Cyberdiebstahl bei der Bangladesh Bank

Am 4./5. Februar 2016 wurde die Bangladesh Bank, die Zentralbank Bangladeschs, Opfer eines groß angelegten Cyberdiebstahls. Dabei entstand der Bank ein Schaden in Höhe von 81 Millionen US$.

Cyberkriminelle hatten sich über eine im Januar 2015 an mehrere Bankangestellte gesandte infizierte E-Mail im Computersystem der Bangladesh Bank (BB) festgesetzt. Über Monate hinweg hatten sie die internen Prozeduren der BB genau ausgespäht und analysiert und Berechtigungsnachweise von Mitarbeitern gestohlen. Dadurch wurde es ihnen möglich, Geldtransfers unter vorgegebener Identität zu initiieren. Der ganze Plan war auf den Diebstahl von bis zu einer Milliarde US$ vom BB-Konto bei der Federal Reserve Bank (Fed) in New York City angelegt.

Die durch die Cyberkriminellen initiierten Banküberweisungen begannen am Donnerstag, den 4. Februar 2016 gegen 20:36 Uhr Ortszeit (Bangladesch). Die Empfänger waren zum einen verschiedene private Konten bei der Rizal Commercial Banking Corporation (RCBC) auf den Philippinen und zum anderen bei der Pan Asia Banking Corporation (PABC) in Sri Lanka. Insgesamt sollten 35 Überweisungen in einer Gesamtsumme von 951 Millionen US$ getätigt werden. Die Cyber-Kriminellen hatten die Kommunikationsinfrastruktur der Bangladesh Bank so manipuliert, dass SWIFT-Geldtransfers nicht mehr wie sonst üblich automatisch ausgedruckt wurden. Die Angestellten glaubten zunächst an eine normale technische Störung, wie sie früher auch schon aufgetreten war. Der Zeitpunkt des Cyberangriffs war genau gewählt worden: der folgende Freitag, der 5., und Samstag, der 6. Februar 2016 waren in Bangladesch Bankfeiertage. Im Verlauf des Wochenendes wurde der nicht funktionierende Drucker neu gestartet und druckte die Belege für die Geldtransfers aus. Nachdem klar wurde, dass ein Diebstahl stattfand, versuchte die Bangladesh Bank, die Geldtransfers bei der Fed zu stoppen, was sich jedoch umständlich gestaltete, da Samstag, der 6. und Sonntag, der 7. Februar 2016 in den Vereinigten Staaten Bankfeiertage waren. Auch auf den Philippinen konnte der weitere Geldabfluss nicht aufgehalten werden, da Montag, der 8. Februar 2016 Mond-Neujahr, ein örtlicher Feiertag war und die philippinische Bank eine entsprechende gerichtliche Anordnung forderte, die so schnell nicht zu erhalten war.^[1][2]

Die Bank hatte jedoch Glück im Unglück: Durch die Zahl der Geldtransfers in kürzester Zeit auf private Konten wurden die zuständigen Stellen bei der Fed misstrauisch und stellten Anfragen an die BB zu einzelnen Zahlungen. Außerdem unterlief den Cyber-Bankräubern ein folgenschwerer Fehler. Zahlungsempfänger in Sri Lanka sollte die Shalika Foundation sein, eine vermeintliche Nicht-Regierungsorganisation, die den Dieben zur Geldwäsche dienen sollte. Bei dem Geldtransfer vertippten sich die Diebe, und aus Foundation wurde Fandation (nach anderer Quelle: Fundation). Die mit Organisation des Geldtransfers (routing) befasste Deutsche Bank stellte daraufhin eine offizielle Rückfrage an die Bangladesh Bank, die unbeantwortet blieb. Dadurch kam der Geldtransfer nach Sri Lanka nicht vollständig zustande und nach Sri Lanka erfolgten keine weiteren Geldtransfers.^[3] Die Bank auf den Philippinen hatte als Anschrift die Jupiter Street in Manila. In einer der Transfers erwähnten die Cyberkriminellen die Anschrift, was zur Folge hatte, dass die Überweisungen auf die Philippinen durch das Sicherheitssystem der Fed automatisch gestoppt wurden, da Jupiter der Name einer von den USA sanktionierten iranischen Firma war.^[2][4]

Insgesamt waren 81 Millionen US$ zur RCBC auf die Philippinen und 20 Millionen US$ zur PABC nach Sri Lanka transferiert worden. Die 20 Millionen US$ in Sri Lanka konnten sichergestellt werden und wurden wieder an die Fed rücküberwiesen.^[5] Das in die Philippinen überwiesene Geld wurde weiter in Spielcasinos transferiert und verschwand dann in dunklen Kanälen. Die fünf primären Konten bei der philippinischen RCBC, auf die das Geld zunächst transferiert worden war, waren im Mai des Vorjahrens unter falschen Identitäten eingerichtet worden.^[1]

Die Bank hielt die Ereignisse zunächst vor der Öffentlichkeit geheim und informierte auch nicht die bangladeschische Regierung. Sie versuchte, die in den Philippinen verschwundenen 81 Millionen US$ wieder sicherzustellen und stellte eine offizielle Hilfsanfrage bei der philippinischen Zentralbank Bangko Sentral ng Pilipinas. Am 14. Februar 2016 flog ein Team der Bangladesh Bank auf die Philippinen.^[5] Bisher konnte der Verbleib der dorthin überwiesenen Summe nicht geklärt werden.

Am 7. März 2016 wurde der Skandal schließlich der Weltöffentlichkeit bekannt. Die bangladeschische Regierung beschuldigte zunächst die Fed in New York, nicht adäquat reagiert zu haben und drohte damit, diese vor dem Internationalen Gerichtshof zu verklagen.^[6] Die Fed reagierte in einer offiziellen Stellungnahme, dass es keine Evidenz für ein Verschulden auf ihrer Seite gäbe und dass die Transaktionen vollständig entsprechend dem SWIFT-Protokoll erfolgt und autorisiert gewesen seien.^[7]

Als primäre Geldempfänger auf den Philippinen wurden vier philippinische und zwei chinesische Geschäftsleute benannt, die die Geldwäsche auf den Philippinen organisiert haben sollen.^[8] Hinter dem Cyberdiebstahl wurde die Lazarus-Gruppe, eine von Nordkorea gesteuerte Hackergruppe vermutet.^[2]

Infolge des Skandals erklärte der Direktor, Atiur Rahman, am 15. März 2016 seinen Rücktritt.^[9] Zwei stellvertretende Direktoren wurden noch am selben Tag entlassen. Rahmans Nachfolger wurde der Finanzbeamte Fazle Kabir. Am 16. März 2016 setzte die Regierung unter Premierministerin Scheich Hasina eine Kommission zur Untersuchung der Vorfälle ein.^[10]

1. ↑ ^{a b} Rejaul Karim Byron, Md Fazlur Rahman: Hackers bugged Bangladesh Bank system in Jan. Asia News Network/The Daily Star, 11. März 2016, archiviert vom Original (nicht mehr online verfügbar) am 25. Juli 2016; abgerufen am 16. Mai 2020 (englisch). 
2. ↑ ^{a b c} Geoff White, Jean H Lee: The Lazarus heist: How North Korea almost pulled off a billion-dollar hack. In: BBC News. 21. Juni 2021, abgerufen am 24. September 2025 (englisch). 
3. ↑ Spelling mistake prevented hackers taking $1bn in bank heist. The Guardian, 10. März 2016, abgerufen am 15. März 2016 (englisch). 
4. ↑ Sanctions List Search. Office of Foreign Assets Control (OFAC), abgerufen am 26. September 2025 (englisch). 
5. ↑ ^{a b} Case filed over Bangladesh Bank’s $101m fund heist. Dhaka Tribune, 16. März 2016, archiviert vom Original am 19. März 2016; abgerufen am 16. März 2016 (englisch). 
6. ↑ Asif Showkat Kollol: Bangladesh to sue US Federal Reserve. Dhaka Tribune, 7. März 2016, archiviert vom Original am 15. März 2016; abgerufen am 16. März 2016 (englisch). 
7. ↑ Statement on Media Reports About Bangladesh. Federal Reserve Bank of New York, 9. März 2016, abgerufen am 16. März 2016 (englisch). 
8. ↑ Trader tagged in $81 million BB heist flees Philippines. Dhaka Tribune, 15. März 2016, archiviert vom Original am 19. März 2016; abgerufen am 7. März 2016 (englisch). 
9. ↑ Bangladesh bank boss Atiur Rahman quits over $100m cyber-fraud. BBC News, 15. März 2016, abgerufen am 15. März 2016 (englisch). 
10. ↑ Asif Showkat Kallol: Committee to analyse why BB authorities hid the cyber-heist. Dhaka Tribune, 15. März 2016, archiviert vom Original am 18. März 2016; abgerufen am 16. März 2016 (englisch).