Berner KB: 785’000.- nach Kirgistan ohne Gegencheck

Cyber-Angriff offenbart unglaubliches Versagen des Geldinstituts – auch Grossbanken zahlten – Bundesanwaltschaft greift ein.

Der Chef einer alteingesessenen Berner Autogruppe traute vor Wochenfrist seinen Ohren nicht, als ihn sein Buchhalter anrief. 1,2 Millionen Franken – weg, irgendwo in Ex-Sowjet-Republiken.

Eine einzige Zahlung lief über die Berner Kantonalbank, es waren 785’000 Franken. Die Berner transferierten das Geld mir-nichts-dir-nichts über mehrere Stationen nach Kirgistan.

Ein einfacher Rückruf bei der Autogaragenfirma hätte den Betrug auffliegen lassen.

Das Unternehmen hat praktisch keine Auslandrechnungen, und wenn, dann höchstens über 1’000 Franken – diese Zahlungen liefen ausschliesslich über die Postfinance und an die immer gleichen Begünstigten.

Der Berner Unternehmer stand sofort auf die Hinterbeine, intervenierte bei der Berner Staatsbank, dann auch bei den Grossbanken, über die ebenfalls Zahlungen in sechsstelliger Höhe liefen.

Alles erfunden, alles korrupt, alles an Adressaten mit höchst verdächtigen Namen und Frankenkonten bei ausländischen Geldinstituten, wo sie doch in eigener Währung fakturieren würden.

Wenn sie echte Lieferanten wären. Was sie selbstverständlich nicht waren. Und was ganz leicht ersichtlich war.

Die Berner Banker stellten sich zunächst taub. Dies, obwohl sie zu den Hausbanken des Auto-Unternehmers gehören.

Kein Wort von oben, obwohl der Kunde direkt den zuständigen Geschäftsleiter anschrieb.

Dann, ein paar Tage nach dem Sturmlauf, kam das Geld zurück. Auch jetzt ohne jegliche Worte. Die 785’000 Franken lagen einfach wieder auf dem Konto, als ob nie etwas geschehen wäre.

Ein Sprecher der Berner Staatsbank will sich nicht zum konkreten Fall äussern – „Bankkundengeheimnis“.

Dann aber folgt eine Aufzählung von Massnahmen, die allesamt in einem gipfeln: Wir sind nicht schuld, der Kunde ist das Problem.

Die BEKB kontrolliert ausgehende Zahlungen von Kunden nach verschiedenen Kriterien“, hält der Specher fest. Und: „Alle Prüfungen erfolgen unter Berücksichtigung der gesetzlichen und regulatorischen Vorgaben.“

Wir nicht, Du schon.

Wirklich? Die Bundesanwaltschaft und die Berner Wirtschafts-Staatsanwaltschaft haben ein Verfahren eingeleitet.

Was die Finma tut, wissen die Götter. Doch auch sie könnte noch aktiv werden.

Denn weder die Berner KB noch weitere grosse Institute scheinen die gebotene Sorgfalt an den Tag gelegt zu haben.

Ganz im Unterschied zur Postfinance. Die wurde stutzig, allein weil eine Empfängeradresse in einem Genfer Vorort nicht ganz korrekt erfasst worden war.

Genf genügte der Postfinance für einen Fullstop, wo die Berner Banker Kirgistan völlig OK fanden.

Die Postfinance habe dies „wohl ihrer per 1.1.17 neu installierten Software zur Überwachung solcher Zahlungsströme zu verdanken“, meinten dazu die Cyber-Spezialisten vom Bund.

Diese sind bei Melani, einem Frühwarnsystem der Eidgenossenschaft für Cyber-Attacken.

Hart gehen die Melani-Leute mit der Firma ins Gericht, welche am Ursprung der Betrugs-Überweisungen nach Kirgistan und weitere Fernostländer in Millionenhöhe steht.

Es handelt sich um das Softwarehaus Mammut in Kölliken, an der Autobahn zwischen Zürich und Bern. Unter den Mammut-Kunden finden sich viele Banken, auch sehr grosse.

Sie alle nutzen die Kreditoren-Software von Mammut offline, also bei sich auf dem Server und den eigenen PC-Stationen.

Dort erfassen sie mit dem Mammut-Programm die Zahlungen an ihre Lieferanten. Die Überweisungen werden dann auf einen Schlag über eine Schnittstelle den jeweiligen Banken übermittelt.

Schliesslich lösen die Finanzhäuser dann die Geldtransfers über Nacht aus.

Der Chef der Mammut Softwarefirma, Iwan Vogel, will nichts wissen von eigenem Versagen. Er und sein Unternehmen seien selbst zu Opfern der Cyber-Betrüger geworden.

Diese hätten sich in das Netzwerk der Kunden wie eben jenem Berner Autounternehmer einschleichen können – mit Hilfe eines Trojaners namens Gozi, verteilt über scheinbar harmlose E-Mails.

Einmal drin, hätten sie dann freie Bahn gehabt – inklusive Zugriff auf integrierte PC-Kameras. So sei es bei einigen Kunden auch gelungen, die Eingabe von Passwörtern zu filmen.

Von da an sei der Betrug ein Kinderspiel gewesen. „Wir haben unser Möglichstes getan“, sagt Vogel. „Wir warnten alle unsere 3’500 Kunden schon letzten Sommer, als der Fall bekannt wurde.“

Vielleicht seien einzelne E-Mail-Adressen nicht mehr aktuell gewesen, dann hätten diese Kunden das angebotene Sicherheitselement nicht installiert.

Bei allen übrigen aber habe man die Lücke frühzeitig schliessen können. „Unsere Offensive hat uns Feinde in der Computer-Industrie eingebrockt, weil wir laut gewarnt haben.“

Das fänden viele falsch, da es zeigen würden, dass in der Informatik und im modernen Zahlungsverkehr grosse Risiken bestünden. „Doch ich bin sicher, das Richtige getan zu haben.“

Die Melani-Leute sehen das anders. Gegenüber dem Berner Autogaragen-Unternehmer, der nun seinem Geld hinterher rennt, äusserten sich die IT-Spezialisten laut dessen Aussage kritisch.

Im Electronic Banking gibt es im Zahlungsverkehr Streichlisten. Bei den meisten Systemen werden die Codes, wenn sie einmal zu 80 Prozent verwenden worden seien, rasch durch neue ersetzt.

Offenbar nicht so bei Mammut. Dort seien die Streichlisten „ewig“, sagten die Melani-Leute, laut dem betroffenen Unternehmer. Zudem würde die gleiche Streichliste für ein ganzes Unternehmen verwendet.

Und das bei „einfachsten 4-stelligen Codes“ und einem System, das „bei mehreren Leuten im Einsatz“ stünde. So jedenfalls gibt der Autounternehmer die Melani-Information wider.

Beim Berner Autounternehmer scheint der Betrug glimpflich auszugehen. Er dürfte von allen Banken sein Geld zurückerhalten. Sein Druck auf die obersten Stellen hat gewirkt.

Ob das für andere Opfer auch gilt, ist offen. Das gesamte Ausmass der Cyber-Attacke könnte jedenfalls gross sein.

Mammut und der Gozi-Virus sind nämlich weit verbreitet.

Kommentare

Kommentieren

Ihre E-Mail Adresse wird nicht veröffentlicht. Benötigte Felder sind markiert. *

  1. Ja ein klassischer seit zehn Jahren bekannter E-Banking / Onlineshop-Trojaner (einer von vielen in der Schweiz aktiven Trojaner), den wir von TimeCentury in veränderten landesspezifischen Adaptionen immer wieder beobachten:

    Attacke: Via drive-by von einer verseuchten Website (sooo, schon wieder auf einen Link in einer eMail geklickt?) oder über infizierte Attachements (z.B. Bewerbung, Rechnung, Lieferschein, usw.). Der Trojaner klinkt sich über den Browser ein und kann während Online-Bankings eine Transaktion auf ein fremdes Konto auslösen. Auch kann die Malware andere Module unbemerkt zuladen, so dass z.B. die Tastatureingaben mitgelesen oder die Kamera aktiviert werden kann.

    Alarmzeichen: Wiederholte Aufforderung zur Passwortangabe bei Online-Aktivitäten, längere als übliche Wartezeiten bei Computer-/Internetaktivitäten, Bluescreen bei realtime Anwendungen (z.B. Video)…

    Gegenmassnahmen: Alle Programme auf allen IT-Systemen (Laptops, PCs, Server, Router, Firewalls, usw.) aktuell halten – was leider ganz viele KMUs nicht machen, oft haben sie nicht mal eine Inventur aller verwendeten Hardware und Software! Also autom. Aktualisierung von Virenscanner, Firewall, Browser, Betriebssystem, Flashplayer, Acrobat, Java, usw., d.h. eben in diesem Fall auch Updates von spezifischen Programmen von spezialisierten SW-Unternehmen! (die paar Franken für SW-Updateverträge sollten sich KMUs wirklich nicht sparen und falls Updates verfügbar sind diese sofort einspielen)

    Und – keine unbekannten Attachements öffnen, nicht auf Links oder Föteli in eMails von unbekannten Absendern klicken, keine infizierten Websites (ja, spielen sie besser mit ihrer Frau zu Hause und nicht wie sooo oft am Unternehmens-PC…) besuchen…

  2. Ja MELANI, das sind die ganzen fitten. Empfahlen im Tagi den Magnetstreifen an den Bank-Karten mit Alufolie abzukleben, um vor Skimming geschützt zu sein. Resultat: Im besten Fall konntest du einfach kein Geld mehr beziehen, im Normalfall legten die Alukarten gleich noch den Kartenleser am Geldautomaten lahm. Darum schrillen bei mir alle Alarmglocken, wenn ich MELANI höre.

  3. Das muss der Autohändler doch verstehen, bei ihm sind ja auch immer die Kunden schuld wenn es am Neuwagen nicht funktioniert. Und nur zur Beruhigung, das Geld ist bestimmt nicht in Kirgistan gewesen, sonst wäre es noch nicht zurück auf dem Konto. Hoffentlich ist der nächste Garantiefall bei diesem Garagisten auch so schnell erledigt, was ich bei deren Computeranlage stark bezweifel.

  4. Mammut Soft Computing ??? – Da gibt es nur ein Statement:
    Der Krug geht zum Brunnen bis er bricht.
    Ein Gebastel von veralteten Produkten, die auf abenteuerliche Weise mühsam auf neue Standards angepasst werden und den Kunden als sicher verkauft werden. Viele Bankinstitute und Kunden haben das längst erkannt und setzen auf andere Anbieter. Leider müssen die Banken für ihre Kunden immer noch die Schnittstelle zu den Mammut Soft-Produkten anbieten.

  5. Auf KrebsOnline.com liest man fast tagtäglich solche Stories. Nur hat das überhaupt nichts mit Cybercrime zu tun. Hier geht es wieder einmal um das leidige Vieraugen-Prinzip oder – wie Sie richtig schreiben – den „Gegencheck“. Keine Rechnung sollte ohne zwei Unterschriften zur Zahlung freigegeben werden. Und keine Bank eine solche Zahlung ausführen! Dasselbige gilt auch für Korrespondenz: Auf jeden Brief gehört die Unterschrift zweier im HR eingetragenen Angestellten. Kollektivunterschrift, Vieraugen-Prinzip: Wörter die man halt im Executive MBA der FH Reinach AG (nur erfunden) nicht lernt und so in der Schweiz vergessen gegangen sind. Schauen Sie nur, wo es noch Unterschriftenmappen gibt. (What is that???)

  6. Also wenn das kein „Inside Job“ war, dann frag ich mich sehr. In KEINER Bank auf der ganzen Welt fliesst eine Zahlung nach Kirgistan (!!!) in dieser Höhe (!!!) ohne Visum und Prüfung durch. Niemals. Nicht möglich. Völlig undenkbar. Allein schon aus GWG-Gründen.
    Entweder ist das ein schier unglaubliches Versagen, eine geradezu Kriminelle Inkompetenz. Oder jemand hat mit abkassiert. Ausser jemand hat sich in das ZV System rein gehackt. Dann wären aber wohl noch ganz andere Summen entschwunden.

    • Ja, 100% einverstanden. Heute aufgrund Regulation, Compliance, OpRisk etc. ausgeschlossen ausser kriminelle Absicht oder strukturelle Inkompetenz über mehrere Levels hinweg steckt dahinter…

  7. Irgendwie noch lustig, wenn man die Kunden sieht und dann auf der Webseite das Management-Team:

    https://www.mammut-soft.ch/index.php/en/about-us/management

    Klar sind es nur Photos und ich kenne die Personen nicht, aber sieht irgendwie komisch aus. Sollte ich eine Sicherheitssoftware vertreiben, dann würde ich andere Photos verwenden.

    Webseite:
    Our motto: electronic banking with passion and professionalism!

    • Irre, einfach irre. Jeder Night-Club würde wohl seriösere Fotos auf die Webseite stellen…

    • Eine reichlich kuriose Firma: Minimal kapitalisiert (AK mit 50’000 Franken liberiert) und seit 2015 mit einer VR-Vizepräsidentin, die zwar ausnehmend hübsch ist, sich aber offenbar immer noch in der Probezeit befindet (kein Eintrag im Handelsregister). Mammut Soft Computing: Ihr starker Partner für business Banking Software!

    • Musste wirklich auch lachen, als ich auf die Mammut-Website ging. Aber vor ca. 10 Jahren hatte die Software doch keinen so schlechten Ruf? Habe nie damit gearbeitet aber mein Kollege hat damit herumgewurstelt und bei Tochtergesellschaften war sie fürs E-Banking noch populär. Nur: Die Website. Entweder britischer Humor oder man will den Kunden Angst machen.

    • Klasse Kommentar, musste laut lachen. Die paar Flitzpiepen kann man echt nicht ernst nehmen.

  8. Kirgistan!! Ich werf mich sowas von weg!

    Mich würde interessieren:
    Wie genau kam dieser Betrug erfolgreich zu Stande?
    Was sagt der Autohändler dazu? Was sagt die Bank dazu?

    In der heutigen Zeit ist die Abwicklung einer solchen Zahlung ohne
    (a) absolute Dummheit und Fahrlässigkeit der Bankangestellten
    (b) vollkommene Naivität und Mitschuld des Kunden
    oder
    (c) Involvierung einer der beiden Seiten in den Betrug
    schlicht nicht mehr möglich.

    (Die Bank kann auch nicht „über mehrere Stationen hinweg“ Geld transferieren. Einmal visiert – und das Geld ist draussen)

    Ich meine Krigistan guys – come on!
    Ein um Jahrhunderte zurückliegender, mafioser Drogenumschlagsplatz für das Heroin aus Afghanistan (inkl. US air base Manas): wenn die Bank schuld ist, dann gehört die ganze Linie weg: Kundenberater, Line Manager + Market Head, plus wer da noch hätte visieren sollen. Den Autohändler, bzw. seine Mitarbeiter sollte man sicher auch mal genau anschauen…

    Und sorry, wenn es in der heutigen Zeit von due dilligence und internationaler Standardisierung und Zusammenarbeit (auch bezgl. Sicherheit) nicht möglich ist, die gestohlenen 1.2Mio einfach per Knopfdruck zurückzutransferieren und die Täter dingfest zu machen…

    Mir bleibt nur ein Schmunzeln. Der kirgisische Nomade lacht sich in seiner Jurte am Lagerfeuer mit seinen erbeuteten 1.2Mio zufrieden ins Fäustchen und postet ein selfie…

    • Es stellt sich auch die Frage: warum hat der Autohändler einfach so 1.2M cash rumliegen? Woher soviel Liquidität? Wurde da Geld rumgeschoben schon vorher?

      Und dann ist’s halt schnell mal passiert: beim Autohändler fällt dem Büroangestellten Dabor der grosse rumliegende Betrag auf; er kennt ja Türkyl, den Banker des Autohändlers, und vom Ausgang her noch Zhukhrut mit connections in Zentralasien…

    • Dr. Marc Meyer

      1. März 2017 / 09:53

      Es stellt sich auch die Frage: warum hat der Autohändler einfach so 1.2M cash rumliegen? Woher soviel Liquidität? Wurde da Geld rumgeschoben schon vorher?

      Und dann ist’s halt schnell mal passiert: beim Autohändler fällt dem Büroangestellten Dabor der grosse rumliegende Betrag auf; er kennt ja Türkyl, den Banker des Autohändlers, und vom Ausgang her noch Zhukhrut mit connections in Zentralasien…

      Sehr geehrter Herr Dr. Meyer
      Es handlt sich offensichtlich um eine sehr gesunde Firma welche trotz diesen Schadens allen Mitarbeitern termingerecht den Lohn zahlen konnte. Freundliche Grüsse Yolanda Decurtins

    • @ Dr. Marc Meyer: Wieso soll der Autohändler keine 1.2 Mio stehen haben?! Verstehe Ihre Argumentation nicht. Sollte dieser Händler erfolgreich Autos Handeln, und nur im Mittleren Segment, stehen da schnell mach 5 Mio zusammen (pro Auto Schnitt 50’000.00 x 100). Der Betrieb muss dann auch noch Liquidität für Löhne und laufende Ausgaben haben!

  9. Ich finde eher hier sind die Banken kulant, wenn sie all Kosten einer betrügerischen Transaktion übernehmen die der Kunde durch einen Trojaner ausgelöst hat.

    • FALSCH. In meinem Kundenkreis gibt es Personen, die über ein x-fach gesichertes IT-System verfügen, trotzdem wurden via einer bestimmten sehr bekannten Grossbank betrügerische Zahlungen im 7 stelligen Bereich ausgelöst.

      Einfach so. Innert Sekunden.

      Es ist die Schnittstelle zum Online-Banking das gravierende Lücken aufweist. Nicht ein E-Mail mit Link. Das sind Märchen.

    • @ Michael:

      Was meinen Sie genau, mit der „Schnittstelle zum Online-Banking“? Wo konkret liegt Ihrer Meinung nach die Lücke?

  10. Leider ein Problem der Banken. Viele Banken erlauben ihren Firmenkunden keine sichere Kommunikation z.B. mit verteilter elektronischen Unterschrift und EBICS.

  11. In diesem Artikel sind BEKB und Mamut die Bösen (Die Cyber-Kriminellen nur am Rande) und die Postfinance und der Kunde der Gute.

    Morgen kommt dann ihr nächster reisserischer Artikel. Dort ist dann sicher wieder dei Postfinance der Böse.

    Einzig der Kunde, der Softwarelücken hat und sich Trojaner einfängt ist hier der geprellte. Ich sehe das anders.

  12. 1. die geschädigte Autofirma erhält nur sehr wenige Rechnungen aus dem Ausland, immer für einzelne Ersatzteile, immer von denselben Lieferanten in Schweden und Belgien. Bezahlt werden diese Rechnungen nie über die Banken, sondern über PostFinance weil spesenfrei. Die Banken hätten also bei diesen erstmaligen Zahlungen ins Ausland stutzig werden müssen, zumal diese an Private gingen.
    2. Die Banken hätten diese Zahlungen auch hinsichtlich Geldwäscherei hinterfragen müssen.
    3. die Autofirma hat von Mammut den letzten bekannten Update im September durchgeführt und wartet nun „auf den nächsten Update, der dann bis Ende 2017 (!) eingespielt werden muss.
    4. in Wien haben 2 dieser Schurken auf 2 Banken das Geld cash abgezogen.
    5. in Gümligen gibt es eine weitere Firma, die Ende Januar mit Fr. 177’000.- geschädigt worden ist.

    • ha da meldet sich soch der geprellte selbst zu wort. dann ist jetzt auch klar, wer die autofirma ist. wie siehts mit ihrer sicherheit aus????? was haben sie dagegen unternommen?????

    • ja genau Geldwäscherei ist das Stichwort. Jede Bank muss nach Finma Rundschreiben – also der zuständige Anlageberater die TRX prüfen, ob ein Verdacht vorliegt. hey 700 Mücken nach Kyrgüsistan und Autohändler, Da hatte der Bankmitarbeiter aber ganz grosse Tomaten auf den Augen. Sorry Boy! Oder versagte das IKS bei der BeKB und den anderen Banken in der CH. Werden wir am Schalter doch durchläuchtet wegen ein paar Mücken. Bei 700’000 sagen alle ja Bwana hat grosses Haus, wird wohl schon stimmen und weiter damit. Aber keine Angst Finma hat eine schöne Abteilung dafür…

  13. Die BEKB konzentriert sich halt vor allem um den Rauswurf aus der Bank von teils langjährigen Auslandschweizern. Ein Skandal.

  14. Erklärungsbedarf seitens der Bank(en) für mich als Kleinkunden mit Hinterbeinen, aber ohne Durchschlagskraft: Wie lief das bankintern? Ist das Geld weg? Verlust?

  15. immer wieder die BEKB. diese bank müsste kritischer unter die lupe genommen werden, immerhin eine der grossen kb.

    andererseits zeigt der fall auf, wie viel zu leichtfertig die internen bank-checks laufen – die mitarbeitenden sind nicht gut genug ausgebildet – und naiv. ihre gegner sind hochfitte borderliner, die alles auf eine karte setzen.

    • vielleicht waren die zahlungsverkehr-angestellten am wochenende im strassenkampf um die reitschule involviert und infolgedessen etwas übermüdet, wer weiss…
      was kann man sagen: wenn checklisten und staatliche regulierung den gesunden menschenverstand ersetzen, werden feriengeld-zahlungen von hans müller an peter huber mit vermerk „kuba“ blockiert, aber sechsstellige betrtäge nach kirgistan von einem autohändler nicht…!
      congrats, FINMA! well done!