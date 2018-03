«Hallo, mein Name ist Patrick Sägesser, ich vertrete die Kriminalpolizei.» So beginnen Tausende von gefälschten E-Mails, die seit Anfang dieser Woche in der ganzen Schweiz verschickt werden. Das Ziel der Cyberkriminellen: Der Empfänger soll das angehängte Worddokument öffnen. Darin befindet sich der Bankentrojaner «Retefe», der E-Banking-Daten abgreift. Auch angebliche Bestellbestätigungen von Swisscom, SBB und der Airline Swiss sind im Umlauf.

Wird der Anhang geöffnet, nistet sich die Schadsoftware auf dem Computer des Nutzers ein. Will sich dieser dann bei seinem E-Banking-Portal einloggen, leitet der Trojaner die Datenverbindung zu einem Server um, den die Cyberkriminellen kontrollieren. Und das scheint mit der jüngsten E-Mail-Kampagne zu funktionieren: Die Cyberexperten der Melde- und Analysestelle Informationssicherheit Melani stellen im Moment bis zu 100 Umleitungen pro Tag fest, wie der stellvertretende Leiter Max Klaus sagt.

Bereits seit 2013 verwenden Kriminelle «Retefe» und ähnliche Trojaner, um Bankkonten leerzuräumen. Weil die Schadprogramme spezifisch Schweizer Banken im Visier haben, nennen Sicherheitsspezialisten die Angriffsmethode «Operation Emmental».

Unternehmen verschweigen die Vorfälle oft aus Angst

Der Finanzplatz ist im Vergleich mit anderen Sektoren deutlich häufiger betroffen. Das zeigen bislang unveröffentlichte Daten von Melani. 2015 verzeichneten die Sicherheitsexperten 56 Meldungen zu Angriffen auf kritische Infrastruktur. Dazu gehören unter anderem Kraftwerke, Polizei, Spitäler, Rüstungs­firmen und die Bundesverwaltung. 57 Prozent der Vorfälle betrafen den Finanzsektor. 2016 waren es schon 70 von 100 Meldungen, im letzten Jahr 62 der insgesamt 94 Meldungen. «Tatsache ist, dass fast alle, die irgendetwas Illegales im Internet anstellen, damit Geld verdienen wollen», sagt Klaus. «Daher bieten sich zum Beispiel Phishing-Angriffe auf E-Banking-Kunden geradezu an.»

Wie häufig solche Cyberattacken sind, lässt sich anhand der Melani-Daten nicht sagen. Die Meldungen betreffend kritischer Infrastruktur sind nur die Spitze des Eisbergs: Pro Monat gehen bei der Bundesstelle 500 bis 1000 Hinweise von Privatpersonen und Unternehmen ein. Von wem genau sie kommen und welche Art von Cyberattacke sie betreffen, wird statistisch nicht erfasst.Dazu kommt, dass Unternehmen die Vorfälle oft nicht melden, aus Angst vor Reputationsschäden. Die UBS und die Credit Suisse wollen sich zu konkreten Fragen nicht äussern.

Postfinance und Raiffeisen geben zumindest zu, von der «Operation Emmental» betroffen zu sein. «Es gibt diverse Bankentrojaner, die auch auf Raiffeisen ausgerichtet sind», heisst es etwa von der Genossenschaftsbank. Zwar gibt sie – wie die Postfinance – keine Zahlen zu Angriffen bekannt. Die Bedrohungslage habe aber «in den letzten Jahren zugenommen».

Wie oft die Cyberkriminellen Erfolg haben, sagen die Banken ebenfalls nicht. Es muss sich aber lohnen: «Offenbar generieren die Angriffe genug Einkommen», stellten die Experten des Swiss Government Computer Emergency Response Team (Govcert) in einem Bericht von letztem August fest. «Sonst würde die Kampagne nicht schon seit über vier Jahren laufen.»

Markus Limacher kritisiert den Schutz vor solchen E-Banking-Attacken als «mangelhaft». Er ist Sicherheitsexperte bei der Infoguard AG, die auch Grossbanken als Kunden hat. Für ihn ist klar: «Der Finanzsektor ist seit längerem im Fokus von Cyberkriminellen. Da ist viel Geld zu holen.»

SP-Nationalrätin Edith Graf-Litscher forderte den Bundesrat im letzten Juni dazu auf, eine Meldepflicht bei schwerwiegenden Sicherheitsvorfällen im Bereich kritische Infrastruktur zu prüfen. «Insbesondere im Cyberbereich ist nicht klar, wie gross das tatsächliche Ausmass der Bedrohung ist», begründete sie ihren Vorstoss. (SonntagsZeitung)