Cyber-Bankräuber:Mit Code statt Knarre

Cyber-Bankräuber: Den perfekten Bankraub gibt es nur noch in Hollywood, wie im Klassiker "The Thomas Crown Affair" von 1968. In der Realität spielen Kriminelle und Polizei ein Katz- und Mausspiel.

Den perfekten Bankraub gibt es nur noch in Hollywood, wie im Klassiker "The Thomas Crown Affair" von 1968. In der Realität spielen Kriminelle und Polizei ein Katz- und Mausspiel.

(Foto: ARD/Degeto)

Bis zu einer Milliarde Dollar Schaden: Moderne Bankräuber erbeuten mehr Geld als je zuvor. Die Sicherheitssysteme werden zwar immer raffinierter. Aber die technisch versierten Gangster sind schneller.

Von Harald Freiberger und Lea Hampel

Etwas ist passiert, aber sie weiß nicht genau, was. Vor gut einem Jahr wurde die Berliner Drehbuchautorin Silke Steiner, 37, zweimal Opfer eines Bankraubs - eines digitalen. Die Täter hoben kurz nacheinander an einem Bankautomaten in der Raumerstraße im Prenzlauer Berg jeweils den Limit-Betrag von 1000 Euro ab, immer zwischen vier und fünf Uhr morgens. Die EC-Karte hatte Steiner aber nicht verloren. "Die Bank sagte mir, das kann nicht sein, seit einiger Zeit seien Karten mit einem Sicherheitschip ausgerüstet, es gebe keinen Betrug mit kopierten Karten mehr", erzählt sie. Vielleicht habe ihr Mann ja das Geld abgehoben.

Komischerweise erfuhr Silke Steiner zur selben Zeit, dass einer Nachbarin das Gleiche passiert war: Am selben Automaten, viermal das Limit von 2000 Euro, immer zwischen vier und fünf Uhr. "Das kann doch kein Zufall sein, irgendetwas musste mit dem Geldautomaten nicht stimmen", sagt sie.

Banküberfälle laufen heute anders

Die Nachbarin, Kundin der Berliner Sparkasse, die auch den Geldautomaten betreibt, hat ihren Schaden inzwischen ersetzt bekommen. Silke Steiner aber ist Kundin der Deutschen Bank und läuft ihrem Geld immer noch hinterher. Bei der Polizei hieß es, es gebe keinen Hinweis auf ein Verschulden der Bank - der Automat aber ist inzwischen abgebaut.

Das ist der Unterschied zwischen einem modernen Banküberfall und einem traditionellen: Man weiß heute nicht mehr, was passiert ist. Verzweifelt, naiv und brutal - so sind die fiktiven Bankräuber vom Kinderbuch über den "Tatort" bis zum Blockbuster. Und doch haftet den Namen Jesse James, Bonnie und Clyde oder John Dillinger immer noch eine gewisse Faszination an, ein Hauch von Freiheit und wildem Leben. Ganz gleich, wie fies sie waren, sie stoßen erstaunlich oft auf eine Sympathie, die anderen Gesetzesbrechern verwehrt bleibt. Bezeichnenderweise sind ihre Geschichten aber oft auch Jahrzehnte alt. Traditionelle Banküberfälle sind selten geworden.

Erst Anfang der Woche wurde der bisher wohl größte Cyber-Coup bekannt: Eine Bande erbeutete bis zu einer Milliarde Dollar bei mehr als 100 Finanzinstituten weltweit. Die Täter hackten deren Systeme und brachten Geldautomaten dazu, auf Befehl Geld auszuspucken. Und sie wiesen fremde Konten an, hohe Summen auf sich zu überweisen. Den Fall machte das russische Sicherheitsunternehmen Kaspersky öffentlich.

Es ist also nicht so, dass es keine Räuber mehr gibt, im Gegenteil: "Überall, wo Geld gelagert ist, gibt es Leute, die auf nicht legale Weise rankommen wollen", sagt Mario Hoffmeister, Sprecher der Automatenfirma Gauselmann. Doch nur noch selten spielen dabei Strumpfmasken und Waffen eine Rolle - Maus, Computer und Schadcodes sind die Werkzeuge der Wahl. Das jüngste Beispiel ist da nur eines von vielen; schon 2006 erbeutete ein Hacker 86 Millionen Dollar. 2013 ergaunerten Kreditkartenfälscher von arabischen Banken mehr als 45 Millionen Dollar, unter anderem, indem sie innerhalb von zehn Stunden an fast 3000 Automaten Geld abhoben.

Auch Handys werden zum Ziel der Cyber-Räuber

Der Boom des digitalen Bankraubs hat mehrere Gründe: Einerseits ist es weniger schwer, an die Software zum Knacken der Systeme zu kommen. Andererseits wird der Bankverkehr zunehmend dort abgewickelt, wo mit technischem Know-how so gut wie alles geht: im Internet.

Fast jede zweite Phishing-Attacke ist auf die Bankdaten der Kunden ausgerichtet. Zudem nutzen wir immer mehr Geräte zum Bezahlen. Neuerdings sind so auch Handys Ziel der Cyber-Räuber: "Dann wird direkt auf dem Smartphone schadhafte Software installiert - indem eine Kopie für Apps wie den Google Play Store kreiert und der Nutzer aufgefordert wird, seine Bankdaten zu aktualisieren", erklärt Christian Funk von Kaspersky.

Für 1000 Dollar pro Tag kann man sich von einem Spezialisten beraten lassen

Zudem gehen die Kriminellen heute sehr professionell vor: "Klar gibt es immer noch E-Mails mit den obligatorischen Rechtschreibfehlern, mit denen Kriminelle versuchen, auf den Rechner einzelner Menschen zu gelangen", sagt Funk. "Aber die Zahl der guten Tricks steigt." Längst verschicken Hacker beispielsweise gefälschte Mahnungen mit persönlichen Daten des Angeschriebenen.

Zugleich zeichnet sich ein neuer Trend ab: Während bisher Betrug mit Phishing oder mTans im Online-Banking für Furore sorgte, nehmen sich Kriminelle inzwischen oft gleich die Bank vor: "Wenn man den Endnutzer angreift, kommt zwar auch viel Geld zusammen", sagt Funk. "Aber es ist mehr Aufwand nötig."

Bei der Bank locke der größere Profit. "Man kann für 1000 Dollar pro Tag einen Spezialisten kaufen, der Rundum-Beratung bietet, wie sich eine Bank online angreifen lässt", sagt Henrik Becker, Leiter der Betrugserkennung beim Datenanalyse-Spezialisten SAS. Die Szene sei gut vernetzt und sehr professionell. So kombinierten Banden immer öfter verschiedene Techniken, die genau auf individuelle Szenarien abgestimmt sind.

Auch der aktuelle Fall zeigte eine Präzision, die an die Planung im Hollywoodfilm "Ocean's Eleven" erinnert: Die Firmencomputer wurden über Videomitschnitte ausspioniert. So fanden die Täter heraus, wie sie einen Mitarbeiter am besten ansprechen. Experte Becker spricht von "perfekter Arbeitsteilung": Einer schreibt ein spezielles Virenprogramm, das genau auf den Bankmitarbeiter zugeschnitten ist. Danach läuft ein Virus los, der die Bankensoftware ausspäht, erkennt, was der Nutzer in der Bank macht, und sein Verhalten nachahmt.

"Da draußen passieren Dinge, auf die man nie kommen würde"

So lassen sich Transaktionen veranlassen, zum Beispiel auch, dass ein Bankautomat ohne EC-Karte Geld ausspuckt. Und schließlich gibt es jemanden, der das Geld zur vereinbarten Zeit am Automaten abholt. "Das ist genauso Arbeitsteilung wie bei einem traditionellen Banküberfall, wo einer das Fluchtauto fährt, einer Schmiere steht, einer die Knarre hält und einer das Geld einsammelt."

So wie einst die Polizisten Bonnie und Clyde durchs Land jagten, so jagen nun eigene Einheiten die modernen Gangster durchs Web. "Katz- und Mausspiel" nennt es eine Sprecherin des Bundeskriminalamts, das längst eine eigene Abteilung für Cyberkriminalität hat.

"Hundertprozentige Sicherheit wird es nie und nirgends geben, auch nicht in der IT", sagt Hoffmeister. "Wir können nur versuchen, alles so sicher zu machen, dass es nur mit größtem Fachwissen und gigantischem Know-how möglich ist, Geld zu erbeuten." Sicherheitsexperte Becker ist allerdings skeptisch: Er macht den Job seit zwölf Jahren und hat viel gesehen. Trotzdem glaubt er, dass er vielleicht nur drei Prozent aller Handlungsmuster kenne. "Da draußen passieren Dinge, auf die man nie kommen würde."

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: