CCC-Mitglied über Cyber-Bankraub: „Das allermeiste wird vertuscht“
Volker Birk vom Chaos Computer Club erklärt, warum 45 Millionen Euro gestohlen werde konnten – und warum die Banken das in Kauf nehmen.
taz: Herr Birk, eine Gruppe von Hackern stahl weltweit 45 Millionen Dollar von Banken. Fast 2 Millionen davon in Deutschland. Wie haben die das gemacht?
Volker Birk: Das scheint eine konzertierte Aktion gewesen zu sein: die eine Gruppe manipulierte in den Bankcomputern die Limits, so dass man mehr Bargeld abheben konnte. Die zweite Gruppe klonte Debitkarten, man könnte auch „Prepaid-Kreditkarten“ sagen, so dass viele davon statt nur einer pro Konto zur Verfügung standen. Die dritte Gruppe verteilte sich und alle hoben auf telefonisches Signal hin gemeinsam gleichzeitig Geld ab.
Und das fällt nicht auf?
Die Täter nutzten aus, dass nicht alle Geldautomaten überall im Onlinekontakt mit den tatsächlichen kontenverwaltenden Rechnern stehen. Die Konten werden erst später ausgeglichen. Dann ist es aber zu spät.
Kann das jeder?
Wenn man keine Fehler macht, ist das Risiko gering. Die Ausbildung, die dafür nötig ist, ist keine besondere. Man muss verstehen, wie die Kreditkarten-Firmen und die Banken ticken, wie das System funktioniert.
ist Mitglied im Chaos Computer Club ERFA Ulm sowie im Chaostreff Winterthur, Schweiz.
Steckt da also eine ganze Szene hinter?
Bei Kreditkarten-Betrug kann man von einer ganzen schwarzen Branche sprechen, die professionell entsprechende „Dienstleistungen“ anbietet. Im vorliegenden Fall ist das jedoch etwas anders. Die Täter sind ja als Team organisiert und aufgetreten, wenn man den Erläuterungen der Ermittlungsbehörden Glauben schenken darf. Die Vorlaufzeit dürfte ein paar Monate betragen haben. Begonnen hat es wohl damit, dass sie bei einem indischen Zahlungsdienstleister die Möglichkeit gesehen haben, Kontobeschränkungen zu manipulieren. Kurz: das fällt in den Bereich der organisierten Kriminalität. Ein bisschen wie im Kino.
Wie oft kommen solche Attacken hierzulande vor?
Da kann man nur vorsichtig schätzen. Unter der Hand habe ich von Vorständen größerer Banken übereinstimmend gehört, dass der Schaden durch Online-Betrug für ihr jeweiliges Haus jedes Jahr im neunstelligen Bereich liegt. Das allermeiste davon wird diskret behandelt, sprich: vertuscht. Solange der Personalabbau durch Online- und Automatenbanking Milliarden einspart, kann man als Bank damit leben. Das ist zwar sehr lästig, aber eben „wirtschaftlich“.
Wie wappnen sich die Unternehmen gegen solche Angriffe?
Tja, Geld investieren in SmartCard-Technik, solange die alten Bankautomaten noch mit Magnetstreifen arbeiten. Da kann man als Karten-Unternehmen einiges tun. Aber andererseits, wenn ich mir so anschaue, was ich beruflich so in der Wirtschaft als Standard sehe – ohje. Und auch die Auswirkungen der Globalisierung sieht man an diesem Fall ganz schön.
Inwiefern?
Wenn alle Banken vernetzt sind, dann diktiert die Bank mit den niedrigsten Sicherheitsmaßnahmen den Standard. Wer clever ist, nutzt dann deren Zugänge und Automaten. Auch das Outsourcen an möglichst günstige Anbieter wird fragwürdig. Indische Unternehmen sollten ebenfalls so viel bezahlt bekommen, dass sie gute Sicherheitsstandards und eine ebenso gute Ausbildung gewährleisten können. Aber so etwas wie „absolute Sicherheit“ gibt es auch dann nicht. Und das Problem wird seit Jahren größer. Unternehmen, Polizei und Gauner liefern sich seit Jahren ein Katz-und-Maus-Spiel
Kann man da politisch etwas machen?
Die Politik muss endlich dafür sorgen, dass nicht die Konsumenten haften. Die Banken müssen für die Sicherheitsprobleme in ihren Systemen verantwortlich sein. Das hört sich zwar selbstverständlich an, allerdings ist das Gegenteil der Fall. Und die Situation wird schlechter: So versuchen die Kreditbanken mit dem sogenannten „SecureCode“, die Haftung wieder auf die Endkunden abzuwälzen. Entsprechend kritisch sehen die Verbraucherschutzverbände diese angeblichen „Sicherheitsmerkmale“.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Nach dem Anschlag in Magdeburg
Rechtsextreme instrumentalisieren Gedenken
Bundestagswahl am 23. Februar
An der Wählerschaft vorbei
Erderwärmung und Donald Trump
Kipppunkt für unseren Klimaschutz
Anschlag in Magdeburg
„Eine Schockstarre, die bis jetzt anhält“
EU-Gipfel zur Ukraine-Frage
Am Horizont droht Trump – und die EU ist leider planlos
Wirbel um KI von Apple
BBC kritisiert „Apple Intelligence“