Mit vorgehaltener Pistole und Skimütze eine Bank ausräumen? Fast aussichtslos. Sich mit abertausenden Computern zwischen Kontoinhaber und ihr Geldinstitut schalten? Schon einfacher. Das Sicherheitsunternehmen RSA warnt vor dem größten koordinierten Angriff aller Zeiten - "blitzkrieg-like". Die Kriminellen sollen ein komplettes Franchise-System aufgebaut haben.

Ein Banküberfall ist äußerst riskant: Es gibt Überwachungskameras, Passanten, unberechenbare Mitarbeiter und Kunden, Sicherheitspersonal, ein Sammelsurium an Präventionssystemen. Das US-amerikanische Sicherheitsunternehmen RSA warnt nun vor einer groß angelegten Aktion, mit der Kriminelle fremde Konten leerräumen wollen. Die Experten gehen vom größten organisierten Trojaner-Angriff aller Zeiten aus.

Hacker haben demnach rund 30 Banken in den USA ins Visier genommen, die im Laufe des Herbstes auf subtilere Weise als beim klassischen Überfall ausgeräumt werden sollen. Statt mit vorgehaltener Waffe und Skimütze in eine Filiale zu platzen, rekrutieren die Strippenzieher derzeit Mitstreiter für eine Online-Attacke. Die sollen über ihre Bots, also Programme auf verschiedenen Computern, die zentral gesteuert werden können, den Trojaner "Gozi Prinimalka" platzieren.

Unter den vom Sicherheitsunternehmen vermuteten etwa 100 Botnetzbetreibern können auch illegale Netzwerke sein, also Rechner, die ohne Wissen ihrer Benutzer per Trojaner kontrolliert werden. Ein Hacker kann so etwa E-Mails im Namen des Besitzers verschicken und viele andere Aktionen durchführen. Die Angriffsserie solle "blitzkrieg-like" in einer konzertierten Kampagne durchgeführt werden, beschreiben die Experten das Szenario.

Sicherheitslücke Mensch

Über die Sicherheitslücke Mensch werden dabei während des Online-Banking-Vorgangs Informationen abgefangen. Die Betrüger schalten sich mit Hilfe der verteilten Trojaner zwischen den Bankserver und die Kunden und führen Überweisungen aus.

Die Initiatoren bieten eine Art Franchise-Prinzip und den Rekrutierten offenbar einen Gewinnanteil für ihre Mitarbeit, so RSA. Die Betreiber der Botnetze sollen gezielt ausgesucht werden. Es soll sogar Schulungen im Hinblick auf die konzertierte Aktion geben.

Mit einer anderen Version des Trojaners wollen die Hacker bereits bis zu 5 Millionen US-Dollar erbeutet haben. In Europa wäre das schwieriger, denn inzwischen nutzen viele Banken ein zusätzliches Authentifizierungssystem, etwa über Kartenleser und TAN-Generatoren.

Großbanken im Visier

In der vergangenen Woche hatte es zudem koordinierte DDoS-Angriffe auf mehrere US-Großbanken gegeben. Insider staunten dabei über die bis zu 70 GBit/s, die die Datenattacken belegten. "Nur wenige Unternehmen können sich eine solche Bandbreite überhaupt leisten", zitiert die US-Website Ars Technica einen Sicherheitsexperten.

Bei einer "Distributed Denial of Service"-Attacke (DDoS) wird ein Webserver mit Unmengen von Anfragen überschwemmt, die er nicht mehr beantworten kann. Die attackierte Webseite ist dann nicht mehr zu erreichen. Betroffen waren unter anderen Wells Fargo, die PNC Financial Service Group, die U.S. Bancorp, Citigroup, JPMorgan und die Bank of America.

Tests in Europa

In Europa testeten Großbanken derweil, ob sie gegen Hackerangriffe gewappnet sind. Sicherheitsexperten ließen sich bei der Simulation unter Federführung der EU-Internetsicherheitsagentur ENISA mit einer Flut von Datenanfragen, also DDoS-Aktionen, überschwemmen.

Hunderte Experten auch von Telekommunikationsunternehmen und Behörden nahmen Angaben der EU-Kommission zufolge an der Übung teil. In Deutschland waren die Bundesregierung und mehrere Banken dabei. In einem speziellen Szenario wurden zudem mehr als 30.000 E-Mails auf den Weg geschickt.

Im Ernstfall könnten Cyber-Angriffe laut EU-Kommission Millionen Bürger und Unternehmen in Europa treffen, der Schaden ginge in die Millionen Euro.