Gerade in heiklen Geschäftsbereichen ist ein hohes Maß an IT-Sicherheit wichtig. Insbesondere trifft das auf Banken und andere Finanzdienstleister zu, denen ihre Kunden mitunter beträchtliche Geldmengen anvertrauen.

Wie man dieses Vertrauen in Windeseile verspielen kann, zeigt nun die indische Andhra Pradesh Mahesh Co-Operative Urban Bank (Mahesh-Bank). Sie wurde vor kurzem Opfer einer umfangreichen Cyberattacke. Die genaue Schadenssumme steht noch nicht fest, es dürfte sich aber umgerechnet um wenigstens eine Million Euro handeln. Eine beträchtliche Summe für eine relativ kleine Bank, die laut offiziellen Daten in ihren 45 Filialen Einlagen im Wert von etwa 360 Millionen Euro verwaltet.

Kaum vorhandene Security

Bei der Untersuchung des Vorfalls stieß die Polizei der Metropole Hyderabad auf zahlreiche teils haarsträubende Verfehlungen in Sachen Cybersicherheit. Bei der Verhinderung von Angriffen verließ man sich bei Mahesh laut "The Register" offenbar ausschließlich auf eine Firewall. Diese lief allerdings ohne gültige Lizenz.

Darüber hinaus gab es keine Systeme zur Erkennung oder Verhinderung von unberechtigten Zugriffen auf das Firmennetzwerk. Dieses war zudem, entgegen üblichen Branchenstandards, nicht virtualisiert, was den Angreifern das Eindringen tief in die Systeme des Unternehmens erleichterte.

Fernzugriff nach Phishing-Attacke

Der Angriff hatte laut aktuellem Kenntnisstand bereits im November 2021 begonnen, als die Cyberkriminellen über 200 Phishing-Mails an Angestellte verschickten. Dass es auch keinen Phishing-Schutz für die Mailkonten gab, erwies sich dafür als praktisch.

Damit konnte man erfolgreich Mitarbeiter hereinlegen, was in weiterer Folge dazu führte, dass sich unter Mithilfe des eigenen Personals ein Remote-Access-Trojaner (RAT) in internen Systemen einnisten konnte. Wie der Name bereits andeutet, handelt es sich um eine Schadsoftware, deren Zweck es ist, Angreifern eine permanente Hintertür einzurichten, über die sie aus der Ferne möglichst unbemerkt zugreifen können.

Bei dem Angriff wurden auch mehrere von insgesamt zehn "Superusern" kompromittiert, deren Konten mit praktisch unbeschränkten Rechten operieren. Ebenso kein Zeichen großer Kompetenz ist es, dass mehrere dieser Superuser die gleichen Kennwörter nutzten. Diese Accounts verwendeten die Angreifer, um sich Zugriff auf Kundenkonten und -daten zu verschaffen.

Sie legten eine Reihe neuer Konten an und zweigten auf diese Geld ab. Ein Teil der Beträge wurde auch auf Konten bei anderen Banken überwiesen. Rund eine Million Euro wurden so verschoben, die schließlich über Barabhebungen bei 938 Geldautomaten endgültig verloren gingen. Die Ermittler konnten weitere Abzweigungen in der Höhe von rund 1,8 Millionen Euro unterbinden. Wer hinter dem Angriff steckt, ist bisher unklar, die Urheber werden in Großbritannien und Nigeria vermutet.

Vernichtendes Urteil

In ihrem Bericht fällt die Behörde ein vernichtendes Urteil über die Mahesh-Bank. Man habe es verfehlt, grundlegende Sicherheitstools einzurichten, Kernanwendungen für die Unternehmensleitungen seien nicht vom restlichen Netzwerk abgeschottet gewesen, generell gebe es keine "ordentliche Netzwerkinfrastruktur", und die Mitarbeiter wurden auch nicht geschult, um Phishing erkennen zu können, obwohl mit solchen Angriffen zu rechnen ist. Dazu kommt noch die ohne gültige Lizenz laufende, veraltete Firewall, die für die Angreifer kein Hindernis darstellte. Den Ablauf des Angriffs schilderte man auch in einer auf Youtube verfügbaren Präsentation.

Weitere Konsequenzen für die Bank bleiben abzuwarten. Das Geldinstitut könnte sich datenschutzrechtlicher Vergehen schuldig gemacht haben. Und sofern eine Versicherung für Schäden aus Cyberangriffen besteht, ist anzuzweifeln, ob diese angesichts des Totalversagens der IT-Abteilung für die entstandenen Schäden aufkommen wird. (gpi, 5.4.2022)