Die Bankräuber hatten keine Pistolen oder Gewehre, sie trugen keine Strumpfmasken. Sie mussten keinen unterirdischen Gang graben und keine Safes knacken. Ja, sie brauchten die Bank nicht einmal zu betreten. Ihnen genügten ein paar Plastikkarten mit einem Magnetstreifen darauf, wie man sie in Hotels als Zimmerschlüssel bekommt, und Computer. Als man einige Bandenmitglieder in Manhattan schließlich beobachtete, wie sie von Geldautomat zu Geldautomat zogen und Geld abhoben, da waren ihre Rucksäcke prall gefüllt mit Dollarscheinen. Allein in New York City zogen sie aus 2904 Geldautomaten 2,4 Millionen Dollar.
Doch sie waren nicht die einzigen: In insgesamt 26 Ländern waren andere Fußsoldaten mit derselben Masche unterwegs, die mit manipulierten Karten Geld von Automaten abhoben. Insgesamt beläuft sich der Schaden auf 45 Millionen Dollar, etwa 34 Millionen Euro - der bisher höchste bei einem derartigen Cyber-Bankraub, wie die New Yorker Staatsanwältin Loretta Lynch sagte, als sie die Verhaftung von sieben Bandenmitgliedern in New York bekannt gab. "Das war Bankraub im Stil des 21. Jahrhunderts", sagte sie, "der mithilfe des Internets ausgeführt wurde und um den gesamten Globus reichte, ein virtueller krimineller Flashmob."
Betrüger waren auch in Deutschland unterwegs
Die Kriminellen waren über das Internet in die Rechner einer indischen Firma eingedrungen, die für Kunden weltweit Zahlungsdienstleistungen erledigt. Dort stahlen sie die elektronisch gespeicherten Daten für Prepaid-Debitkarten einer Bank aus den Vereinigten Arabischen Emiraten. Außerdem setzten sie bei ihrem digitalen Einbruch das Limit der Karten hoch. Danach schickten sie die Informationen über das Netz an Fußsoldaten in aller Welt. Diese programmierten mit einfach zu bekommenden Geräten die Magnetstreifen beliebiger Karten neu und hoben damit massenhaft Geld ab. Um die Spur weiter zu verwischen, kauften Mitglieder der Straßengangs teure Autos oder Schmuck. Sieben von ihnen wurden festgenommen, ein weiteres Mitglied wurde erschossen aufgefunden. Alle stammen aus der Dominikanischen Republik und wohnten in der Nähe von New York. Die Aktion hat den US-Ermittlern zufolge schon im Oktober 2012 begonnen, damals erbeuteten die Cyber-Kriminellen etwa fünf Millionen Dollar. Durch den Erfolg ermutigt, stahlen die Hacker im Februar dieses Jahres erneut Kartendaten einer Bank aus dem Nahen Osten. Diesmal sackten die Fußsoldaten 40 Millionen Dollar ein. Die Teams hoben dafür in etwa zehn Stunden weltweit 36.000-mal Geld ab.
Auch in Deutschland waren die Betrüger unterwegs. "An Geldautomaten in sieben Orten in West-, Nord- und Süddeutschland wurden insgesamt 2,4 Millionen US-Dollar (1,8 Millionen Euro) von einem Konto der Bank aus dem Nahen Osten abgehoben", sagte Ralf Herrenbrück, Sprecher der Staatsanwaltschaft Düsseldorf, der SZ. Zwei Betrüger wurden demnach von der Polizei festgenommen, als sie in Düsseldorf mit manipulierten Karten 169.000 Euro abhoben. Ein Bankkunde beobachtete, wie sie vermummt und in Eile den Vorraum einer Bank verließen, und informierte die Polizei. Diese fand die Täter und ihre Beute in einem Auto, das in der Nähe abgestellt war. Bei den Tätern handelt es sich um einen 35 Jahre alten Mann und eine 56 Jahre alte Frau aus den Niederlanden. Eine dritte Person befindet sich dort in Auslieferungshaft. Die Staatsanwaltschaft Düsseldorf koordiniert derzeit die weiteren strafrechtlichen Ermittlungen zu dem Fall in Deutschland. Dabei geht es unter anderem um etwaige Hintermänner.
Der Trick mit den Magnetstreifen
Die "Deutsche Kreditwirtschaft", eine Organisation, in der alle deutschen Banken zusammengeschlossen sind, hat dagegen noch keinen Schadensfall im Zusammenhang mit der Cyber-Attacke registriert. Sie verweist darauf, dass alle 94 Millionen EC-Karten (Girocards) in Deutschland seit Herbst 2012 mit einem fälschungssicheren Chip ausgerüstet sind, ebenso alle 60.000 Geldautomaten und alle 750.000 Terminals im Handel. Der Chip habe den Magnetstreifen abgelöst. Alle Abhebungen von Geldautomaten in Deutschland funktionieren ausschließlich über den Chip. Der Magnetstreifen ist zwar weiter auf der Karte vorhanden, über ihn laufen aber nur Funktionen wie der Kontoauszugsdrucker. "Damit sind betrügerische Transaktionen mittels Kartendubletten im deutschen Girocard-System ausgeschlossen", betont die Kreditwirtschaft.
Warum trotzdem in sieben deutschen Orten mit manipulierten Karten Geld abgehoben wurde, lässt sich nach Informationen der SZ so erklären: Es handelte sich offenbar nicht um EC-Karten, sondern um Dubletten von Prepaid-Karten des US-Kreditkartenunternehmens Mastercard. Für diese funktioniert der Magnetstreifen auch bei deutschen Geldautomaten noch.
Schaden für die Banken, nicht die Kunden
Das Kreditkartenunternehmen Visa Europe teilte mit, dass seine Karten von dem Betrug nicht betroffen seien. Da es sich bei den gestohlenen Informationen um Konten für Guthabenkarten handelte, wurden keine Bankkunden geschädigt, sondern nur die Banken selbst. Deshalb hat es auch länger gedauert, bis der digitale Bankraub bemerkt wurde.
Diese Art des Bankraubs mithilfe von Datendiebstahl ist keineswegs neu. 2007 nahmen Ermittler des FBI einen Mann namens Max Butler fest, der unter dem Pseudonym Iceman Kreditkartendaten gestohlen und weiterverkauft hatte. Die Daten holte er sich über das Internet zum Beispiel von den schlecht gesicherten Rechnern einer Pizza-Kette.