Wie erfolgreich diese Methode ist, zeigt das Beispiel der Carbanak-Gruppe. Im vergangenen Jahr wurde bekannt, dass die kriminelle Bande rund 100 Finanzinstitute in 30 Ländern angegriffen hat. Sie erbeutete insgesamt rund eine Milliarde US-Dollar. Das russische Sicherheitsunternehmen Kaspersky bezeichnete den Coup als „größten digitalen Bankraub der Geschichte“. Vor wenigen Monaten erst wurde die Zentralbank in Bangladesch zum Opfer und verlor über 80 Millionen Dollar.

Per E-Mail schleusen Cyberkriminelle Schadsoftware auf die Computer der Bankmitarbeiter. So spähen sie die nötigen Informationen aus, um später „im Namen des Mitarbeiters“ Überweisungen in Auftrag geben zu können. Ein anderes Szenario: Hacker manipulieren Bankautomaten so, dass sie plötzliche ohne Karte massenhaft Scheine ausspucken. Häufig können die Räuber ihre Taten vertuschen, indem sie das Konto so manipulieren, dass Defizite nicht sichtbar werden.

Auch hierzulande stehen Kreditinstitute im Visier der Angreifer. „Ich gehe davon aus, dass es auch in Deutschland regelmäßig Einbrüche in die Computersysteme von Banken gibt“, schätzt Felix Freiling, Professor für IT-Sicherheitsinfrastrukturen an der Uni Erlangen. Über Schäden werde nicht gesprochen in der Branche. Nach Angaben der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) sei die Gefahr allgegenwärtig: „Spektakuläre Erfolge konnten Cyberkriminelle jedoch bei deutschen Kreditinstituten nach unseren Erkenntnissen bisher nicht verbuchen“, erklärt Jens Obermöller, Leiter des Referats IT Sicherheit bei der BaFin in Bonn. Gänzlich ausschließen, dass Cyberkriminelle in Deutschland bereits Beute gemacht haben, möchte die BaFin jedoch nicht.

In der Berichterstattung um die Carbanak-Angriffe wurde auch Deutschland neben Russland, der Schweiz und den USA als eines der betroffenen Länder genannt. Die Deutsche Kreditwirtschaft nahm vor einem Jahr wie folgt dazu Stellung: Es lägen „keine Informationen über Schäden bei deutschen Instituten aufgrund dieses Angriffsmusters vor.”

Schwerwiegende Sicherheitsvorfälle melden, müssen Institute erst seit November 2015, so Obermöller, fügt aber hinzu: „Wir wüssten aber auch davon, wenn es vorher einen nennenswerten Fall gegeben hätte.“ Angriffe gebe es ständig, jeden Tag. Bisher könnten sich die deutschen Institute jedoch gut verteidigen. „Die deutschen Institute sind gut aufgestellt.“ Professor Freiling sagt allerdings auch: „Mich würde es sehr überraschen, wenn bei deutschen Banken in der Vergangenheit alle vergleichbaren Manipulationsversuche entdeckt worden wären.“

Die Angriffe würden zunehmend von langer Hand geplant und zunehmend personalisierter, erklärt Obermöller. So bekommt der Bankmitarbeiter vielleicht nichtsahnend eine Mail mit einer Glückwunschkarte eines guten Freundes im Anhang. Dazu gebe es Erpressungsversuche: Kriminelle fordern Geld verbunden mit der Drohung ansonsten das System lahmzulegen. Doch für diese Szenarien haben Banken aufwendige leistungsstarke Backup-Systeme, die dann zum Einsatz kämen, um einer Überlastung vorzubeugen.

Kaspersky verweist auf eine Trendwende unter Cyberkriminellen: Nicht mehr das Online-Banking sei Hauptziel, sondern immer häufiger die Finanzinstitute direkt. Und: „Fast jeder Geldautomat weltweit kann illegal gekapert oder manipuliert werden“, heißt es in einer Mitteilung des Unternehmens, das weltweit 3000 Mitarbeiter beschäftigt und seine deutsche Tochter in Ingolstadt hat. Laut einer Analyse liege das an der weit verbreiteten Nutzung veralteter und unsicherer Software, Fehler in der Netzwerkkonfiguration sowie Mängeln bei der physischen Sicherheit von Geldautomaten.