Die Meldung ist durchaus geeignet, Verbraucherinnen und Verbrauchern einen Schreck einzujagen. Das Bundesamt für Finanzdienstleistungsaufsicht (BaFin) warnt vor einer Schadsoftware mit dem Namen Godfather, die "insgesamt rund 400 Banking- und Krypto-Apps" angreife, darunter auch solche von Betreibern aus Deutschland.

Bekannt sei, dass Godfather gefälschte Websites von regulären Banking- und Krypto-Apps anzeige. Wer sich auf diesen Fake-Seiten einloggt, sendet demnach seine Daten nicht etwa an die Bank des Vertrauens, sondern an Cyber-Kriminelle, die damit schlimmstenfalls Konto- oder Kryptoguthaben abräumen können. Um vollen Zugriff zu bekommen, verschickt die Schadsoftware dem Bericht zufolge "zudem Push-Benachrichtigungen, um an die Codes für die Zwei-Faktor-Authentifizierung zu gelangen".

Mit diesen beunruhigenden Informationen lässt die BaFin die Öffentlichkeit dann allein. Kein konkreter Hinweis, wie man "Godfather" entkommen könnte und ob es bereits Opfer gibt. Wie es die Schadsoftware überhaupt auf Handys schafft, wisse man nicht, heißt es in der Mitteilung.

Experte zur Verbreitung gefährlicher Handy-Trojaner: Eher unwahrscheinlich

Dabei sind Smartphones gar nicht so leicht zu hacken, wie Sebastian Schreiber, Gründer der Tübinger Sicherheitsfirma Syss erklärt. Schreiber zufolge müssten Angreifer gleich mehrere Hürden überwinden. Der Trojaner müsste, getarnt als App, erst einmal in den Playstore von Google (die Warnung betrifft nur Android-Geräte, keine iPhones von Apple) eingeschleust werden und dabei die dortigen Sicherheitschecks überwinden. Dann müssten User dazu gebracht werden, sich diese schadhaften Apps aufs Handy zu laden. Und zuletzt müssten die Nutzerinnen und Nutzer der neuen App auch noch ungewöhnlich viele Berechtigungen einräumen. So wie es der Hacking-Experte beschreibt, ist es eher unwahrscheinlich, dass sich ein Trojaner auf diese Art großflächig verbreitet. Ausschließen lässt es sich aber auch nicht.

BaFin und BSI verweisen gegenseitig aufeinander

BR24 fragt bei der BaFin nach, um mehr zu erfahren und einschätzen zu können, wie groß die Bedrohung wirklich ist. Die Pressestelle liefert jedoch keine klaren Antworten. Nach mehreren E-Mails und Telefonaten stellt sich heraus, dass die Bankenaufsichtsbehörde und ihre eigenen Experten die Meldung gar nicht so genau erklären können, weil sie die Trojaner-Warnung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) übernommen haben, und zwar ohne diese Informationen zu überprüfen.

Der BaFin-Sprecher verweist auf die hier verlinkte BSI-Mitteilung, wo sich unter Punkt 4 mehr oder weniger wortgleich dieselbe Warnung wie auf der BaFin-Seite findet. Woher aber hat das BSI seine Informationen? Eine Nachfrage ergibt folgende schriftliche Antwort:

"Bitte wenden Sie sich diesbezüglich an die Bundesanstalt für Finanzdienstleistungsaufsicht, die die Meldung veröffentlicht hat." E-Mail-Antwort des BSI

Eine Nachfrage, ob denn die Expertise für dieses Thema nicht eigentlich auch beim BSI liege, bleibt unbeantwortet. Der Eindruck: Die beiden obersten Sicherheitsbehörden versuchen sich irgendwie gegenseitig die Verantwortung für diese Warnmeldung zuzuschieben.

Alle haben offenbar nur abgeschrieben

Doch die Meldung stammt offenbar ursprünglich weder von der BaFin noch vom BSI. Das BSI hat wohl einen Artikel des Techportal t3n übernommen - wie ein Vergleich zeigt. Der Link zu diesem journalistischen Beitrag wird in der BSI-Meldung sogar genannt. Bei t3n erfährt man dann immerhin ein paar zusätzliche Details. So solle Godfather die Nachfolgeversion eines älteren Banking-Trojaners mit dem Namen Anubis sein. Außerdem werden russische Hacker verdächtigt, die neue Schadsoftware in Umlauf gebracht zu haben. Doch woher hat t3n seine Informationen?

Einzige Quelle ist wohl eine Sicherheitsfirma in Singapur

Im t3n-Artikel wird auf eine Meldung von Group IB hingewiesen, die ihren Sitz in Singapur hat. Die Firma hat sich nach eigenen Angaben darauf spezialisiert, besonders anspruchsvolle Cyberstraftaten zu verhindern. Group IB hatte nun kurz vor Weihnachten, am 21.12., eine Meldung veröffentlicht. Dort wurde unter dem reißerischen Titel "Eine Software, die man nicht abwehren kann", die neue Variante des Smartphone-Trojaners Godfather beschrieben. Zufall, oder Kalkül? Es war ein günstiger Zeitpunkt, um eine alarmierende Meldung, die sich nur mit größerem Aufwand nachprüfen lässt, in Umlauf zu bringen. Wobei zu den Produkten des Unternehmens unter anderem Sicherheitspakete zählen, mit denen Apps geschützt werden sollen.

Am Ende taucht Russland auf

Nun gehört Klappern bei IT-Sicherheitsfirmen durchaus zum Geschäft. Es ist üblich, dass diese Unternehmen – gestützt auf eigene Untersuchungen – Warnungen vor Cybergefahren veröffentlichen, vor denen diese Firmen dann mit ihrer eigenen Software schützen wollen. Bei der Group IB sollte man aber auch noch wissen, dass es sich um ein russisches Cybersicherheitsunternehmen handelt. Wie eng die Beziehungen nach Moskau sind, ist schwer zu klären. Dass der russische Gründer dieser Firma vor ein paar Monaten in Moskau angeblich wegen Hochverrats festgenommen wurde, macht die Sache dabei noch verwirrender.

Fazit:

Das BSI hat also offenbar die Informationen, die von einer russischen Firma aus Singapur stammen, aufgegriffen und - so, wie es aussieht - mehr oder weniger ungeprüft weitergereicht. Und das, während die Sicherheitsbehörde ja noch immer unter der Abberufung ihres einstigen Chefs, Arne Schönbohm wegen ungeklärter russischer Kontakte, leidet. Das BSI hat momentan keinen Präsidenten. Und eine zweite oberste Aufsichtsbehörde, die BaFin, hat diese Meldung erneut veröffentlicht, um die Bevölkerung zu warnen, vor etwas, das sie allem Anschein nach genauso wenig vorher untersucht hat.

Schön wäre, wenn die Behörden nun schnell nacharbeiten würden, um uns Usern zu erklären, was wirklich dran ist am Trojaner Godfather.