Digitaler Überfall auf Schweizer Unternehmen

Hacker haben zwei Berner Firmen rund 1,5 Millionen Franken gestohlen. Die Patrons kritisieren die Banken für ihre tiefen Sicherheitsstandards.

Über Nacht verschwand das Geld: Die Möbelschreinerei Röthlisberger wurde Opfer von Cyberkriminellen.

Über Nacht verschwand das Geld: Die Möbelschreinerei Röthlisberger wurde Opfer von Cyberkriminellen. Bild: Adrian Moser

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Peter Röthlisberger war am 25. Januar wie jeden Morgen früh in seinem Büro. Doch nach einigen Minuten war alles anders als sonst: Sein Bildschirm wurde schwarz. Das passierte nach und nach auch bei allen anderen Computern der Röthlisberger Schreinerei AG, einer Designmöbel-Herstellerin in Gümligen. «Kurz nach 7 Uhr haben wir unseren IT-Anbieter verständigt, um 8.20 Uhr wurde unser Server vom Netz genommen», erzählt Verwaltungsratspräsident Röthlisberger. Und um 10.30 Uhr habe man die vier Hausbanken angewiesen, keine Zahlungen mehr auszuführen.

Umfrage

Haben Sie Angst, Opfer eines Hackerangriffs zu werden?





Zu spät. Cyberkriminelle waren schon Wochen, wenn nicht Monate zuvor über eine Schadsoftware in das Netzwerk der Firma Röthlisberger eingebrochen. Sie waren geduldig, bereiteten alles gut vor. Dann gaben sie am Vorabend im Namen des Unternehmens vier Zahlungen in Auftrag: eine in der Höhe von 259’000 Franken über die Valiant und drei über insgesamt 178’000 Franken über die Credit Suisse. Ähnliches passierte am 15. Februar bei der Belwag AG. Die zum Berner Familienunternehmen Küng gehörende Firma betreibt sechs Autogaragen sowie die beiden Stadtberner Parkhäuser Casino und City-West.

Video: Daten geklaut? Digital-Redaktor Matthias Schüssler erklärt, was Sie dagegen tun können.

Quelle: Tages-Anzeiger

Auch die Computer der Belwag streikten an diesem Tag – und wie sich in den nächsten Tagen zeigte, hatten Hacker zuvor zehn Zahlungsaufträge bei UBS, Credit Suisse, Berner Kantonalbank und Postfinance in Auftrag gegeben. Totalbetrag: 1,2 Millionen Franken. Die Hacker kamen mit einem Trojaner namens Gozi ins Firmennetzwerk. Das kleine Programm gelangte vermutlich in einem als wichtiges Dokument getarnten E-Mail-Anhang auf den Server der Belwag. Ein einziges Öffnen des Dokuments reicht, und die Software nistet sich bei der Firma ein.

E-Banking-Software als Einfallstor

Ähnlich verhielt es sich bei der Firma Röthlisberger. Denn in beiden Fällen wurden die Überweisungen nicht im E-Banking der jeweiligen Banken getätigt, sondern mit einer Software namens Mammut. Diese erlaubt es den Unternehmen, ohne separate Logins Buchungen über verschiedene Bankkonti zu tätigen. Das Problem: Wer den Zugriff darauf hat, hat den Zugriff auf alle Bankverbindungen.

Die Software ist schweizweit bei 3500 Unternehmen im Einsatz. Der Inhaber der kleinen Mammut Soft Computing AG mit Sitz in Kölliken, Iwan Vogel, betont, dass nur Kunden mit einem bestimmten Servertyp potenziell gefährdet seien und dass man letzten Herbst ein Sicherheitsupdate herausgegeben habe. Dieses Update sei jedoch leider nicht von allen Kunden installiert worden – auch nicht von den beiden betroffenen Firmen.

So hatten die Hacker relativ einfach Zugriff zur Banking-Software. Wenn sich Angestellte der Unternehmen in das Programm einloggten, speicherte der Trojaner die Zugangsdaten und schickte sie den Hintermännern. Die Überweisungen richteten die Hacker dann nicht an sich selbst, sondern an Strohmänner im In- und Ausland.

BEKB überweist nach Kirgistan

Im Fall der Belwag ging die grösste Zahlung in der Höhe von 785’000 Franken vom Konto bei der Berner Kantonalbank an ein privates Konto bei der OJSC Commercial Bank in Bischkek, Kirgistan. Christoph Küng kann den Vorgang nicht verstehen. Die BEKB habe das Geld «ohne irgendwelche Rückfrage» nach Kirgistan überwiesen, sagt der Verwaltungsratspräsident der Küng-Gruppe und damit auch der Belwag, und dies obwohl die Belwag bei der BEKB sonst nie Überweisungen ins Ausland tätigt.

Weil die BEKB keine direkte Verbindung zur kirgisischen Bank hat, musste das Geld über andere Banken geleitet werden – zum Glück. Die Landesbank Hessen-Thüringen hatte die 785’000 Franken aus nicht bekannten Gründen zurückbehalten. Und so landete das Geld eine Woche später wieder auf dem Konto der Belwag. Die BEKB erstattete auch die Überweisungsspesen von 24 Franken. Dies alles ohne Begründung. Christoph Küng ärgert sich, dass die Kantonalbank von Anfang an jede Mitschuld von sich gewiesen und auf ihre AGB verwiesen habe.

Er wirft auch die Frage auf, ob die Bank mit der Überweisung nicht ihre Sorgfaltspflicht in Sachen Geldwäschereibekämpfung verletzt habe.

Postfinance schöpfte Verdacht

Besser hat es in Küngs Augen die Postfinance gemacht. Die Hacker überwiesen über das Postkonto der Belwag 49’000 Franken an einen Mann in Cologny bei Genf. Weil die Hacker «Cololngy» geschrieben hatten, nahm die Postfinance die Buchung genauer unter die Lupe, sodass das Geld nicht überwiesen wurde. Weiter wurden je vier Überweisungen vom UBS- und vom Credit-Suisse-Konto aus getätigt. Sie gingen an Privatpersonen in Grossbritannien und Österreich. Einen Teil der Gelder haben die Berner zurückerhalten, 160’000 Franken sind noch ausstehend.


Er wirft die Frage auf, ob die Bank mit der Überweisung nicht ihre Sorgfaltspflicht in Sachen Geldwäschereibekämpfung verletzt habe.

Damit sind sie inzwischen besser dran als die Designmöbel-Schreinerei in Gümligen. Röthlisberger hatte zwar Glück, dass die bei der Valiant in Auftrag gegebene Zahlung noch gestoppt werden konnte. Doch drei Überweisungen vom Credit-Suisse-Konto im Umfang von 178’000 Franken bleiben in der Schwebe. Auch diese drei Zahlungen haben die Hacker an mutmassliche Strohmänner überwiesen. Diese werden üblicherweise im Internet rekrutiert («Verdiene 5000 Franken pro Monat von zu Hause aus!»). Indem sie gestohlene Gelder auf ihrem Konto empfangen und dann weiter überweisen, machen sie sich der Geldwäscherei schuldig.

Im Fall der Firma Röthlisberger wurde das Geld auf das Konto einer Tessiner Finanzfirma und auf zwei verschiedene Konten der gleichen Person überwiesen. Das Geld, das an die Firma ging, wurde eingefroren; die Überweisungen an die Privatperson wurden womöglich bereits bar abgehoben. Peter Röthlisberger fordert von der Credit Suisse, juristisch gegen den Kontoinhaber vorzugehen – und ist verärgert, weil die Grossbank zum Fall nichts sagen will.

Die Credit Suisse und die BEKB wollten zu den Fällen mit Verweis auf das Bankgeheimnis keine Stellung nehmen. Die Kantonspolizei Bern hat Ermittlungen gegen Hacker aufgenommen – mit unbekanntem Ausgang. (Der Bund)

Erstellt: 02.03.2017, 08:17 Uhr

Artikel zum Thema

Hacker erpressen Hoteliers

SonntagsZeitung Obwohl sie sensible Kundendaten halten, sind manche Hotels nicht ausreichend gegen Cyberkriminalität geschützt – Kriminelle verschlüsseln ihre Dateien und fordern Lösegeld Mehr...

Hacker können Flugtickets von Passagieren klauen

Bei Internet-Buchungssystemen für Flüge gibt es offenbar Sicherheitslücken. Die Tickets sind nicht durch Passwörter geschützt. Mehr...

Jetzt hat es eine Erpressersoftware auf Mac-Nutzer abgesehen

Nachdem es im Februar eine Schadsoftware auf Windows-Nutzer abgesehen hatte, ist nun eine Ransomware für den Mac aufgetaucht. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Werbung

Kommentare

Abo

Digital Abos

Tages-Anzeiger unbeschränkt lesen:
Im 1. Monat nur CHF 1.-

Die Welt in Bildern

Vom Statussymbol zum Ersatzteillager: Ein Arbeiter bedient sich an einem Hindustan Ambassador auf einem Markt in Kalkutta, Indien (23. März 2017).
(Bild: Rupak De Chowdhuri ) Mehr...