«Einen solchen Angriff habe ich noch nie gesehen», sagt Ralf Müller*, ein an den Ermittlungen beteiligter IT-­Sicherheitsexperte. Das Netzwerk hinter Dyre steche in Bezug auf Grösse und Professionalität heraus.

Trojaner – Programme, die Aktivitäten ausführen, ohne dass der Benutzer etwas davon merkt –, die das Online-Banking angreifen, gibt es zahllose. Neu ist, dass die schädliche Software mittels täuschend echter E-Mails von Geschäftspartnern in die Online-Adressbücher von Firmen eingeschleust und von dort verbreitet wurde. Opfer wurden auf gefälschte Onlinebanking-Seiten gelockt und zum Anrufen auf eine Hotline bewogen. Dort mussten sie etwa ihre Passwörter angeben. Taten sie dies, zogen die Angreifer sofort Geld vom Konto ab – oft auf Nimmerwiedersehen, weg ins Ausland.

Opfer wurden um Millionen betrogen

Mithilfe des Trojaners Dyre wurden Dutzende von Schweizer Firmen ausgeraubt. Von einer «Schadenssumme mindestens im einstelligen Millionenbereich» geht die schweizerische Koordinationsstelle zur Bekämpfung der Internetkrimi­nalität (Kobik) aus. Der tatsächliche Schaden dürfte weit höher sein: Ralf Müller allein weiss von 20 Geschädigten, die teilweise um Millionenbeträge erleichtert wurden.

Doch Dyre schlummert weiter auf Tausenden von Rechnern. Laut der Melde- und Analysestelle Informa­tionssicherung des Bundes (Melani) infizierte der Trojaner über Wochen täglich mehrere hundert Computer: ein Angriff seltenen Ausmasses. Wie viele Firmen insgesamt betroffen sind, kann die Behörde nicht sagen.

Gemäss dem dänischen IT-Sicherheitsanbieter CSIS waren die UBS, die Bank Coop, Raiffeisen, Valiant und die Zuger Kantonalbank im Visier der Angreifer. Bei der Bank Coop, Raiffeisen und der Zuger Kantonalbank sollen keine Kunden zu Schaden gekommen sein. Die UBS wollte dazu auf Anfrage keine Stellung nehmen, da «wir generell keine ­sicherheitsrelevanten Fragen beantworten». Ein Sprecher weist darauf hin, dass die UBS Onlinebanking-Kunden «umfassend über die Gefahren rund um die Sicherheit im Internet» informiert. Beispielsweise würde ein Passwort niemals an ­einer Hotline oder per E-Mail verlangt. «E-Banking ist sicher, solange Kunden die Sicherheitsmassnahmen einhalten.»

«Online-Banking ist nicht sicher»

«Die Bankentipps sind zwar gut, bieten aber keinen absoluten Schutz», sagt Candid Wüest von Symantec, einem Sicherheitssoftware-Anbieter. So schützt etwa eine aktuelle Virensoftware nicht komplett vor Trojanern.

Ralf Müllers Fazit ist eindeutig: «Der Dyre-Angriff ist ein Super-GAU für die Banken. Es zeigt sich: Onlinebanking ist nicht sicher!» Er selber zahlt, wo immer möglich, mit der Internetwährung Bitcoin.

*Name geändert