Die Sicherheitsbedrohung durch Cyber-Angriffe im Zahlungsverkehr hat neue Dimensionen erreicht. Die Hacker werden immer dreister und schrecken nicht davor zurück, sich in Systeme einzuklinken, die selbst von Zentralbanken täglich genutzt werden. Diese sind deshalb in heller Aufregung und haben eigens einen Fachausschuss gegründet, um die großen Zahlungsverkehrssysteme verschärft zu überprüfen. Spektakuläres Beispiel ist der Angriff auf die Zentralbank von Bangladesch im Februar, als Hacker manipulierte Zahlungsanweisungen über Swift verschickten und damit 81 Mill. Dollar erbeuteten. Doch damit nicht genug: Seit Juni ist es vermehrt zu Hacker-Angriffen gekommen, wobei einige dieser Cyber-Attacken erfolgreich waren, wie Swift warnt.Besonders beliebter Dreh- und Angelpunkt der Hacker sind die Peripheriesysteme, die an das weltweite Swift-Netzwerk angeschlossen sind. Zwar ist das von den Mitgliedsinstituten getragene und weltweit von rund 11 000 Instituten und Firmenkunden genutzte System zur Übermittlung von Finanznachrichten offenbar noch nicht direkt gehackt worden. Doch der Schwachpunkt, den die Hacker nutzen, liegt dort, wo die Zahlungen ausgelöst werden, also im Backoffice der Finanzinstitute, an den Schnittstellen zu Swift. Damit ist die Angriffsfläche riesig angesichts der unzähligen Verknüpfungspunkte zu Swift.Selbst wenn die Cyber-Angriffe auf Seiten der Banken stattfinden, kann sich dies auch für Swift zu einem gravierenden Reputationsschaden auswachsen, schließlich transportiert der Finanznachrichten-Dienstleister die Zahlungsdaten. Ein Vertrauensverlust könnte zu einem Ausfall des in dieser Größe einmaligen Zahlungsnetzes führen. Doch auch die Banken haben nicht zuletzt ein Reputationsproblem, wenn sie gefälschten Zahlungsanweisungen aufsitzen. Banken und Swift sitzen also gemeinsam in einem Boot. Was können Swift und die Banken tun, um sich vor Cyber-Attacken zu schützen? Ein Muster der Hacker deutet darauf hin, dass diese wie im Bangladesch-Fall schwache lokale Sicherheitsvorkehrungen der Finanzinstitute ausnutzen. Eine Schwachstelle sind ausspionierte Passwörter, über welche die Angreifer sich Zugang zum System verschaffen, um ihre Schadsoftware zu installieren, die verhindern soll, dass Geschädigte sehen, was in dem Netzwerk geschieht. Vordringlichstes Ziel muss es deshalb sein, Schwachstellen auszumerzen, die ein unbefugtes Eindringen in den Zahlungsverkehr erleichtern. Das erfordert zwar Investitionen in eine moderne IT-Infrastruktur der Banken, doch wer diese nicht leisten kann oder will, könnte ganz andere Probleme bekommen. So erwägen Finanzdienstleister, diese Institute aus ihrem eigenen Korrespondenzbankennetz auszuschließen, mindestens aber intern in Sicherheitsklassen einzuteilen. Grundsätzlich gehen Banken angesichts des von der Aufsicht geforderten “Know your Customer”-Prinzips dazu über, ihr Korrespondenzbankennetz um weniger aktive Häuser auszudünnen, um letztlich mit einer überschaubaren Anzahl gesicherter Verbindungen potenziellen Missbrauchsfällen vorzubeugen.In der Branche wird zudem intensiv diskutiert, Institute, die sich nicht an die Regularien halten, sogar ganz vom Swift-Netzwerk und damit dem Zahlungsverkehr abzuknipsen. Das dürfte ein heißes Thema auf der Sibos nächste Woche in Genf sein, der von Swift durchgeführten weltweit größten Veranstaltung der Finanzindustrie. Swift jedenfalls dürfte angesichts der wachsenden Cyber-Risiken auf der Einhaltung der Sicherheitsrichtlinien zu ihren Schnittstellen stärker beharren und auch nachprüfen, ob alle angeschlossenen Dienstleister die Software-Updates, die Hacker-Angriffe erschweren sollen, im vorgegebenen Zeitraum aufspielen. Und wenn dies nicht geschieht? Dann gehören diese Institute auf eine Liste, in die jeder Nutzer des Swift-Netzwerks Einblick erhält – und per se auch die Öffentlichkeit. Genau hier liegt die Chance gegen Hacker-Angriffe: Es geht bei auffälligen Transaktionen um den Austausch von Informationen zwischen Banken und mit Swift, und das in kürzester Zeit, um betrügerische Muster sofort als Warnungen in das Bankennetz zu geben. Auch ein unabhängiges zweites System, das über Auffälligkeiten alarmiert, wie Swift dies für Dezember angekündigt hat, ist eine Möglichkeit, die aber verpflichtend sein sollte.Noch etwas hilft: Das Verantwortungsbewusstsein der Mitarbeiter schärfen. Im Bangladesch-Fall schlugen sie Alarm und konnten so einen erheblichen Teil der Zahlungen stoppen. Sonst hätte der Schaden nicht 81 Mill. Dollar betragen, sondern 1 Mrd. Dollar.——–Von Karin BöhmertAuch Banken haben ein Reputationsproblem, wenn sie gefälschten Zahlungsanweisungen aufsitzen. Sie und Swift sitzen also gemeinsam in einem Boot, um Hacker-Angriffe abzuwehren.——-