piwik no script img

CCC-Mitglied über Cyber-Bankraub„Das allermeiste wird vertuscht“

Volker Birk vom Chaos Computer Club erklärt, warum 45 Millionen Euro gestohlen werde konnten – und warum die Banken das in Kauf nehmen.

Bei Anruf Abhebung: Der Bankraub war vermutlich eine konzertierte Aktion. Bild: ap
Interview von Christian Fleige

taz: Herr Birk, eine Gruppe von Hackern stahl weltweit 45 Millionen Dollar von Banken. Fast 2 Millionen davon in Deutschland. Wie haben die das gemacht?

Volker Birk: Das scheint eine konzertierte Aktion gewesen zu sein: die eine Gruppe manipulierte in den Bankcomputern die Limits, so dass man mehr Bargeld abheben konnte. Die zweite Gruppe klonte Debitkarten, man könnte auch „Prepaid-Kreditkarten“ sagen, so dass viele davon statt nur einer pro Konto zur Verfügung standen. Die dritte Gruppe verteilte sich und alle hoben auf telefonisches Signal hin gemeinsam gleichzeitig Geld ab.

Und das fällt nicht auf?

Die Täter nutzten aus, dass nicht alle Geldautomaten überall im Onlinekontakt mit den tatsächlichen kontenverwaltenden Rechnern stehen. Die Konten werden erst später ausgeglichen. Dann ist es aber zu spät.

Kann das jeder?

Wenn man keine Fehler macht, ist das Risiko gering. Die Ausbildung, die dafür nötig ist, ist keine besondere. Man muss verstehen, wie die Kreditkarten-Firmen und die Banken ticken, wie das System funktioniert.

Volker Birk

ist Mitglied im Chaos Computer Club ERFA Ulm sowie im Chaostreff Winterthur, Schweiz.

Steckt da also eine ganze Szene hinter?

Bei Kreditkarten-Betrug kann man von einer ganzen schwarzen Branche sprechen, die professionell entsprechende „Dienstleistungen“ anbietet. Im vorliegenden Fall ist das jedoch etwas anders. Die Täter sind ja als Team organisiert und aufgetreten, wenn man den Erläuterungen der Ermittlungsbehörden Glauben schenken darf. Die Vorlaufzeit dürfte ein paar Monate betragen haben. Begonnen hat es wohl damit, dass sie bei einem indischen Zahlungsdienstleister die Möglichkeit gesehen haben, Kontobeschränkungen zu manipulieren. Kurz: das fällt in den Bereich der organisierten Kriminalität. Ein bisschen wie im Kino.

Wie oft kommen solche Attacken hierzulande vor?

Da kann man nur vorsichtig schätzen. Unter der Hand habe ich von Vorständen größerer Banken übereinstimmend gehört, dass der Schaden durch Online-Betrug für ihr jeweiliges Haus jedes Jahr im neunstelligen Bereich liegt. Das allermeiste davon wird diskret behandelt, sprich: vertuscht. Solange der Personalabbau durch Online- und Automatenbanking Milliarden einspart, kann man als Bank damit leben. Das ist zwar sehr lästig, aber eben „wirtschaftlich“.

Wie wappnen sich die Unternehmen gegen solche Angriffe?

Tja, Geld investieren in SmartCard-Technik, solange die alten Bankautomaten noch mit Magnetstreifen arbeiten. Da kann man als Karten-Unternehmen einiges tun. Aber andererseits, wenn ich mir so anschaue, was ich beruflich so in der Wirtschaft als Standard sehe – ohje. Und auch die Auswirkungen der Globalisierung sieht man an diesem Fall ganz schön.

Inwiefern?

Wenn alle Banken vernetzt sind, dann diktiert die Bank mit den niedrigsten Sicherheitsmaßnahmen den Standard. Wer clever ist, nutzt dann deren Zugänge und Automaten. Auch das Outsourcen an möglichst günstige Anbieter wird fragwürdig. Indische Unternehmen sollten ebenfalls so viel bezahlt bekommen, dass sie gute Sicherheitsstandards und eine ebenso gute Ausbildung gewährleisten können. Aber so etwas wie „absolute Sicherheit“ gibt es auch dann nicht. Und das Problem wird seit Jahren größer. Unternehmen, Polizei und Gauner liefern sich seit Jahren ein Katz-und-Maus-Spiel

Kann man da politisch etwas machen?

Die Politik muss endlich dafür sorgen, dass nicht die Konsumenten haften. Die Banken müssen für die Sicherheitsprobleme in ihren Systemen verantwortlich sein. Das hört sich zwar selbstverständlich an, allerdings ist das Gegenteil der Fall. Und die Situation wird schlechter: So versuchen die Kreditbanken mit dem sogenannten „SecureCode“, die Haftung wieder auf die Endkunden abzuwälzen. Entsprechend kritisch sehen die Verbraucherschutzverbände diese angeblichen „Sicherheitsmerkmale“.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

4 Kommentare

 / 
  • M
    Mecko

    Verluste pro Jahr und Bankhaus im neunstelligen Bereich? Ehrlich? Das ist ein Fehler, oder?!

  • S
    Supi

    Zumindest nicht in der taz, das muss man ihr lassen.

  • U
    upfel

    na supi,

     

    zumindest dein letztes Beispiel ist recht gebräuchlich, meinste nicht?

  • S
    Supi

    Und auch hier nochmal:

     

    Es ist kein BankRAUB. Mit "Raub" hat das nichts, aber auch gar nichts zu tun.

     

    Hier geht es um Diebstahl oder Betrug. Raub ist ein Verbrechen, Diebstahl und Betrug sind "nur" Vergehen. Die Verbrechensdimension kommt in diesem Fall nur ins Spiel, weil die Tat bandenmäßig begangen wurde.

     

    Dieser Zwang Straftaten aufzujazzen wie bei den "Raubkopien" und "Software-Piraterie". Warum deklariert man Pfandsammler nicht als "Flaschen-Geiselnehmer"? Schwarzfahrer nicht als "U-Bahn-Entführer"? Kiffer nicht als "Heroinjunkies im Anfangsstadium"?