Die Spitze des Eisbergs
Eigentlich wollte ich heute darüber schreiben, dass schon wieder zehn Millionen Dollar digital gestohlen worden sind, diesmal in der Ukraine. Aber während ich recherchierte, bin ich auf einen Hintergrund-Artikel der Nachrichtenagentur Reuters gestoßen, der mich noch viel mehr beunruhigt. Denn es zeigt sich, dass anscheinend keiner weiß, wie viele solche Raubzüge schon vorgekommen sind und wie viel dabei erbeutet wurde.
Klar ist inzwischen, dass es sich um eine Serie handelt. Eine Serie gut organisierter hoch professioneller Angriffe auf das SWIFT-System. Und die betroffenen Banken versuchen allem Anschein nach, die Vorfälle geheim zu halten. Die Öffentlichkeit erfährt erst mit großer Verspätung von den Angriffen. Wenn überhaupt. Was bisher bekannt wurde, kam durch hartnäckige Journalisten oder Gerichtsverfahren ans Licht. Wie viele Fälle gibt es, die unter den Teppich gekehrt wurden?
Im Januar 2015 wurde die Banco del Austro in Ecuador um 12 Millionen Dollar erleichtert. Ans Licht kam das aber erst durch ein Gerichtsverfahren im Mai 2016. Statt SWIFT zu informieren, verklagte die bestohlene Bank nämlich den Finanzdienstleister Wells Fargo auf Schadenersatz, weil dort die verdächtigen Transaktionen nicht gestoppt wurden. Anlässlich des Gerichtsverfahrens fragte dann ein Reporter von Reuters bei SWIFT nach – wo man bislang von nichts wusste. Anscheinend müssen die Spielregeln von SWIFT präzisiert werden. Da steht nämlich, dass die betroffenen Banken Probleme an SWIFT melden müssen, die die „Vertraulichkeit, Integrität oder Verfügbarkeit des SWIFT-Dienstes“ gefährden können.
Nun könnte man die Meinung vertreten, dass das auf einen digitalen Diebstahl zutrifft. Aber da es nicht ausdrücklich da steht, behält man solche Raubzüge anscheinend lieber für sich. Dass das durchaus öfter vorkommt, haben mehrere Experten Reuters bestätigt. Die Reuters-Autoren bringen das Problem auf den Punkt: „Weder SWIFT noch die Banken, die das System nutzen, wissen über die Häufigkeit oder die Einzelheiten von digitalen Diebstählen Bescheid, die mit Hilfe des SWIFT-Netzwerks durchgeführt wurden.“
Wie soll man ein System schützen, wenn man nicht weiß, dass es angegriffen wird?