Formular vom Netz genommen.
Die Genfer Kantonalbank ist nicht die erste Schweizer Bank, die Opfer eines Hackerangriffs wurde. Das sagt Nico Van der Beken von der Firma Stroz Friedberg, einem auf Internetsicherheit spezialisierten Beratungsunternehmen. Es sei aber selten, dass solche Fälle öffentlich werden.
Max Klaus von der Melde- und Analysestelle Informationssicherung des Bundes rät bei Erpressungen von Zahlungen ab. Patrick Ghion, Leiter der Kommission Informatik-Kriminalität bei der Kantonspolizei Genf, sagte aber der Zeitung «Le Matin Dimanche», die Genfer Bankinstitute hätten bisher geschwiegen und versucht, das Problem allein zu lösen – auf die Gefahr hin, Geld zu zahlen. Die Kantonalbank sei die erste Bank in Genf, die Anzeige erstattet habe.
Keine Bank ist heute vor Hackern gefeit. Doch laut Experte Nico Van der Beken werden die Risiken in den Chefetagen unterschätzt.
Wie gut sind Banken gegen Angriffe von aussen geschützt? Cédric Jeanneret, ein Waadtländer Informatiker und Mitglied der Piratenpartei, hat die Websites und das E-Banking von 188 Schweizer Banken auf mögliche Sicherheitslücken hin geprüft. Problematisch sind Websites von Banken, die mit dem Multimediaprogramm Flash arbeiten oder noch veraltete und als unsicher geltende Internetprotokolle unterstützen. Konkret untersucht wurde die Verbindung zwischen Kundenbrowser und Bank.
Banken-Websites sind ein Sicherheitsrisiko
Banken, die ausschliesslich die neusten Sicherheitsmechanismen verwenden, können in Jeannerets Untersuchung eine Maximalpunktzahl von 12 erreichen. Die Durchschnittsnote bei der Sicherheit der Websites lag aber nur bei 4,84, beim E-Banking immerhin bei 7,88 (Stand: 23. Februar). Das zeigt: Beim E-Banking legen die Finanzinstitute deutlich mehr Wert auf Sicherheit als bei ihren Websites. Bei der Genfer Kantonalbank war es denn auch die Website, die als Einfallstor für die Hacker diente.
Eine schlechte Note bedeutet laut Jeanneret nicht, dass die Daten allgemein zugänglich sind. «Doch die Banken könnten es besser machen.» Konkret: Sehe der Benutzer in der Adresszeile seines Browsers «https://» mit einem Schlosssymbol, falle es Angreifer schwerer, Daten abzugreifen.
saldo konfrontierte zehn Banken, deren Websites eine schlechte Bewertung kassierten, mit den Resultaten. Alle erklären, dass sie die Gefahr von Hackern durchaus ernst nähmen. Raiffeisen Schweiz (Note 6) sagt, das Jeanneret-Rating sei nicht geeignet, die Sicherheit von Raiffeisen einzuschätzen. Die Schwyzer Kantonalbank (Note 5) bezeichnet die Bewertung als «einseitig, oberflächlich und unprofessionell». Und die Cembra Money Bank (Note 5) hält fest, der Test decke nur einen kleinen Teil der Sicherheitsthematik ab.
Nur die Note 4 schaffte die Website der Thurgauer Kantonalbank. Sie verwendet ein ähnliches Kontaktformular wie das gehackte der Genfer Kantonalbank. Sprecherin Sabrina Dünnenberger sieht darin kein Problem: Das Formular verlange von den Kunden «keine Eingabe sensibler Daten».
Die Valiant Bank (Note 4,5) räumt ein, ihre Website sei «nicht optimal geschützt». Auf dem entsprechenden Server befänden sich aber keine sicherheitskritischen Infos. Dennoch arbeite man an einer Optimierung.
Ergebnisse der Untersuchung über die Sicherheit der Websites von Schweizer Banken unter https://banquignols.ethack.org.
