Ein Geldautomat in Great Kills im US-Bundesstaat New York war in der vergangenen Woche Schauplatz eines ungewöhnlichen Vorgangs. Wie lokale Medien berichteten, wurde die Polizei wegen eines augenscheinlichen Überfalls zu der Bankfiliale der Santander-Bank gerufen. Tatsächlich überfiel niemand die Bank, zwei Gruppen stritten sich wegen eines Geldautomaten der Bank.
Was machte nun diesen Geldautomaten so besonders? Auf ihm lief fehlerhafte Software der spanischen Bank Santander. Eine Unachtsamkeit der Programmierer führte dazu, dass Menschen mehr Geld abheben konnten, als sie besaßen. Und das ging so: Bei jedem Abhebevorgang prüft der Geldautomat, ob der Kunde genug Geld auf dem Konto hat, um den gewünschten Betrag abzuheben. Wer nur 50 Dollar auf dem Konto hat und 1000 abheben will, dem teilt der Automat mit: "Ihr Kontostand reicht nicht aus." Normalerweise sollte das bei jeder Abfrage passieren. Die Automaten der Santander-Bank verzichteten jedoch offenbar auf die Überprüfung, wenn man die Transaktion abbrach, ohne die Session insgesamt zu beenden.
Wer also zunächst 50 Dollar Abhebung auswählte, dann abbrach und einen anderen, höheren Betrag auswählte, bei dem überprüfte die Software nicht, ob er überhaupt genug Geld auf dem Konto hatte. Für sich genommen ist das kein schwerer Fehler, denn im schlimmsten Fall ist das Konto des Kunden unerlaubt massiv überzogen. In den USA jedoch führte eine Besonderheit dazu, dass sich der Fehler für organisierte Banden lohnte. In den USA gibt es die Möglichkeit, mit sogenannten Prepaid-Debit-Karten Geld abzuheben. Diese funktionieren wie ein Kaufhausgutschein, nur dass man damit auch Geld am Automaten abheben kann. In Deutschland ist das Konzept mancherorts als Geldkarte bekannt.
Der Trick sprach sich schnell herum
Die Karten haben einen fixen Betrag gespeichert oder können aufgeladen werden. An ausgewählten Geldautomaten kann man das Geld dann abheben. Mit dem Trick war es also möglich, von Karten mit 100 Dollar Guthaben den maximal möglichen Betrag -bei Santander Berichten zufolge 1000 Dollar - abzuheben. Weil die Debit-Karten nicht mit einem Konto verknüpft sind, ließ sich auch nicht nachvollziehen, wer da sein Konto überzogen hatte. Wer den Fehler zuerst entdeckte, ist unklar, gut möglich, dass es sich um ein Versehen handelte. Laut der Plattform ZDNet wurde die Information zunächst in Cyberkriminellen-Foren gehandelt. Irgendwann jedoch sprach sich der Trick auch auf Telegram und Instagram herum, bis vergangene Woche, als die Abhebungen überhandnahmen und sich Gruppen um Zugang zu den Automaten stritten. Allein in Mercer County wurden lokalen Medien zufolge 58 Menschen verhaftet, dort sollen mehr als 250 000 Dollar abgehoben worden sein.
In Europa oder gar Deutschland wäre der Trick nicht nutzbar gewesen, das Konzept Prepaid-Debit existiert hierzulande nahezu nicht. Die Sparkasse versuchte vor einigen Jahren, mit der Geldkarte ein ähnliches Konzept zu etablieren, der Versuch scheiterte jedoch, weil es kaum jemand nutzte. In den USA dagegen ist Prepaid-Debit auch deshalb sehr beliebt, weil man die Karten bekommt, ohne einen Kredit-Check absolvieren zu müssen. Mehr als neun Millionen überwiegend arme US-Amerikaner haben keinen Zugang zu Bankservices. In einem Statement vermied es ein Santander-Sprecher, auf konkrete Fragen einzugehen, und sprach lediglich von einem "inzwischen gelösten Problem bei einigen Automaten in den USA". Für die Bank ist der Vorgang ziemlich peinlich, sie ist jedoch nicht das einzige Geldhaus, dessen Code interessante Betrugsformen ermöglichte.
Ein Australier hob 2011 mehr als eine Million australische Dollar ab, ohne dass seine Bank es bemerkte. Der Geldautomat einer Supermarktfiliale in England wurde kurz vor Weihnachten 2015 zu einem regelrechten Wallfahrtsort, nachdem sich herumgesprochen hatte, dass er doppelt so viel Geld verteilte wie gewünscht. IT-Sicherheitsexperten erzählen sich zudem die Geschichte von einem Geldautomatenfehler, bei dem die Maschine das Geld nicht erneut zählte, wenn es nach einiger Zeit nicht entnommen wurde. Kunden konnten also 100 Euro abheben, dann 80 entnehmen, bevor der Automat die übrigen 20 wieder einzog. Von ihrem Konto wurde dennoch nichts abgebucht.
