Als höchster Betrag, der je aus einer Bank gestohlen wurde, gilt bis heute die eine Milliarde Dollar in bar, die Saddam Hussein 2003 kurz vor der Bombardierung seines Landes von seiner Zentralbank abhob und auf Lkws in seinen Palast bringen ließ. Aber dieser Rekord könnte bald gebrochen werden, und zwar von einer internationalen Bande von Online-Kriminellen.

Kurz vor Weihnachten 2014 melden die Sicherheitsspezialisten von Fox-IT und Group-IB, dass eine russische Hackerbande rund 25 Millionen Dollar im Laufe eines Jahres mit Hilfe des Trojaners Anunak erbeutet hat. Dabei nutzten die Kriminellen im Vorfeld vorhandene Infektionen mit Trojanern aus, über die sie sich schrittweise immer tiefer in die Bank-IT vorarbeiteten, bis sie schließlich Zugriff auf die Auszahlungsfunktion von Geldautomaten erlangten. Mitte Februar 2015 legen die russischen Kollegen von Kaspersky nach: Sie enthüllen weitere Details über die Raubzüge und behaupten, dass die Schadenssumme in Wahrheit bis zu einer Milliarde Dollar beträgt. Tatsächlich hat Fox-IT im Dezember nur verifizierte Schäden aufsummiert.

Kaspersky dagegen wertete auch unbestätigte Hinweise aus und kommt damit zu der weit höheren Schätzung. Die einzelnen Hacks dauern laut Kaspersky zwei bis vier Monate und erbringen bis zu zehn Millionen pro Schadensfall. Die Carbanak genannte Bande treibt in etwa 30 Ländern ihr Unwesen, unter anderem auch in Deutschland. Insgesamt sind circa 100 Banken, Zahlungsdienstleister und weitere Firmen aus dem Finanzsektor betroffen. Mitte Februar 2015 dauern die Angriffe noch an.

Die Angriffe machen klar: Die Cybergangster greifen auf allen Ebenen an. Sie nutzen jede noch so unscheinbare Lücke in jedem noch so unwichtigen System. Zudem werden die Angriffe immer professioneller. Knowhow, kompromittierte Zugänge und kriminelle Dienstleistungen werden auf dem Schwarzmarkt eingekauft und zu immer raffinierteren Raubzügen kombiniert. Die Sicherheitsmaßnahmen müssen auf allen Ebenen verstärkt werden. Wer nur die Pflichtübungen absolviert, um mit möglichst wenig Aufwand die Compliance zu erfüllen, hat schon verloren.