CCC-Mitglied über Cyber-Bankraub: „Das allermeiste wird vertuscht“

taz: Herr Birk, eine Gruppe von Hackern stahl weltweit 45 Millionen Dollar von Banken. Fast 2 Millionen davon in Deutschland. Wie haben die das gemacht?

Volker Birk: Das scheint eine konzertierte Aktion gewesen zu sein: die eine Gruppe manipulierte in den Bankcomputern die Limits, so dass man mehr Bargeld abheben konnte. Die zweite Gruppe klonte Debitkarten, man könnte auch „Prepaid-Kreditkarten“ sagen, so dass viele davon statt nur einer pro Konto zur Verfügung standen. Die dritte Gruppe verteilte sich und alle hoben auf telefonisches Signal hin gemeinsam gleichzeitig Geld ab.

Und das fällt nicht auf?

Die Täter nutzten aus, dass nicht alle Geldautomaten überall im Onlinekontakt mit den tatsächlichen kontenverwaltenden Rechnern stehen. Die Konten werden erst später ausgeglichen. Dann ist es aber zu spät.

Kann das jeder?

Wenn man keine Fehler macht, ist das Risiko gering. Die Ausbildung, die dafür nötig ist, ist keine besondere. Man muss verstehen, wie die Kreditkarten-Firmen und die Banken ticken, wie das System funktioniert.

Steckt da also eine ganze Szene hinter?

Bei Kreditkarten-Betrug kann man von einer ganzen schwarzen Branche sprechen, die professionell entsprechende „Dienstleistungen“ anbietet. Im vorliegenden Fall ist das jedoch etwas anders. Die Täter sind ja als Team organisiert und aufgetreten, wenn man den Erläuterungen der Ermittlungsbehörden Glauben schenken darf. Die Vorlaufzeit dürfte ein paar Monate betragen haben. Begonnen hat es wohl damit, dass sie bei einem indischen Zahlungsdienstleister die Möglichkeit gesehen haben, Kontobeschränkungen zu manipulieren. Kurz: das fällt in den Bereich der organisierten Kriminalität. Ein bisschen wie im Kino.

Wie oft kommen solche Attacken hierzulande vor?

Da kann man nur vorsichtig schätzen. Unter der Hand habe ich von Vorständen größerer Banken übereinstimmend gehört, dass der Schaden durch Online-Betrug für ihr jeweiliges Haus jedes Jahr im neunstelligen Bereich liegt. Das allermeiste davon wird diskret behandelt, sprich: vertuscht. Solange der Personalabbau durch Online- und Automatenbanking Milliarden einspart, kann man als Bank damit leben. Das ist zwar sehr lästig, aber eben „wirtschaftlich“.

Wie wappnen sich die Unternehmen gegen solche Angriffe?

Tja, Geld investieren in SmartCard-Technik, solange die alten Bankautomaten noch mit Magnetstreifen arbeiten. Da kann man als Karten-Unternehmen einiges tun. Aber andererseits, wenn ich mir so anschaue, was ich beruflich so in der Wirtschaft als Standard sehe – ohje. Und auch die Auswirkungen der Globalisierung sieht man an diesem Fall ganz schön.

Inwiefern?

Wenn alle Banken vernetzt sind, dann diktiert die Bank mit den niedrigsten Sicherheitsmaßnahmen den Standard. Wer clever ist, nutzt dann deren Zugänge und Automaten. Auch das Outsourcen an möglichst günstige Anbieter wird fragwürdig. Indische Unternehmen sollten ebenfalls so viel bezahlt bekommen, dass sie gute Sicherheitsstandards und eine ebenso gute Ausbildung gewährleisten können. Aber so etwas wie „absolute Sicherheit“ gibt es auch dann nicht. Und das Problem wird seit Jahren größer. Unternehmen, Polizei und Gauner liefern sich seit Jahren ein Katz-und-Maus-Spiel

Kann man da politisch etwas machen?

Die Politik muss endlich dafür sorgen, dass nicht die Konsumenten haften. Die Banken müssen für die Sicherheitsprobleme in ihren Systemen verantwortlich sein. Das hört sich zwar selbstverständlich an, allerdings ist das Gegenteil der Fall. Und die Situation wird schlechter: So versuchen die Kreditbanken mit dem sogenannten „SecureCode“, die Haftung wieder auf die Endkunden abzuwälzen. Entsprechend kritisch sehen die Verbraucherschutzverbände diese angeblichen „Sicherheitsmerkmale“.