Christian Walter ist Geschäftsführer und Redaktionsleiter von swiss made software. Bis Ende 2010 arbeitete er als Fachjournalist für das ICT-Magazin Netzwoche, publizierte zuletzt aber auch im Swiss IT Magazin, der Computerworld sowie inside-it.
2016 versuchten Angreifer, mehr als 950 Millionen Dollar von den Konten der Nationalbank von Bangladesch zu stehlen. Zwar stoppten die automatischen Systeme die Überweisungen bei 81 Millionen, dennoch zeigte der Diebstahl eindrücklich die Verwundbarkeit des SWIFT-Systems.
Das SWIFT-Netzwerk wickelt den Nachrichten- und Transaktionsverkehr von weltweit mehr als 11.000 Banken ab. Doch nicht nur einmal wurde die den Zugang ermöglichende SWIFT-Software gehackt. In wenigstens zwei weiteren Fällen gelang es Hackern, in die Systeme anderer Institute einzudringen.
SWIFT hat zwar Gegenmassnahmen ergriffen. Ob diese auf allen Ebenen greifen, bleibt aber unklar. Dadurch sind Marktchancen für Dritte entstanden, unter anderem für den Schweizer Financial Messaging Spezialisten Incentage. Das Unternehmen ist mit seiner FDPS-Lösung seit 2008 am Markt und bietet in der neuesten Version ein umfangreiches Toolset, um Gefahren im SWIFT-Umfeld Herr zu werden. Der Fokus liegt dabei auf Situationen, in denen nur wenige Transaktionen ausgetauscht werden, dafür in hohem Wert. «Konventionelle Lösungen sind vor allem auf Masse ausgerichtet, nicht auf Einzeltransaktionen im Wert von 500 Millionen Dollar», so Incentage CEO Felix Huber.
FDPS setzt auf vier verschiedenen Ebenen (Detection Vectors) an, wobei sich die Kunden die für sie relevanten Optionen zusammenstellen können. Der erwähnte Angriff auf die Nationalbank von Bangladesch kann als Fallbeispiel dienen, um die Funktionalität zu illustrieren (siehe Bild): Internationale Transaktionen im SWIFT-System durchlaufen vier Ebenen. Ganz oben ist die Applikationen-Ebene der Banken. Dort werden Zahlungen generiert. Diese wandern in die Messaging-Ebene, wo sie als Nachricht «verpackt» werden. Danach werden sie im Gateway signiert und in das autarke Swift-Netzwerk eingespeist. Beim Empfänger durchlaufen sie den umgekehrten Prozess.
Einfallstor für Hacker
Im Falle von Bangladesch speisten die Angreifer unmittelbar vor der Gateway-Ebene gefälschte Nachrichten ein. Diese wurden dann offiziell signiert und via SWIFT-Netzwerk an die Gegenstelle geschickt. Mit Hilfe einer Empfangsbestätigung wird dann normalerweise geprüft, ob der Auftrag mit demjenigen in den Systemen des Absenders übereinstimmt. Diese Empfangsbestätigungen wurden aber abgefangen und konnten so nie Alarm schlagen.
FDPS schiebt dem mit vier Vektoren einen Riegel vor: Vektor eins nennt sich Bilateral Challenge und ist am ehesten vergleichbar mit einer 2FA im E-Banking. Ein bekanntes Beispiel ist das mTAN-Verfahren. Hier erhält der Kunde eine Nachricht via Handy, die nicht über den gleichen Kanal geschickt wird wie die Login-Informationen – also SMS statt Internet. Im Fall von FDPS wird ein Hash generiert, der entweder via Point-to-Point übertragen wird oder auch eine Blockchain verwenden kann. Der Empfänger kann damit prüfen, ob die Zahlungsanweisung, die gerade aus dem Swift-System gekommen ist, mit der ursprünglich in der Applikation des Absenders generierten übereinstimmt.
Vektor zwei ist ein dreiteiliger Multi Layer Filter: Beim Profiling legt der Kunde via GUI eine Reihe von Regeln fest. Zum Beispiel Dollar-Transaktionen nur freitags zwischen 10 und 12 Uhr oder generell keine Transaktionen in Rubel. Das Context-Assessment orientiert sich an der grundlegenden Politik der Bank und blockt, falls die Anweisung dieser zuwider läuft. Die Fraud Detection Rules schliesslich basieren auf inhaltlichen Analysen.
Der dritte Vektor bindet externe Dienstleister ein: Zum Beispiel sogenannte Sanctions Scanner, die Transaktionen auf Verdacht von Geldwäscherei oder Terrorismusunterstützung prüfen. Dabei ist die Lösung so klug, dass sie nicht einfach ja oder nein sagt, sondern die Transaktionen gewichtet – zum Beispiel Geldwäscherei mit 84-prozentiger Wahrscheinlichkeit.
Der vierte Vektor schliesslich orientiert sich am historischen Verhalten und verwendet statistische Methoden. Wie weit darf eine Franken-Zahlung an die Deutsche Bundesbank in Prozent vom durchschnittlichen Wert abweichen? Hier wird für jeden Transaktionspartner ein eigenes Risikoprofil angelegt.
Schnell auf Bedrohungen reagieren
All diese Informationen werden in einem übersichtlichen Dashboard vereint, das den Kunden über das aktuelle Gefahrenpotenzial im Zahlungsverkehr informiert. Dominant gibt es hier einen «Nuklearknopf», mit dem sich alle Transaktionen sofort stoppen lassen. «Dieses Feature wurde explizit auf Kundenwunsch entwickelt», so Huber. Zentral sind die Drill-Down-Optionen, denn ein solcher Stopp darf nicht länger als 30 Minuten dauern, sonst können finanzielle Einbussen oder Reputationsschäden entstehen.
Um schnell reagieren zu können, erlaubt FDPS die Transaktionen nach diversen Kriterien zu filtern, wie zum Beispiel bestimmte Institute zu isolieren. Das ist wichtig, weil eine einzelne Transaktion häufig mehrere Banken einbindet. Dabei kann das verdächtige Unternehmen an erster, zweiter oder dritter Stelle stehen. Ebenfalls integriert ist eine Volltextsuche. FDPS hat nämlich kundenspezifisch Transaktionsdaten gespeichert und zwar für ganze Märkte: «Ein einzelner Markt wie der Johannesburg Stock Exchange kann leicht mit mehr als einer halben Milliarde Transaktionen im System vertreten sein. Unsere Lösung kann dieses Volumen auch bei mehr als einer Million Treffer in drei Sekunden durchsuchen – und zwar Volltext», so Huber.
Damit bietet Incentage eine Lösung, die sich der Bedrohungslage im internationalen Zahlungsverkehr auf mehr als einer Ebene annimmt.
Wir verwenden Cookies, um unsere Website stetig zu verbessern. Die entsprechenden Daten verbleiben bei uns bzw. bei unseren Auftragsverarbeitern in der Schweiz. Sie werden nicht mit Personendaten verknüpft. Weitere Informationen erhalten Sie in der Datenschutzerklärung.