Eines ist an Indiens größtem Banküberfall besonders alarmierend: Cyberkriminalität hatte nichts damit zu tun. Es gibt keine namenlosen, unsichtbaren Tech-Genies, die sich in Computersysteme einhacken, um die Schuld zu geben. Es handelte sich vielmehr um korrupte Angestellte in einer einzigen Filiale, die das SWIFT-Netzwerk (Die Gesellschaft für weltweite Interbanken-Finanztelekommunikation) nutzten und es jahrelang betrieben haben.
In der heutigen Zeit ist die Erzählung von Hacking seltsamerweise beruhigend. Dies bedeutet nicht, dass Korruption ganz nach oben geht, oder zumindest, dass die Sicherheit des Bankensystems nicht vollständig zusammenbricht. Kriminelle taten einfach das, was Kriminelle taten. Jeder kann seine Fäuste an der Technologie für das Ändern mit halsbrecherischer Geschwindigkeit rütteln und weitermachen. (Lesen Sie: Wie das SWIFT-System funktioniert)
Nirav Modis Betrug von 1, 8 Milliarden US-Dollar von Indiens zweitgrößtem staatlichen Kreditgeber, der Punjab National Bank (PNB.BO), ist viel weniger elegant.
Die Bank hatte in ihrer Erklärung zum Umtausch erklärt, dass die betrügerischen Akkreditive, die es den Unternehmen des Diamantenhändlers ermöglichten, Kredite im Wert von 1, 8 Milliarden US-Dollar in Anspruch zu nehmen, von den Zweigstellenbeamten über SWIFT ausgestellt wurden, ohne die Genehmigung der zuständigen Behörde einzuholen, notwendige Anträge vom Importeur, Dokumente Import, rechtliche Dokumentation bei der Bank und auch ohne Eintragungen im Trade-Finance-Modul der Bank von CBS (Core-Banking-Lösung). “
PNB machte in seiner Erklärung zwei Junior-Level-Mitarbeiter für die Ausstellung der illegalen Briefe und das Senden der SWIFT-Nachrichten verantwortlich, die nicht im internen System aufgezeichnet wurden.
Was die Frage aufwirft, sind alle Banken, die SWIFT einsetzen, für diese Art von Betrug anfällig, oder handelt es sich bei dem PNB-Fall um ein außergewöhnliches Maß an Nachlässigkeit oder Absprache?
SCHNELL
Das von einem in Brüssel ansässigen Konsortium betriebene und von über 11.000 Finanzinstituten genutzte SWIFT-Netzwerk wurde bereits bei Banküberfällen eingesetzt.
Die russische Zentralbank gab kürzlich bekannt, dass Hacker im vergangenen Jahr über das SWIFT-Netzwerk 6 Millionen US-Dollar von einer der Banken des Landes gestohlen haben. Die Hacker übernahmen die Kontrolle über einen Computer in der Bank und überwiesen damit Geld auf ihre eigenen Konten. In ähnlicher Weise haben Hacker im Jahr 2016 von der Zentralbank Bangladeschs beeindruckende 81 Millionen US-Dollar eingespart, indem sie die SWIFT-Anmeldeinformationen ihrer Mitarbeiter verwendet haben. Eine ecuadorianische Bank sagte, sie habe bei einem Überfall von 2015, bei dem die Cyberkriminellen SWIFT-Codes verwendeten, 12 Millionen Dollar verloren.
SWIFT lehnte jegliche Verantwortung für solche Vorfälle ab. In einem Brief an die Bankkunden aus dem Jahr 2016 teilte die Gruppe mit, dass die Banken allein für die Sicherheit ihrer Systeme verantwortlich sind. "Die Kunden sind für alle Nachrichten verantwortlich, die mit ihren Zertifikaten signiert sind, und natürlich für den Schutz ihrer Zertifikate und dafür, dass nur ordnungsgemäß autorisierte Betreiber sie zum Signieren von Nachrichten verwenden können", sagte eine Sprecherin gegenüber Reuters, verantwortlich für Nachrichten, die in Kundenfirmen betrügerisch erstellt werden. “
Avivah Litan, Analystin und Expertin für Finanzbetrug bei Gartner, sagte in der Vergangenheit, es sei schockierend für sie, dass sich SWIFT so stark auf die Authentifizierung verlasse, anstatt auf „sehr grundlegende Kontrollen zur Aufdeckung von Betrug“ wie die Suche nach abnormalen Zahlungsempfängern, die Suche nach Remote-Kontoübernahmen und die Suche nach abnormaler Zugang.
Der Modi-Betrug unterscheidet sich jedoch stark von diesen Überfällen, da zwar täglich neue Details bekannt werden, die Bank jedoch keine angeblichen Hackerangriffe betreibt und der Schwerpunkt auf Insidern liegt. Eine Woche, seit der Betrug ans Licht kam, wurden sechs Mitarbeiter der Punjab National Bank von Ermittlern des Bundes festgenommen. Der höchste Rang unter ihnen ist ein Mann, der von 2009 bis 2011 die Brady House-Filiale der Bank leitete.
Als würde man einem Baby Süßigkeiten abnehmen
Die Bank erklärt, warum die Briefe jahrelang ohne Entdeckung abgegeben wurden, dass die Transaktionen nicht in ihrem internen System erfasst wurden, weil SWIFT nicht in dieses System integriert war.
„Solange das Kontrollumfeld nicht sehr locker war oder es keine Absprachen gab, wäre es schwierig, SWIFT-Transaktionen zu verarbeiten, die nicht autorisiert und in das Kernbankgeschäft aufgenommen wurden. Mehrere Kontrollen hätten eine Warnung auslösen sollen “, sagte Rakesh Asthana, CEO von World Informatix Cyber Security, dessen Unternehmen beauftragt wurde, die Ermittlung des Überfalls der Bangladesh Bank zu überwachen.
Zu diesen Kontrollen gehört die Aufgabentrennung - bei Banken, die SWIFT verwenden, gibt es normalerweise eine Person, die eine Transaktion eingibt, eine separate Person, die die Transaktion genehmigt, und eine dritte Person, die alle Transaktionen überprüft. Er sagte auch, dass PNB auch SWIFT Daily Validation Reports einrichten könnte, um jeden Morgen Summen und Transaktionen abzustimmen.
Vor allem aber ist das System einer Bank, das nicht wie bei PNB an SWIFT gekoppelt ist, laut Asthana in der globalen Finanzwelt sehr selten.
Es stellt sich auch die Frage, wie die Transaktionen an den Wirtschaftsprüfern der Bank vorbeigekommen sind.
"Letztendlich handelt es sich auch um ein Cashflow-Problem", sagte Asthana in einer E-Mail an Investopedia. „Daher ist mir nicht klar, was die internen und externen Prüfer getan haben, ob sie ihre Prüfungen gründlich durchgeführt haben. Wenn sie irgendwelche Prüfungsbeschwerden hätten und das Management nicht gehandelt hätte, würde dies eine viel größere Verschwörung in der Managementkette bedeuten. Dies erfordert eine umfassende Untersuchung, um festzustellen, wer wann was wusste. “
„Jede Geschäftstätigkeit der Bank wird nicht nur vom internen Revisionsteam der Bank geprüft, sondern auch von den gleichzeitigen Wirtschaftsprüfern, die eine einzelne Zweigstelle prüfen. Es ist schockierend, dass ein solcher Vorfall nicht nur von den Wirtschaftsprüfern, sondern auch von der leitenden Bank unbemerkt blieb Mitarbeiter “, sagte ein anonymer Bankier der Economic Times. „Audits untersuchen die zugelassenen Unternehmen, die finanzierten Rechnungen, die ausgestellten Akkreditive, die kurzfristigen Finanzierungsinstrumente usw.“
Der Research-Analyst Deepak Shenoy von Capital Mind sagte: „Auf den ersten Blick sieht es so aus, als würde der ehemalige Mitarbeiter als Sündenbock eingesetzt. Es ist wahrscheinlich, dass eine Menge Leute in dieser Sache waren. Und dass es in all den Jahren massive, fette Gebühren für PNB generiert hat. “
Der Vorfall hat auch die Aufmerksamkeit auf die verschiedenen früheren Betrugsfälle gelenkt, die bei PNB und anderen verstaatlichten Banken in Indien aufgetreten sind. Die von Reuters erhobenen Daten der Reserve Bank of India zeigen, dass staatliche Banken in den letzten fünf Geschäftsjahren bis zum 31. März 2017 8.670 Fälle von „Kreditbetrug“ in Höhe von 612, 6 Milliarden Rupien (9, 58 Milliarden USD) gemeldet haben. PNB führte diese Liste mit 389 Fällen an 65, 62 Milliarden Rupien (1, 03 Milliarden US-Dollar) in den letzten fünf Geschäftsjahren
Könnte SWIFT mehr tun?
SWIFT funktioniert wie ein komplexes Nachrichtensystem und übernimmt keine Verantwortung für die Art und Weise, in der die Kunden Betrugskontrollen durchführen.
"SWIFT kann einige der Schlüsselelemente verbindlich machen, anstatt es Kunden zu überlassen, die über ein unterschiedliches Maß an Kontrolle und Cybersicherheitswissen verfügen", sagte Asthana auf die Frage, ob das Netzwerk mehr tun könnte, um solche kostspieligen Vorfälle zu verhindern.
SWIFT hat die Notwendigkeit erkannt, zumindest in einigen Fällen der Whistleblower zu sein. Im April 2017 wurde das Customer Security Controls Framework eingeführt, das eine Reihe von obligatorischen und beratenden Sicherheitskontrollen für Kunden beschreibt. Die Banken wurden aufgefordert, ihre Einhaltung bis Ende letzten Jahres selbst zu bestätigen, und SWIFT warnte, dass es sich das Recht vorbehält, die Finanzaufsicht zu informieren, wenn dies nicht der Fall ist. In der Pressemitteilung, in der bekannt gegeben wird, dass 89 Prozent der Kunden ihre Einhaltung bestätigt haben, wird nicht erwähnt, ob die Finanzaufsichtsbehörden der verbleibenden 11 Prozent seit Jahresbeginn alarmiert wurden. Ab Januar 2019 wird das Recht erweitert, Benutzer zu melden, die die wichtigsten Sicherheitskontrollen nicht eingehalten haben.
Es ist wichtig zu wissen, dass SWIFT im Januar 2018 durchschnittlich 30, 32 Millionen Nachrichten pro Tag aufzeichnete und in 200 Ländern verwendet wird. Es ist eine Genossenschaft im Besitz der Mitglieder, und es wäre eine herkulische und teure Aufgabe, dafür zu sorgen, dass die Banken disziplinierter sind, was in der Verwaltung der einzelnen Banken, mit denen es wenig zu tun hat, im Wesentlichen verrottet ist zum.
Der Ruf von SWIFT erleidet nach jedem Cyber-Verbrechen einen Schlag, aber es gibt eine Menge Leute, die die Schuld am jüngsten PNB-Betrug tragen müssen. Die Untersuchung scheint gerade erst die Oberfläche einer nach Expertenmeinung weitaus größeren Verschwörung zerkratzt zu haben, und Fragen nach mangelnder Kontrolle werden letztendlich von der Punjab National Bank und der indischen Regierung beantwortet werden müssen. SWIFT stellte PNB weitere Tools zur Verfügung, um sich selbst zu schützen. Diese Tools wurden leider nicht verwendet.
Am Dienstag veröffentlichte die Reserve Bank of India eine Erklärung, in der sie die Banken gewarnt und gewarnt hatte, dass seit August 2016 mindestens dreimal eine "potenzielle böswillige Nutzung der SWIFT-Infrastruktur" verhindert werden muss. Sie hat die Banken nun zur Umsetzung der Vorschriften verpflichtet Maßnahmen vor einer festgelegten Frist. Die Zentralbank hat außerdem einen Ausschuss eingesetzt, der untersucht, "welche Gründe für die starke Abweichung bei der Einstufung und Rückstellung von Vermögenswerten von der aufsichtlichen Beurteilung der RBI durch die Banken bestehen und welche Maßnahmen zu ihrer Verhinderung erforderlich sind; Faktoren, die zu einer zunehmenden Inzidenz von führen." Betrugsfälle bei Banken und die Maßnahmen (einschließlich IT-Eingriffen), die zur Eindämmung und Vorbeugung erforderlich sind, sowie die Rolle und Wirksamkeit verschiedener Arten von Prüfungen, die in Banken durchgeführt werden, um die Häufigkeit solcher Abweichungen und Betrugsfälle zu verringern."
Investopedia wandte sich an SWIFT und erhielt die folgende Erklärung: „SWIFT äußert sich nicht zu einzelnen Kunden oder Unternehmen. Wenn uns ein möglicher Betrugsfall gemeldet wird, bieten wir dem betroffenen Benutzer unsere Unterstützung an, um seine Umgebung zu schützen. “Nach der Veröffentlichung wurde die Erklärung ergänzt:„ Um genau zu sein, es gibt keinen Hinweis darauf, dass das SWIFT-Netzwerk dies hat jemals kompromittiert worden."
