Mit dem Geschäfts-Mail auf die Dating-Plattform

Im Internet sind Tausende private Zugangsdaten mit E-Mails von Kantonalbanken aufgetaucht. (Symbolbild: AFP)

In Online-Foren sind die Zugangsdaten zu 11'500 Internetkonten von 2200 Schweizer Kantonalbanken-Angestellten zu finden. Die Datenlecks umfassen private Log-in-Details wie Nutzernamen und Passwörter zu Dating-Portalen wie Badoo.com und Zoosk.com oder Wettanbietern wie Easybet.com oder Viproomcasino.net. Das zeigt eine Analyse von gehackten Nutzerkonten, die über die letzten Jahre im Internet kursiert sind. Diese Angaben können Cyber-Kriminelle zum Beispiel benutzen, um kompromittierende Informationen über Bankangestellte auszulesen und sie zu erpressen; oder, um Massen-E-Mails mit schädlichem Code gezielt an Mitarbeiter eines Unternehmens zu versenden.

Die ausgewerteten Nutzerdaten werden von der Zürcher Sicherheitsfirma Kaduu seit zwei Jahren systematisch gesammelt und laufend ergänzt. Teils liegen die Log-ins und Passwörter in öffentlichen Hackerforen bereit, wo sich jedermann einfach bedienen kann, teils in geschlossenen Online-Communitys, die nur auserwählten Forenmitgliedern zugänglich sind. Betroffen ist das ganze Spektrum an Bankmitarbeitenden: vom Junior-Kundenberater, der eben erst in die Bank eingetreten ist, bis zum langjährigen Mitglied der Direktion.

Für die Analyse wurde mithilfe von E-Mail-Adress-Endungen zuerst nach Mitarbeitern der 24 Schweizer Kantonalbanken gesucht – zum Beispiel «zkb.ch» im Falle der Zürcher Kantonalbank. Treffer wurden dann automatisch mit dem Webdienst Haveibeenpwned.com abgeglichen, um Doppelnennungen zu eliminieren (für mehr siehe Box).

Das Resultat: Besonders in der Romandie machen die Banker im Internet eine weniger scharfe Trennung zwischen privater und geschäftlicher Kommunikation. Nach der Analyse führt jeder vierte der knapp 2000 Angestellten der Waadtländer Kantonalbank unter der Mail-Adresse seines Arbeitgebers «bcv.ch» im Internet ein Konto, deren Nutzernamen teils mit Passwort bereits geleakt worden ist.

Die Waadtländer Kantonalbank hat die Daten genauer untersucht. Sie gibt an, dass 70 der genannten Konten falsche E-Mail-Adressen sind, die nie einem Mitarbeiter der Bank gehörten. Rund die Hälfte der übrig gebliebenen Adressen seien veraltet. Sie gehörten also Mitarbeitern und Mitarbeiterinnen, die bereits nicht mehr für die Bank arbeiten würden. Betroffen seien also nicht 25 Prozent der Mitarbeitenden, sondern lediglich 10 Prozent. Die Waadtländer Kantonalbank schreibt: «Die BCV widmet der Bekämpfung aller Arten von Cyber-Risiken grösste Aufmerksamkeit, inklusive die Problematik der Listen gestohlener oder geleakter E-Mail-Adressen.»

Eine ähnlich hohe Quote haben neben der Waadtländer auch die Genfer und die Neuenburger Kantonalbank vorzuweisen. Der Kantonalbank-Mitarbeiter mit der grössten Anzahl geleakter Konten sitzt in der Rhone-Stadt und überwacht grössere Geldtransaktionen von Firmenkunden. Er kommt auf insgesamt 61 gehackte private Internetkonten und, das zeigt eine kurze Internetrecherche, arbeitet noch bei der Bank.

Etwas besser sieht es in der Deutschschweiz aus. Allerdings nur geringfügig. Bei der Zürcher Kantonalbank ist es einer auf sieben Mitarbeiter, der bereits von einem Datenleck betroffen gewesen ist. Bei über 5000 Angestellten sind das rund 700 Zürcher Banker.

Die Zürcher Kantonalbank gab auf Anfrage an, dass Cyber-Sicherheit höchste Priorität geniesse. Und: «Die geschilderte Thematik ist bekannt und wird von internen Experten laufend beobachtet.» Die Liste der betroffenen Mitarbeiter, die der ZKB vorgelegt wurde, wollte die Bank im Detail nicht kommentieren. Nur so viel: «Die Anzahl der E-Mail-Konten ist keine Momentaufnahme, sondern entspricht einer aggregierten Betrachtung über einen längeren Zeitraum.» Rund die Hälfte der Mitarbeiter darauf seien nicht mehr für die ZKB tätig. Welche, wollte die Bank nicht ausweisen.

Interessanterweise scheint aber weder die Grösse des jeweiligen Kantons noch der Anteil städtischer Bevölkerung den Ausschlag für die unterschiedlichen Anteile betroffener Banker zu spielen. In Basel-Stadt etwa liegt der Wert um das Fünffache tiefer als im vergleichbaren Stadtkanton Genf. Augenfällig ist auch der Vergleich der eher ruralen Urner Kantonalbank mit den Zuger oder Appenzeller Kantonalbanken. Die Urner verzeichnen keinen einzigen betroffenen Mitarbeiter. Die Appenzeller dagegen kommen auf 10 und die Zuger auf 52 Treffer.

Für den IT-Sicherheitsexperten Thorsten Urbanski von der Firma Eset haben die Unterschiede am ehesten mit der Firmenkultur zu tun. Er sagt: «Einige sind sich der digitalen Gefahren für ihr Geschäft eher bewusst, andere sind das weniger.» Dass Mitarbeiter im Internet private und geschäftliche E-Mails vermengen, kann Urbanski teils nachvollziehen. Er sagt: «Wenn jemand beispielsweise bei der Fluglinie Swiss für eine Geschäftsreise ein Flugticket kauft und seine geschäftliche E-Mail-Adresse für das Vielfliegerprogramm einsetzt, will er bei seinen nächsten Privatferien nicht unbedingt auf die Privat-E-Mail wechseln.»

Der illegale Datenhandel ist 160 Milliarden Franken wert

Wofür Urbanski allerdings gar kein Verständnis hat: Wenn Mitarbeiter für Online-Shops, Wettseiten oder Dating-Portale ihre geschäftliche E-Mail-Adresse verwenden und dort während der Arbeitszeit aktiv sind. Er sagt: «Dafür gibt es keine Entschuldigung. Als Arbeitgeber würde sich mir die Frage aufdrängen, was diese Menschen während der Arbeitszeit tun. Vor allem, ob sie verstehen, was sie damit anrichten, wenn sie auf zweifelhaften Web-Angeboten oder sogar illegalen Websites vom Firmenrechner aus aktiv sind.»

Tatsächlich setzen Mitarbeiter, die ihre Arbeits-E-Mail für private Zwecke einsetzen, ihren Arbeitgeber und die Bankkunden grossen Risiken aus. Urbanski sagt: «Wie Google und Facebook haben auch die Cyber-Kriminellen längst den Wert grosser Datenmengen entdeckt.» Im Grunde würden sie genau dasselbe tun wie die Internetkonzerne, nur auf illegale Art und Weise. Sie sammeln Daten von Nutzern, um sie gezielt mit Botschaften zu erreichen. Facebook und Google tun das mit Werbebotschaften; Cyber-Kriminelle machen dasselbe, nur mit schädlichem Computer-Code oder Falschbehauptungen, um die Konten der Online-Bankkunden zu plündern.

Der globale illegale Handel mit Nutzerdaten ist äusserst lukrativ. Laut Schätzungen von IT-Firmen wie Bromium lag der weltweite Umsatz 2018 damit bei umgerechnet 160 Milliarden Franken. Das ist mehr als das gesamte Bruttoinlandprodukt von Ungarn.

«Viele Unternehmen spielen den Handel mit gestohlenen Internetdaten herunter.»Marc Ruef, Sicherheitsexperte bei Scip

Datendiebe haben etliche Wege, um aus Nutzerkonto-Log-ins und Passwörtern Geld zu machen. Marc Ruef, Sicherheitsexperte bei der Zürcher Firma Scip, beobachtet derzeit eine Zunahme von sogenannten Bruteforce-Attacken. Cyber-Kriminelle hacken sich dabei zum Beispiel in die Kundendatenbank einer Dating-Site, deren Server weniger geschützt sind. Die erbeuteten Log-ins und Passwörter nutzen sie dann, um sich automatisiert in andere Dienste einzuloggen. Zum Beispiel bei bekannteren Social-Media-Diensten wie Facebook oder Twitter oder in die Bankkonten derselben Nutzer. Sie gehen davon aus, dass Nutzer teils dieselben Log-ins und Passwörter für andere Dienste benutzt haben. Die Angreifer können mit diesem Verfahren innert Sekunden Tausende Konten prüfen.

Ruef sagt: «Viele Unternehmen spielen den Handel mit gestohlenen Internetdaten herunter.» Der Sicherheitsexperte rechnet aber damit, dass die Probleme zunehmen werden, insbesondere bei den Erpresserversuchen mit kompromittierenden Daten aus privaten Social-Media-Konten. Das Problem sei grundsätzlich schwer in den Griff zu bekommen. Am ehesten Erfolg habe man als Unternehmen damit, bei Mitarbeitern das Bewusstsein zu schaffen, nur ganz kontrolliert persönliche Details im Internet zu teilen.

Erst am Mittwoch ist am Strafgericht in Bellinzona eine deutsche Hackerin zu einer mehrjährigen Haft wegen Onlinebetrug verurteilt worden. Ihr war es gelungen, mit einer sogenannten Phishing-Attacke sämtliche Sicherheitshürden der jeweiligen Finanzinstitute zu überwinden und Kunden diverser Kantonalbanken, darunter die Zürcher, Thurgauer, Obwaldner, Aargauer und St. Galler Kantonalbanken, 2,2 Millionen Franken abzunehmen.

In den allermeisten Fällen gelingt es den Behörden nicht, die Hintermänner- und -frauen vor Gericht zu stellen, geschweige denn diese zu identifizieren. Dabei kommt es wöchentlich zu 50 bis 150 gross angelegten Phishing-Angriffen auf Schweizer Unternehmen. So viele zählt die Melani (Melde- und Analysestelle des Bundes) in ihrem aktuellsten Lagebericht. Die Dunkelziffer liegt wohl einiges höher. Für das erste Halbjahr 2018 stellte die Melani im neuesten Bericht fest: «Wieder wurden vermehrt betrügerische Anrufe bei Firmen festgestellt, bei welchen sich Angreifer als Bankmitarbeiter ausgaben. Die Anrufer bitten um die Ausführung von Zahlungen oder geben vor, ein Update beim E-Banking durchführen zu müssen, das anschliessend getestet werden soll.»

Die Häufung von Angriffen auf Online-Kundenkonten wollte keine angefragte Kantonalbank kommentieren. Sie gaben unisono an, ihre Mitarbeiter klar anzuweisen, geschäftliche E-Mail-Adressen bei der Registrierung von Internetdiensten als Benutzername für private Zwecke nicht und bei geschäftlicher Nutzung nur sofern erforderlich zu verwenden. Und: Jedes Passwort nur einmal zu verwenden.

Erstellt: 21.03.2019, 12:42 Uhr