#3 Erpressung der Uniklinik Düsseldorf

Im September 2020 erleidet eine Frau ein Aneurysma und muss ins Krankenhaus gebracht werden. Zu diesem Zeitpunkt ist die Uniklinik Düsseldorf allerdings von der Notaufnahme abgemeldet, da eine Ransomware (ein Verschlüsselungstrojaner) zugeschlagen hat und die IT nicht benutzt werden können. In dieser Folge beleuchten wir das Bedrohungsfeld durch Ransomware als eine Form der organisierten Kriminalität.

Referenzen

#2 Hat-tribution: Attribution von Cyber-Spionen

In dieser Folge beleuchten wir das Thema “Attribution”. Einfach gesagt wollen wir herausfinden, wer einen Cyberangriff ausgeführt hat oder dafür verantwortlich war. Den Vorgang der Attribution werden wir in dieser Folge an dem in Fachkreisen bekannten Beispiel der “Hat-Tribution” konkretisieren.

Referenzen und Nachweise

#1 Der Cyber-Bankraub von Bangladesch

Vor 5 Jahren sollten fast eine Milliarde US-Dollar von Konten der Zentralbank Bangladeshs gestohlen werden – ein spektakulärer Bankraub im Cyberspace. Soweit der Plan…

Transkript anzeigen...

Armchair Investigators – Ein Dialog über Malware, Cybercrime und Cyberspionage. Mit Lars Wallenborn und Christian Dietrich.

00:00:28 Christian Dietrich: Hallo liebe Cyber Freunde. Mein Name ist Chris, ich bin Professor für IT Sicherheit an der Westfälischen Hochschule …

00:00:34 Lars Wallenborn: … und ich heiße Lars und ich arbeite für CrowdStrike als Reverse Engineer und Softwareentwickler.

00:00:41 Christian Dietrich: Lars, wir müssen über einen ziemlich interessanten Vorfall reden, der sich vor ziemlich genau fünf Jahren, also im Februar 2016 zugetragen hat. Und zwar geht es um einen Bankraub von fast einer Milliarde US Dollar.

00:00:54 Lars Wallenborn: Also ich sage mal, das kann kein normaler Bankraub gewesen sein. Denn eine Milliarde US Dollar wiegt wirklich sehr, sehr viel. Also da transportiert man lasterweise Geld von A nach B. Das wäre aufgefallen.

00:01:07 Christian Dietrich: Du bist ziemlich gut in Kopfrechnen oder du hast schon viele Assessment Center hinter dir, wo solche Fragen gestellt werden. Und ich habe mal geschaut: Was glaubst du, was der durchschnittliche Ertrag eines Bankraubs in den USA 2019 war?

00:01:20 Lars Wallenborn: Keine Ahnung.

00:01:20 Christian Dietrich: 6.500 Dollar.

00:01:23 Lars Wallenborn: Wow. Das lohnt sich wirklich nicht. Ich meine, dann macht man einen Bankraub, ist danach polizeilich gesucht und dabei kommen sechs- gut, vielleicht für einige Leute sind 6.000 Dollar vielleicht dann doch so viel Geld.

00:01:33 Christian Dietrich: Dieses typisch amerikanische Verbrechen, dieser Bankraub, der lohnt sich einfach irgendwie gar nicht mehr. Aber das sieht eben anders aus, wenn man das Ganze versucht online zu machen. Und zwar geht es hier um das Ziel, die sogenannte Bangladesch Bank. Das ist die Zentralbank von Bangladesch. Das Besondere hierbei ist, dass es sich um einen Angriff handelt, also der komplett online stattfand, und wo eben Schadsoftware eine gewisse Rolle gespielt hat. Wir beide als Reverse Engineer, als Malware-Analysten, schauen uns das natürlich gerne irgendwie mal ein bisschen genauer an. Was macht das Ganze so besonders, Lars?

00:02:05 Lars Wallenborn: Es gibt viele Dinge, die das hier besonders machen. Und um da jetzt vielleicht erstmal auf die Schadsoftware ein bisschen genauer einzugehen, muss man jetzt so ein paar Sachen über das SWIFT System irgendwie kennen. Also SWIFT ist ein sehr altes System, das Banken verwenden, um miteinander zu kommunizieren und um zu sagen, welches Geld von wo nach wo fließen soll. Und klassischerweise ist dieses System so in sich geschlossen, also jede Bank ist an dieses System angeschlossen. Und das Interessante bei diesem Banküberfall jetzt auf die Bangladesch Bank war, dass nicht das System an sich angegriffen wurde – also von außen irgendwie Nachrichten da eingeschleust wurden oder so was, sondern dass die Software, die da den Schaden verursacht hat, die lief auf dem System der Bangladesch Bank, das mit dem SWIFT System verbunden ist.

00:02:46 Christian Dietrich: Das heißt, die haben tagtäglich sowieso SWIFT Transaktionen durchgeführt. Und genau der Rechner, von dem eben aus dieser Bangladesch Bank tagtäglich diese SWIFT Transaktionen durchgeführt wurden, genau von dem haben die Akteure eben auch agiert in diesem Vorfall.

00:03:01 Lars Wallenborn: Genau. Und da wurden fünfunddreißig SWIFT Nachrichten abgeschickt. Und also – Spoiler Alarm – und von denen sind nicht alle durchgegangen. Also vielleicht sind da doch keine ganze Milliarde US Dollar verschwunden, sondern ein bisschen weniger.

00:03:13 Christian Dietrich: Okay, aber das fällt doch auf. Das muss doch auffallen. Also wenn da jemand irgendwie fünfunddreißig Nachrichten, fünfunddreißig Überweisungen irgendwie versucht zu tätigen – also, wenn ich auf meinen Kontoauszug gucken würde, würde mir das auch auffallen.

00:03:23 Lars Wallenborn: Richtig. Das wäre auch beinahe aufgefallen. Aber die Akteure, die haben sich anscheinend vorher ganz genau angeguckt, was da passiert ist. Und die Bank hat halt auch sowas wie einen Kontoauszug, oder also in dem Fall sogar zwei Mechanismen um zu ermöglichen da Sichtbarkeit zu schaffen in den Transaktionen. Das eine ist eine Oracle Datenbank, also eine Software die irgendwo läuft und in der mitprotokoliert wird, welche Transaktionen stattgefunden haben. Und daneben, neben dem Computer, stand auch noch ein Drucker. Und der druckt einfach permanent alle Transaktionen aus, die passieren. Das klingt jetzt irgendwie absurd, aber ich finde eigentlich, dass das eine ganz coole Sache und eine coole Möglichkeit ist, weil, dass die Transaktionen halt also wirklich protokolliert- also um das zu manipulieren muss man wirklich zum Drucker gehen und das Papier klauen.

00:04:11 Christian Dietrich: Ich habe mir die Malware mal- ich habe die mal so ein bisschen auseinandergenommen und du hast ja auch mal einen Blick in die reingeworfen – das ist schon ziemlich abgefahren, was die gemacht haben. Also die hatten ziemlich gute Kenntnis über den Systemaufbau von diesem System auf dem diese SWIFT Software da irgendwie läuft, oder diese SWIFT Appliance da irgendwie läuft, und das heißt, die wussten genau, welche Arten von Nachrichten dort ausgetauscht werden, wenn sie Transaktionen abschicken. Und dann haben sie eben dafür gesorgt, dass diese beiden Protokollmechanismen – also sowohl die Datenbank, als auch der Drucker – eben keine Spuren hinterlassen, oder keine Artefakte irgendwie ausdrucken oder festhalten von den Transaktionen. Das haben sie gemacht, indem sie sich die Verwendungstexte ganz bewusst gestaltet haben. Also man muss sich vorstellen, diese Überweisungen, die haben ähnlich wie Überweisungen die wir so kennen, wie jetzt in Deutschland beispielsweise, so Verwendungszweckfelder. Und da haben die eben ganz bestimmte Nummern selber verwendet und anhand dieser Nummern haben sie später diese Transaktion halt auch erkennen können. Und die sind sogar noch einen Schritt weitergegangen. Denn für jede ausgeführte Überweisung kommt auch eine Bestätigung zurück. Das heißt, hier wurde maßgeblich von einem Konto, das bei der New York Federal Reserve Bank in New York, also in den USA lag, Geld weg überwiesen. Und dieses Konto gehört der Bangladesch Bank. Also Kontoinhaber ist die Bangladesch Bank. Und das heißt für alle diese Transaktionen kam eben auch eine Bestätigung zurück. Und auch diese Bestätigungsnachricht, auch die wurde eben aus dieser Datenbank getilgt und es wurde eben dafür gesorgt, dass die eben eigentlich nicht gedruckt werden sollte.

00:05:49 Lars Wallenborn: Ja und das ist vielleicht jetzt – also jetzt kann man theoretisieren warum das alles passiert ist und ich würde vielleicht soweit gehen zu sagen, das liegt an einem der großen Unterschiede zwischen Online- und Offline Bankrauben. Nämlich bei einem Offline-Bankraub dann – ich meine du holst das Geld aus dem Tresor, also ich weiß ja nicht wie das genau läuft, aber ich stell mir das so vor – holst das Geld aus dem Tresor, steigst damit in dein Fluchtfahrzeug und dann geht es ab in den Sonnenuntergang und dann hat man halt das Geld. Bei einem Online-Bankraub ist das natürlich nicht unbedingt so. Weil es gibt so bestimmte SWIFT Transaktionsnachrichten, die können Transaktionen rückgängig machen oder zumindest darum bitten, diese Transaktionen rückgängig zu machen. Und da muss man dann halt aufpassen als Bankräuber, dass man das Geld, dass man sich irgendwo hin überwiesen hat, dann auch behält – oder halt, dass es schnell genug dann ausbezahlt wird. Und da muss man halt so ein bisschen Zeit gewinnen. Ich vermute, dass das eine der Hauptmotivationen war, da diese ganzen Protokollmechanismen auszuhebeln.

00:06:41 Christian Dietrich: Genau, das heißt innerhalb von einem bestimmten Zeitraum kann man diese Transaktionen vielleicht noch stoppen oder man kann sie vielleicht irgendwie zurück holen – und das ist auch passiert. Also von diesen fünfunddreißig Nachrichten, von diesen fünfunddreißig SWIFT Transaktionen, sind wahrscheinlich alle bis auf vier zurückgerufen worden. Aus einer ganzen Reihe von Gründen. Und das ist nämlich auch ganz interessant. Zum einen lag es eben daran, dass man festgestellt hat- also eine der Transitbanken bei diesen SWIFT- oder bei diesen internationalen Transaktionen, da ist es teilweise eben so, dass es über mehrere Banken läuft. Weil nicht unbedingt die Ursprungsbank mit der Zielbank, wo das Geld ursprünglich oder letztlich landen soll, eine direkte Verbindung hat. Sondern dann gibt es so Vermittlerbanken. Zum Beispiel die Deutsche Bank war eine dieser Transitbanken und da wurden wir Deutschen vielleicht ein bisschen unserem Image gerecht –

00:07:27 Lars Wallenborn: Jaja, da hat der deutsche Bankbeamte seinen Rotstift rausgenommen und gesagt, du hast Fundation falsch geschrieben. Das heißt der Empfänger der ist gar nicht da, die Transaktion geht zurück. Also hier haben die Akteure einen Fehler gemacht – anstatt Fundation haben die Fandation geschrieben – und das ist jemandem aufgefallen und dann wurde die Transaktion zurück gebucht.

00:07:42 Christian Dietrich: Also achte auf den – genau die richtige Schreibweise des Empfängers, ansonsten verlierst du irgendwie eine Milliarde US Dollar. Andere Gründe waren, dass es ungewöhnlich viel Geld war, das letzten Endes bei Privatleuten landen sollte. Also auf Konten von Privatleuten. Normalerweise überweisen diese Zentralbanken wohl eher an größere Institute. Andere Banken, irgendwelche Versicherungen oder ähnliches, aber nicht unbedingt an Privatpersonen. Also auch das fiel auf.

00:08:09 Lars Wallenborn: Und der letzte Grund, den finde ich auch wirklich albern, also da gab es irgendwie eine Überlappung zwischen einem Namen von einer Firma und der Straße der Zielbank, oder so.

00:08:20 Christian Dietrich: Genau, also es ging um ein mutmaßlich iranisches Logistikunternehmen, Jupiter Seaways, die sanktioniert waren. Und dieser Begriff Jupiter, der kam auch in der Straße einer Bankfiliale vor, zu der ein Teil des Geldes sollte. Nämlich die RCBC Bank auf den Philippinen in Manila. Die war nämlich auf der Jupiter Street. Und allein dieser eine Name, dieser Teil des Namens, der hat dafür gesorgt, dass also auch diese Transaktion geflaggt wurde oder irgendwie markiert wurde, dass da eben ein Analyst mal drüber schauen sollte. Und das waren eben so ein paar Gründe, warum das irgendwie nicht funktioniert hatte oder warum Teile der Transaktionen eben nicht durchgingen, nämlich ein Großteil der Transaktionen.

00:08:59 Lars Wallenborn: Okay. Also schade oder gut. Je nachdem wie man das sieht. Also von den fünfunddreißig Transaktionen sind ganz schön viele gecancelt worden, also es ist keine ganze Milliarde mehr übrig. Ich glaube es sind noch vier Transaktionen übriggeblieben, die dann nicht in irgendeinem von diesen Dingen hängengeblieben sind.

00:09:14 Christian Dietrich: Und was erkennen wir daraus? Menschen machen Fehler. Auch solche Akteure. Und das ist für uns als Verteidiger natürlich super, oder als Analysten, denn da können wir ansetzen. Und da können wir versuchen, Hinweise zu bekommen auf die Attribution, also auf die Frage, wer war es.

00:09:31 Lars Wallenborn: Ja genau, wie man so schön sagt, also „Follow the Money“. Und dann gucken wir uns jetzt mal an, wo diese vier Transaktionen gelandet sind. Das waren dann noch einundachtzig Millionen US Dollar, die da übriggeblieben sind. Die sind dann auf vier Bankkonten gelandet bei der RCBC Bank auf den Philippinen, wurden dann teilweise überwiesen oder teilweise irgendwie auch bar – da ist die Berichterstattung meiner Meinung nach nicht ganz eindeutig – zu einem oder mehreren Casinos übertragen, um das Geld dann zu waschen.

00:10:03 Christian Dietrich: Gut. Jeder Ermittler, der sich irgendwie mit diesem Fall beschäftigen würde, würde natürlich den Leitspruch anwenden „Follow the Money“. Das heißt wir müssen uns erstmal anschauen, wo ging das Geld denn hin oder wie verliert sich die Spur des Geldes möglicherweise. Und das tut sie nämlich, indem ein Großteil des Geldes was eben bei der RCBC Bank auf den Philippinen ankam, auf Konten eines Casinos überwiesen wurde oder mehrerer Casinos sogar überwiesen wurde, eben auch in den Philippinen, und teilweise wohl auch in bar dorthin gekarrt wurde. Und das Ganze passierte eben relativ zügig, nach Ankunft der Überweisung – schauen wir uns vielleicht gleich nochmal genauer an. Und eigentlich muss man jetzt erklären, dass zu der Zeit, 2016, zwei Dinge den Angreifern in die Hände gespielt haben. Nämlich einmal die Tatsache, dass auf den Philippinen das Bankgeheimnis sehr viel Wert ist. Das ist ähnlich wie in der Schweiz. Und das zweite ist, dass die Geldwäschevorgaben für Casinos zu dem Zeitpunkt, ich sage mal vorsichtig, nicht so wahnsinnig hoch waren. Und das war ein Riesenproblem, denn im Prinzip hat sich die Spur des Geldes, sagen wir mal mehr oder weniger, verloren, als das Geld da irgendwie auf den Casino Konten war.

00:11:11 Lars Wallenborn: Ja man weiß aber doch schon noch, dass es irgendwie wahrscheinlich in bar dann per Flugzeug woanders hingebracht wurde. Nicht wahr?

00:11:17 Christian Dietrich: Das mutmaßt man. Es gibt also die Vermutung, dass dort Leute in Richtung Macao mit einem Teil des Geldes in bar sich abgesetzt haben-

00:11:28 Lars Wallenborn: Um auch gerade noch einmal auf das Gewicht des Geldes zurück zu kommen. Also es handelt sich hier wahrscheinlich noch so um achtundfünfzig Millionen die sie dann da so von den Konten heruntergeschafft haben. Und das sind irgendwie Mengen, die kann man transportieren. Also ich habe mal kurz auf einer Serviette irgendwie überschlagen: Das ist eine gute halbe Tonne. Und so vom Volumen her ist das so ungefähr ein Kubikmeter. Also wenn man mal eine Waschmaschine auf einem Umzug transportiert hat, dann sind das vier davon. Also da musste man jetzt keine Laster voller Geld irgendwie von A nach B bringen, sondern das kann man im Kofferraum machen. Dann muss man es natürlich noch irgendwie in ein Flugzeug bringen, wenn man es dann rausschaffen will, aber das ist logistisch sehr viel einfacher.

00:12:01 Christian Dietrich: Wieder so eine Assessment Center Frage: Sie haben achtundfünfzig Millionen US Dollar bei einem Bankraub erwirtschaftet. Wie transportieren Sie das? (Lachen) Also du sagst, wenn das in US Dollar vorgelegen hätte, kein Problem, hätte man transportieren können. Vier Taxis bestellt, Flugzeug und man ist weg. Aber wir wollten uns ja eigentlich der Frage nähern, wer war es. Und ich glaube, da kann man sagen, es gibt zwei ganz interessante Quellen. Es gibt zum einen so privatwirtschaftliche Unternehmen, die da natürlich Aufklärung betrieben haben, teilweise Incident Response gemacht haben, das heißt in der IT Infrastruktur nach Spuren gesucht haben. Und zum anderen gibt es eine Strafanzeige, die veröffentlicht wurde vom FBI. Und beide Quellen kommen eben zu der Überzeugung, dass wir es hier mit einem ganz besonderen Akteur zu tun haben. Nämlich der Akteur ist kein üblicher Cyberkrimineller, wie man vielleicht erst einmal meinen würde, also jemand, der sich selber bereichern will, sondern es ist eben ein Akteur, der einen Staat hinter sich stehen hat, der also Interessen eines Staats umsetzt.

00:12:56 Lars Wallenborn: Und da möchte ich jetzt vielleicht direkt mal einhaken, warum das so ungewöhnlich ist. Also klassischerweise konnte man daran, an der Motivation von so einer Aktivität, schon als Hinweis dafür benutzen, wer dahintersteht. Also klassischerweise haben Staaten die Motivation der Spionage, also Informationsbeschaffung, oder der Sabotage, also irgendwie Systeme sabotieren. Und klassischerweise sind die finanziell motivierten Cyberkriminellen halt hinter Geld her. Und das hier ist jetzt eine neue große Sache, dass es jetzt hier einen großen Staat gibt, Nordkorea, der finanziell motiviert ist. Und dafür gibt es auch Gründe, Chris.

00:13:34 Christian Dietrich: Du hast es eben so beiläufig erwähnt, Nordkorea. Genau, also man mutmaßt, dass hier nordkoreanische Interessen umgesetzt werden, eben mit der Gewinnung von Finanzmitteln. Und das kann man erklären, weil Nordkorea seit 2006 eben mit Sanktionen belegt ist. Maßgeblich US Sanktionen, auch die EU hat Sanktionen. Die beziehen sich darauf oder das ist eine Reaktion des Raketenprogramms, das Nordkorea entwickelt und insbesondere des Atomwaffenprogramms. Und in Folge dieser Sanktionen, die immer wieder verschärft wurden, ist Nordkorea eigentlich vom internationalen Finanzmarkt abgeschnitten. Also es gibt eigentlich keine Möglichkeit mehr, irgendwie Finanzmittel nach Nordkorea zu bringen, sodass Nordkorea ein von Mangel geplagtes Land ist. Dort wird nach wie vor an dem Raketenprogramm gearbeitet, auch wenn glaube ich im letzten Jahr nicht unbedingt Raketentests stattfanden, aber es gibt eben staatliche Interessen, Finanzmittel zu gewinnen. Und das setzt sich eben fort – wenn wir mal so ein bisschen den Blick schweifen lassen, also so ein bisschen von diesem Vorfall der Bangladesch Bank auszoomen – dann zeigt sich eine ganze Reihe an Vorfällen, die eben auf ähnliche Art und Weise Nordkorea attributiert werden. Wir haben zum Beispiel 2017 die WannaCry Ransomware. Also eine Ransomware, eine Erpressungssoftware, oder scheinbare Erpressungssoftware, die ja weltweit Infektionen nach sich gezogen hat. Es gibt da also kaum ein Unternehmen, das nicht irgendwie betroffen war. Von der man heute eben auch davon ausgeht, dass sie dafür sorgen sollte, Bitcoin für Nordkorea-

00:15:13 Lars Wallenborn: Genau. Das passt dann gut ins Bild. Man hat wahrscheinlich da irgendwie Teile der Regierung oder irgendwie von der Regierung unterstützte Entitäten oder Gruppierungen, die dann damit beauftragt werden, Geld ranzuschaffen. Weil man sonst, privatwirtschaftlich, das nicht mehr hinkriegt. Das ist natürlich nicht das Einzige was Nordkorea macht. Also das ist nicht so, dass die ihre ganzen finanziellen Mittel jetzt aus Cyberoperationen irgendwie beziehen, aber es scheint eine Komponente der Nordkoreanischen Strategie zu sein.

00:15:43 Christian Dietrich: Ich habe mir mal so ein paar UN Berichte angeschaut, die eben die Sanktionen begründen und das ist wirklich erstaunlich. Also es gibt eine ganze Reihe von Ländern, die durch Vorfälle dieser Art, eben mutmaßlich von nordkoreanischen Akteuren, betroffen sind. Das ist Bangladesch, klar, haben wir hier uns angeschaut, Chile, Costa Rica, Gambia, Guatemala, Indien, Kuweit, Malaysia, Malta, Nigeria, Polen, Südkorea ganz massiv, Slowenien, Südafrika, Tunesien und Vietnam. Und das zeigt eben, dass diese Art der Gewinnung von Finanzmitteln hier scheinbar durchaus sehr ausgeprägt ist.

00:16:21 Lars Wallenborn: Gut, dann lass uns doch jetzt mal anschauen, wie man so was dann macht. Und da kann man sich das auf zwei Arten und Weisen irgendwie angucken. Wir wollen uns erstmal so einen groben Überblick von weit weg verschaffen, über die langen Zeiträume die da vergangen sind, und dann nochmal reinzoomen auf das Wochenende, wo dann dieser Banküberfall wirklich stattgefunden hat. Also fangen wir mal mit dem Makropicture, also dem großen Bild von außen irgendwie an. Also der Bankraub selber, der hat im Februar 2016 stattgefunden, und dann kann man sich jetzt natürlich fragen, sind die Akteure am gleichen Tag da erst eingebrochen oder eine Woche vorher? Oder wie sich jetzt in dem Fall hier herausstellt, wahrscheinlich oder höchstwahrscheinlich schon ein ganzes Jahr vorher. Also im Februar 2015 – das ist ein Jahr vorher – hat wahrscheinlich die initiale Infektion der Bank stattgefunden. Und im Zeitraum dazwischen, also zwischen dieser initialen Infektion und dem eigentlichen Ausführen der Operation ist also ein Jahr vergangen, oder fast ein Jahr vergangen. Und es sind halt verschiedene Dinge passiert im laufe- also erst einmal wurden diese Konten bei der RCBC Bank, diese vier Stück wo das Geld hingegangen ist, eröffnet und wahrscheinlich auch alle anderen Konten, wo Geld hinüberwiesen wurde. Und ich würde sogar so weit gehen zu vermuten, dass die Akteure diesen Zeitraum auch genutzt haben, dieses ganze Jahr, wo sie in der Bank schon drin waren, um sich da umzuschauen, und sich an die ganze Infrastruktur zu gewöhnen. Und was man da tun muss.

00:17:48 Christian Dietrich: Zu lernen SWIFT zu bedienen, zum Beispiel.

00:17:50 Lars Wallenborn: Ja, und welche Nachrichten man schicken muss und verstecken muss vielleicht.

00:17:53 Christian Dietrich: Wieviel Geld auf welchen Konten ist.

00:17:55 Lars Wallenborn: Also ich kann mir jedenfalls vorstellen, dass nicht jede Bank genau diesen Oracle Datenbankserver mit dieser DLL verwendet und diesen Drucker verwendet, den man so genau daran hindern kann, zu drucken. Ich würde sagen, das wurde dann hier zumindest angepasst auf diesen konkreten Fall. Und es war ein ganzes Jahr, das die drin waren. Das ist auch wieder so ein Punkt. Die sind ja währenddessen schon auch aktiv gewesen. Man hätte – im Nachhinein ist immer alles leicht – man hätte die Möglichkeit gehabt, da wirklich zu sehen, dass da jemand ist und aktiv ist und so. Man hätte ein ganzes Jahr lang Zeit gehabt, da was gegen zu tun.

00:18:33 Christian Dietrich: Wenn man jetzt auf dieser Makroperspektive nochmal schaut, dann kann man sogar noch weiter zurückgehen. Denn die ersten Aktivitäten, also das Auskundschaften der Ziele, die sogenannte „Reconnaissance“, die fand im Oktober 2014 bereits statt. Das heißt wir sind jetzt deutlich über ein Jahr insgesamt Zeitraum, bis es sozusagen zu diesem Stichtag kam, wo eben das Geld rausgeholt werden sollte. Ich finde, das zeigt nochmal zwei Dinge: Zum einen, der Täter kann es sich leisten so lange zu warten, er hat also entsprechend Ressourcen, kann diese Zeit locker irgendwie überbrücken, scheint kein Problem zu sein und – das ist der zweite Punkt – er versucht seine Chancen zu maximieren. Und das versteht man eigentlich nur, wenn man sich das Timing auf der Mikroebenen noch mal anschaut und zwar zu dem Zeitpunkt, wo der tatsächliche Bankraub stattfindet, im Februar 2016. Das Ganze fand nämlich an einem Wochenende statt, quasi zwischen dem 05. und dem 09. Februar 2016. Und jetzt muss man eben wissen, Bangladesch ist ein muslimisch geprägtes Land. Das heißt, Freitag und Samstag sind da Wochenende. Und an einem Donnerstagabend, so etwa um 20:00 Uhr Ortszeit, also relativ spät-

00:19:39 Lars Wallenborn: … wenn alle schon nach Hause gegangen sind.

00:19:40 Christian Dietrich: Genau, da hat der Akteur angefangen, diese Transaktionen zu tätigen. Das heißt also spät abends am Donnerstag fängt man an diese Transaktionen zu starten. Das ist in New York, wo die Konten liegen, donnerstags Morgen. Das heißt also man hat den ganzen Tag noch Zeit und sogar den Freitag darauf auch noch, damit diese Transaktionen auch irgendwie durchgeführt werden können, für den Fall, dass da irgendjemand draufschaut. Das ist wohl auch passiert. Es gab da ein paar Rückfragen, die sind aber erst am Freitag aus New York gekommen – Freitag war Wochenende in Bangladesch, es hat also keiner irgendwie bekommen – die Transaktionen wurden ausgeführt. Und jetzt gibt es eben zwei wichtige Dinge: Nämlich erstens in der Datenbank wurden keine Spuren hinterlassen und der Drucker hat nicht gedruckt. Das heißt, es hat also mindestens bis zum ersten Arbeitstag in Bangladesch gedauert – das war der Sonntag – bis man überhaupt eine Chance gehabt hätte, festzustellen, dass dort solche Transaktionen getätigt wurden.

00:20:32 Lars Wallenborn: Das war bestimmt ein stressiger Sonntagmorgen oder Montagmorgen, wie es bei uns wäre. Kommt man zur Arbeit und der Drucker ist kaputt und dann haben die wahrscheinlich erst einmal rausgefunden warum. Also ich meine der Drucker ist kaputt, ist erstmal kein Grund zur Panik, würde ich vermuten. Aber vielleicht bei diesem speziellen Drucker dann schon. Und dann hat sich wohl am gleichen Tag noch rausgestellt, dass da was schiefläuft und dann hat man wohl versucht, von Bangladesch aus, diese Transaktionen zu stoppen.

00:20:55 Christian Dietrich: Ja, war blöderweise halt Sonntag, da war nicht so viel los.

00:20:59 Lars Wallenborn: Da war in New York halt keiner auf der Arbeit.

00:21:00 Christian Dietrich: Zumindest nicht in der New York Fed. Und jetzt kommt noch ein super interessanter Aspekt: Denn ein Großteil des Geldes sollte ja auf die Philippinen. Und auf den Philippinen war Samstag und Sonntag Wochenende, und der Montag war aber noch ein Feiertag. Das heißt man hatte noch einen Tag mehr, bis man jetzt auf den Philippinen, wo eben das Geld mittlerweile war, bis man dort irgendjemanden hätte erreichen können. Sondern das ging halt erst am Dienstag den 09.Februar. Und da waren eben schon achtundfünfzig Millionen US Dollar von diesen einundachtzig Millionen US Dollar außerhalb des Einflussbereichs der RCBC Bank. Also quasi weg.

00:21:36 Lars Wallenborn: Und ich kann mir nicht vorstellen, dass das ein Zufall ist. Also das ist entweder- nein, das war kein Zufall. Die haben sich das genau überlegt. Es gibt, glaube ich, in so einem Jahr gar nicht so viele Wochenenden, an denen das so günstig zusammenfällt. Die haben sich einfach die Zeit gelassen, bis diese für die Angreifer günstige Situation vorlag. Gut, wollen wir dann jetzt ein Fazit ziehen, von der ganzen Folge.

00:21:58 Christian Dietrich: Ja, es handelt sich wahrscheinlich um einen der größten Bankraubvorfälle überhaupt. Geplant war eine Milliarde US Dollar zu stehlen. Hat nicht ganz geklappt. Einundachtzig Millionen US Dollar sind gestohlen worden, ausgeleitet worden. Ich glaube nicht so wahnsinnig-

00:22:13 Lars Wallenborn: … ist doch immer noch eine Menge würde ich sagen.

00:22:15 Christian Dietrich: Würde mir reichen. Wir haben gesehen, dass zielgerichtete Schadsoftware verwendet wird und das macht es, finde ich, super interessant. Man hat also ganz bewusst aus der Ferne agiert und alle lokalen Protokollmechanismen versucht auszuhebeln. Und wir haben einen Akteur, der die Interessen eines Staates umsetzt. Und das eben auf eine besonders untypische Art und Weise – nämlich mit dem Ziel der Gewinnung von Finanzmitteln. Ich glaube das sind so in meinen Augen die Kernaspekte die das Ganze zu einem ziemlich besonderen Vorfall machen.

00:22:43 Lars Wallenborn: Ja, da stimme ich dir zu. Das war ein großer Bankraub. Die Schadsoftware war sehr gezielt und der Akteur ist ein Beispiel für einen staatlichen Akteur, der finanziell motiviert ist.

00:22:53 Christian Dietrich: Ich glaube diese Frage der Attribution, die sollten wir uns irgendwann in einer der nächsten Folgen nochmal genauer anschauen- oder?

00:23:01 Lars Wallenborn: Ja, das hört sich nach einem guten Plan an.

00:23:01 Christian Dietrich: In diesem Sinne. Wir hoffen, euch hat diese Folge gefallen und bis zum nächsten Mal.

00:23:07 Lars Wallenborn: Genau. Bis dann.