Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

04.12.2017
von: Christian Walter

Sicherheit für den internationalen Zahlungsverkehr

2016 versuchten Angreifer, mehr als 950 Millionen Dollar von den Konten der Nationalbank von Bangladesch zu stehlen. Zwar stoppten die automatischen Systeme die Überweisungen bei 81 Millionen, dennoch zeigte der Diebstahl eindrücklich die Verwundbarkeit des SWIFT-Systems.


Die Ebenen des SWIFT-Systems und der Fall Bangladesch sowie die Lösung „Bilateral Challenge“ von Incentage


Das SWIFT-Netzwerk wickelt den Nachrichten- und Transaktionsverkehr von weltweit mehr als 11.000 Banken ab. Doch nicht nur einmal wurde die den Zugang ermöglichende SWIFT-Software gehackt. In wenigstens zwei weiteren Fällen gelang es Hackern, in die Systeme anderer Institute einzudringen.

SWIFT hat zwar Gegenmassnahmen ergriffen. Ob diese auf allen Ebenen greifen, bleibt aber unklar. Dadurch sind Marktchancen für Dritte entstanden, unter anderem für den Schweizer Financial Messaging Spezialisten Incentage. Das Unternehmen ist mit seiner FDPS-Lösung seit 2008 am Markt und bietet in der neuesten Version ein umfangreiches Toolset, um Gefahren im SWIFT-Umfeld Herr zu werden. Der Fokus liegt dabei auf Situationen, in denen nur wenige Transaktionen ausgetauscht werden, dafür in hohem Wert. «Konventionelle Lösungen sind vor allem auf Masse ausgerichtet, nicht auf Einzeltransaktionen im Wert von 500 Millionen Dollar», so Incentage CEO Felix Huber.

FDPS setzt auf vier verschiedenen Ebenen (Detection Vectors) an, wobei sich die Kunden die für sie relevanten Optionen zusammenstellen können. Der erwähnte Angriff auf die Nationalbank von Bangladesch kann als Fallbeispiel dienen, um die Funktionalität zu illustrieren (siehe Bild): Internationale Transaktionen im SWIFT-System durchlaufen vier Ebenen. Ganz oben ist die Applikationen-Ebene der Banken. Dort werden Zahlungen generiert. Diese wandern in die Messaging-Ebene, wo sie als Nachricht «verpackt» werden. Danach werden sie im Gateway signiert und in das autarke Swift-Netzwerk eingespeist. Beim Empfänger durchlaufen sie den umgekehrten Prozess.

Einfallstor für Hacker
Im Falle von Bangladesch speisten die Angreifer unmittelbar vor der Gateway-Ebene gefälschte Nachrichten ein. Diese wurden dann offiziell signiert und via SWIFT-Netzwerk an die Gegenstelle geschickt. Mit Hilfe einer Empfangsbestätigung wird dann normalerweise geprüft, ob der Auftrag mit demjenigen in den Systemen des Absenders übereinstimmt. Diese Empfangsbestätigungen wurden aber abgefangen und konnten so nie Alarm schlagen.

FDPS schiebt dem mit vier Vektoren einen Riegel vor: Vektor eins nennt sich Bilateral Challenge und ist am ehesten vergleichbar mit einer 2FA im E-Banking. Ein bekanntes Beispiel ist das mTAN-Verfahren. Hier erhält der Kunde eine Nachricht via Handy, die nicht über den gleichen Kanal geschickt wird wie die Login-Informationen – also SMS statt Internet. Im Fall von FDPS wird ein Hash generiert, der entweder via Point-to-Point übertragen wird oder auch eine Blockchain verwenden kann. Der Empfänger kann damit prüfen, ob die Zahlungsanweisung, die gerade aus dem Swift-System gekommen ist, mit der ursprünglich in der Applikation des Absenders generierten  übereinstimmt.

Vektor zwei ist ein dreiteiliger Multi Layer Filter: Beim Profiling legt der Kunde via GUI eine Reihe von Regeln fest. Zum Beispiel Dollar-Transaktionen nur freitags zwischen 10 und 12 Uhr oder generell keine Transaktionen in Rubel. Das Context-Assessment orientiert sich an der grundlegenden Politik der Bank und blockt, falls die Anweisung dieser zuwider läuft. Die Fraud Detection Rules schliesslich basieren auf inhaltlichen Analysen.

Der dritte Vektor bindet externe Dienstleister ein: Zum Beispiel sogenannte Sanctions Scanner, die Transaktionen auf Verdacht von Geldwäscherei oder Terrorismusunterstützung prüfen. Dabei ist die Lösung so klug, dass sie nicht einfach ja oder nein sagt, sondern die Transaktionen gewichtet – zum Beispiel Geldwäscherei mit 84-prozentiger Wahrscheinlichkeit.

Der vierte Vektor schliesslich orientiert sich am historischen Verhalten und verwendet statistische Methoden. Wie weit darf eine Franken-Zahlung an die Deutsche Bundesbank in Prozent vom durchschnittlichen Wert abweichen? Hier wird für jeden Transaktionspartner ein eigenes Risikoprofil angelegt.

Schnell auf Bedrohungen reagieren
All diese Informationen werden in einem übersichtlichen Dashboard vereint, das den Kunden über das aktuelle Gefahrenpotenzial im Zahlungsverkehr informiert. Dominant gibt es hier einen «Nuklearknopf», mit dem sich alle Transaktionen sofort stoppen lassen. «Dieses Feature wurde explizit auf Kundenwunsch entwickelt», so Huber. Zentral sind die Drill-Down-Optionen, denn ein solcher Stopp darf nicht länger als 30 Minuten dauern, sonst können finanzielle Einbussen oder Reputationsschäden entstehen.

Um schnell reagieren zu können, erlaubt FDPS die Transaktionen nach diversen Kriterien zu filtern, wie zum Beispiel bestimmte Institute zu isolieren. Das ist wichtig, weil eine einzelne Transaktion häufig mehrere Banken einbindet. Dabei kann das verdächtige Unternehmen an erster, zweiter oder dritter Stelle stehen. Ebenfalls integriert ist eine Volltextsuche. FDPS hat nämlich kundenspezifisch Transaktionsdaten gespeichert und zwar für ganze Märkte: «Ein einzelner Markt wie der Johannesburg Stock Exchange kann leicht mit mehr als einer halben Milliarde Transaktionen im System vertreten sein. Unsere Lösung kann dieses Volumen auch bei mehr als einer Million Treffer in drei Sekunden durchsuchen – und zwar Volltext», so Huber.

Damit bietet Incentage eine Lösung, die sich der Bedrohungslage im internationalen Zahlungsverkehr auf mehr als einer Ebene annimmt.
Quelle: swissmadesoftware
swiss made software GmbH auf Security-Finder Schweiz


Security-Finder Schweiz: Newsletter