Bekommen Kunden von den Banken denn wirklich alle Informationen, die sie benötigen?
Wir haben in der Vergangenheit leider erlebt, dass Unternehmen versucht haben, Angriffe geheim zu halten. Aber ich denke, dass auch Vorstandschefs erkannt haben, dass Vertuschungsversuche nur auf sie persönlich zurückfallen und sie den Job kosten können. Die internationalen Großbanken, mit denen ich arbeite, haben angefangen eine Kultur zu entwickeln, die offen mit solchen Angriffen umgeht. Diese Transparenz, sowohl gegenüber Kunden, Wettbewerbern und den Ermittlungsbehörden, ist der Schlüssel, um die Angriffe angemessen bekämpfen zu können.
Ist die Finanzindustrie hier weiter als andere?
Der Bankensektor ist einen Schritt voraus was Zusammenarbeit angeht, ja. Schauen sie sich in Deutschland etwa G4C an, einen Zusammenschluss von Großbanken, die eng mit dem Bundeskriminalamt an Sicherheitsthemen arbeiten. Aber es waren wohl auch die großen Schäden durch Cyberangriffe, die die Banken in diese Position gebracht haben.
Gerade wenn einzelne Kundenkonten angegriffen wurden, haben Banken die Schäden bislang meist auch aus Kulanz übernommen. Nun wendet sich das Blatt langsam: Wenn Kunden grob fahrlässig mit Zugangsdaten umgehen, sollen sie den Schaden selbst tragen.
Zunächst ist es immer Aufgabe der Unternehmen, für Sicherheit zu sorgen: Also alle nötigen Sicherheitsfeatures einzubauen, und den Kunden aufzuklären wie und warum sie diese nutzen müssen. Dann ist es aber ganz klar auch die Verantwortung der Kunden, diese Sicherheitsmaßnahmen anzunehmen und auszuführen. Wer keine sicheren Passwörter und Antiviren-Programme nutzt und keine regelmäßigen Updates ausführt, der macht nichts anderes, als die Türen und Fenster seiner Wohnung offen stehen zu lassen. Dann muss sich niemand wundern, dass eingebrochen wird. Da kann ich es verstehen, dass Banken nicht mehr in jedem Fall aufkommen wollen.
Wie bei der Erpresser-Attacke WannaCry fordert nun auch Petya nach der Verschlüsselung der betroffenen Computer ein Lösegeld, das in Form von Bitcoins gezahlt werden soll. Ist diese Zahlungsform für Sie bei der Strafverfolgung ein Vorteil oder Nachteil?
Noch vor vier oder fünf Jahren hätte ich gesagt, dass Bitcoin und andere Kryptowährungen das Ende unserer Ermittlungen im Finanzbereich bedeuten. Diese dezentralen Zahlungssysteme arbeiten schließlich radikal um die bisherigen Zahlungssysteme herum, in denen wir Geldströme verfolgen konnten. Heute kann ich sagen, dass wir gemeinsam mit der Finanzindustrie Wege gefunden haben, auch bei Bitcoin und Co das Geld zu verfolgen.
Dabei sind doch gerade in den digitalen Registern, wie etwa der Bitcoin-Blockchain, weltweit für alle einsehbar, welches Konto welchen Betrag von wem überwiesen bekommt. Auch bei Petya gibt es ein solches Konto, dessen Geldströme sie verfolgen können.
Die Verfolgung ist nicht so simpel wie im konventionellen Banksystem. Denn wir bekommen zwar ein Konto und die Ein- und Ausgänge. Aber letztlich müssen wir dieses digitale Konto ja mit einer Person verknüpfen. Was in dieser Hinsicht hilft, ist dass viele Länder nun die digitalen Währungen regulieren. Ein wichtiger Punkt der Regulierung: Dass Nutzer sich auch in den dezentralen Systemen identifizieren müssen, wie beim regulären Bankkonto. Das hilft uns natürlich enorm, die Personen zu verfolgen, die hinter den Attacken stehen.
Nach der WannaCry-Attacke im Mai haben viele Unternehmen das Lösegeld bezahlt, um wieder an ihre Daten zu kommen. Das Geld landete auf bestimmten Bitcoin-Geldbörsen. Wurde es von den Angreifern schon abgehoben?
Nein, das Geld liegt noch immer in den Geldbörsen. Und wenn sich das Geld nicht bewegt, haben wir auch keine Möglichkeit, es nachzuverfolgen.
Und sobald es sich bewegt?
Das kann ich Ihnen nicht verraten. Sonst wissen die bösen Jungs hinterher, welche Asse wir im Ärmel haben.
