Der aktuelle Online-Raub lässt aufhorchen. Ein große Zahl Täter hat koordiniert in einer weltweiten Aktion, nahezu zeitgleich zugeschlagen und 45 Millionen US-Dollar gestohlen. Der Fall ist symptomatisch für die derzeitige Internetkriminalität, die immer professioneller wird. Alexander Geschoneck, Experte für digitale Kriminalität beim Wirtschaftsprüfungsunternehmen KPMG erklärt die Strukturen.
"Wir haben es mit unterschiedlichen Skill-Leveln zu tun und wir sehen auch eine starke Aufgabenaufteilung innerhalb der Gruppen. Wir haben Tätergruppen, die recherchieren Sicherheitslücken ausschließlich, stellen diese dann denjenigen zur Verfügung, die Sicherheitslücken ausnutzen, in Systeme einbrechen, die aufmachen und sich dort einnisten und die Daten herunterziehen."
So auch im aktuellen Fall: Die Täter brachen in zwei Datenbanken von Zahlungsdienstleistern ein und stahlen die Daten von sogenannten Prepaid-Kreditkarten. Das sind Kreditkarten, die vor der Benutzung mit einem Guthaben aufgeladen werden müssen. Die erbeuteten Daten gingen an Mittelsmänner, die damit Rohkarten präparierten – darunter sollen sogar Zugangskarten für Hotelzimmer gewesen sein. Der eigentliche Coup aber war: Die Täter manipulierten die geklauten Daten so, dass die Guthaben vervielfacht wurden. Aus 20 Dollar machten sie 20.000 und teils wohl auch 20 Millionen. Geschoneck:
"Dann gibt es Personengruppen, die den Vertrieb dieser Daten übernehmen und auch ein bisschen Hosting betreiben und es gibt Webseiten-Designer, Leute die sich um die Geldwäsche kümmern, also die Gelder, die dort eingenommen werden, dass die einem halbwegs legalen Kreislauf zugeführt werden. Insofern haben wir eine sehr strenge Aufgabenteilung, so wie ein Unternehmen, ein Wirtschaftsunternehmen. Und die arbeiten sehr eng zusammen und nicht jeder kennt auch jeden in dieser Gruppe und es ist auch nicht immer IT-Know-how notwendig."
In zwei Wellen schwärmten angeheuerte Fußleute mit den präparierten Karten aus und hoben an über 40.000 Geldautomaten in mehr als 27 Ländern das Geld ab. Ergebnis: Jene 45 Millionen US-Dollar. Einige der Täter sind jetzt geschnappt worden. Doch ein Großteil des Geldes fehlt und auch die Hintermänner sind noch unbekannt. Geschoneck:
"Es sind klassische .Strukturen aus dem Bereich der organisierten Kriminalität, die wir wiederfinden und dort ist auch nicht jeder der Schläger auf der Straße oder der Autodieb, sondern da gibt auch unterschiedliche Arbeitsteilungen."
Ein Detail des aktuellen Falls ist besonders brisant: Wie kamen die Täter an die Pin für die Karten? Zwei Möglichkeiten kommen in Frage: Unwahrscheinlich, aber doch möglich ist, dass die Täter die Pin aus den Daten des Magnetstreifens extrahiert haben. Wahrscheinlicher aber ist, dass die Kartendienstleister die Pin-Nummern mit den Kartendaten zusammen in ihren Systemen gespeichert haben. Egal wie: Für Banken und Justiz müsse es jetzt ein Umdenken geben, sagt Frank-Christian Pauli vom Verbraucherzentrale Bundesverband.
"Hat der Täter zum Beispiel eine gestohlene oder verloren gegangene Karte mit Pin benutzt, wurde immer unterstellt: Verbraucher hat die Pin drauf geschrieben oder in seiner Brieftasche mitgeführt, anders kann es ja nicht sein. Und dann wurde grobe Fahrlässigkeit einfach angenommen, und das ist natürlich zum Schaden vor allen auch derjenigen Verbraucher, die sich redlich verhalten haben. Und solche Vorfälle wie jetzt in den USA lassen natürlich aufhorchen und überlegen, kann man das dem Verbraucher heutzutage so ohne weiteres noch vorwerfen oder sind die Täter nicht längst viel durchgefuchster, um die Sicherheitssysteme von Banken grundsätzlich zu umgehen."
Mehr noch als über die Haftung sollte Banken nun darüber nachdenken, die Magnetstreifen-Technik abzuschaffen.
"Die ist schon seit einigen Jahren geplant. Ich kann gar nicht sagen, wie weit das zurückreicht, aber man hat mit dem EMV-Chipsystem im Prinzip schon früh einen europäischen Standard geschaffen, auf dem basierend die heutigen Techniken funktionieren."
Im Gegensatz zum Magnetstreifen können Angreifer den kleinen, golden schimmernden Chip auf EC- und Kreditkarten nur mit extrem viel Aufwand kopieren. Die Umstellung auf die sicherere Technik wird jedoch dadurch verzögert, dass die Zahlungsdienstleister in vielen Ländern weiterhin auf der simplen Magnetstreifen-Technik beharren. Deswegen haben auch in Deutschland ausgegebene Karten weiterhin den schwarzen Streifen auf der Rückseite der Karte. Doch auch die Chip-Technik hat ihre Schwachstellen. Frank-Christian Pauli:
"Hundertprozentige Sicherheit wird es nie geben, dass muss man sich vor Augen führen. Aber natürlich sind die Chips schon komplizierter zu umgehen, als die Magnetstreifen der Vergangenheit. Der Magnetstreifen war im Prinzip wie ein Tonband zu kopieren. Das ist beim Chip nicht möglich. Andererseits haben Studien, zum Beispiel in Großbritannien, gezeigt, dass auch die Chips nicht frei davon sind, angegriffen werden zu können. Sie sind halt Computer und wir wissen, dass man bei Computern so lange sicher ist, bis die nächste Lücke entdeckt worden ist. Und deshalb ist es wichtig, dass da auf dem neuesten Stand der Sicherheit nachgearbeitet wird."
Spätestens seit dem vergangenen Jahr ist überdies bekannt: Nicht nur der Magnetstreifen ist ein riesiges Problem, auch die Lesegeräte in den Geschäften, die sogenannten Terminals, sind kritisch zu betrachten. Im Juni 2012 zeigten Hacker, wie man die Terminals aus der Ferne über Netzwerke manipulieren kann – inklusive Datenklau und Pin.
"Wir haben es mit unterschiedlichen Skill-Leveln zu tun und wir sehen auch eine starke Aufgabenaufteilung innerhalb der Gruppen. Wir haben Tätergruppen, die recherchieren Sicherheitslücken ausschließlich, stellen diese dann denjenigen zur Verfügung, die Sicherheitslücken ausnutzen, in Systeme einbrechen, die aufmachen und sich dort einnisten und die Daten herunterziehen."
So auch im aktuellen Fall: Die Täter brachen in zwei Datenbanken von Zahlungsdienstleistern ein und stahlen die Daten von sogenannten Prepaid-Kreditkarten. Das sind Kreditkarten, die vor der Benutzung mit einem Guthaben aufgeladen werden müssen. Die erbeuteten Daten gingen an Mittelsmänner, die damit Rohkarten präparierten – darunter sollen sogar Zugangskarten für Hotelzimmer gewesen sein. Der eigentliche Coup aber war: Die Täter manipulierten die geklauten Daten so, dass die Guthaben vervielfacht wurden. Aus 20 Dollar machten sie 20.000 und teils wohl auch 20 Millionen. Geschoneck:
"Dann gibt es Personengruppen, die den Vertrieb dieser Daten übernehmen und auch ein bisschen Hosting betreiben und es gibt Webseiten-Designer, Leute die sich um die Geldwäsche kümmern, also die Gelder, die dort eingenommen werden, dass die einem halbwegs legalen Kreislauf zugeführt werden. Insofern haben wir eine sehr strenge Aufgabenteilung, so wie ein Unternehmen, ein Wirtschaftsunternehmen. Und die arbeiten sehr eng zusammen und nicht jeder kennt auch jeden in dieser Gruppe und es ist auch nicht immer IT-Know-how notwendig."
In zwei Wellen schwärmten angeheuerte Fußleute mit den präparierten Karten aus und hoben an über 40.000 Geldautomaten in mehr als 27 Ländern das Geld ab. Ergebnis: Jene 45 Millionen US-Dollar. Einige der Täter sind jetzt geschnappt worden. Doch ein Großteil des Geldes fehlt und auch die Hintermänner sind noch unbekannt. Geschoneck:
"Es sind klassische .Strukturen aus dem Bereich der organisierten Kriminalität, die wir wiederfinden und dort ist auch nicht jeder der Schläger auf der Straße oder der Autodieb, sondern da gibt auch unterschiedliche Arbeitsteilungen."
Ein Detail des aktuellen Falls ist besonders brisant: Wie kamen die Täter an die Pin für die Karten? Zwei Möglichkeiten kommen in Frage: Unwahrscheinlich, aber doch möglich ist, dass die Täter die Pin aus den Daten des Magnetstreifens extrahiert haben. Wahrscheinlicher aber ist, dass die Kartendienstleister die Pin-Nummern mit den Kartendaten zusammen in ihren Systemen gespeichert haben. Egal wie: Für Banken und Justiz müsse es jetzt ein Umdenken geben, sagt Frank-Christian Pauli vom Verbraucherzentrale Bundesverband.
"Hat der Täter zum Beispiel eine gestohlene oder verloren gegangene Karte mit Pin benutzt, wurde immer unterstellt: Verbraucher hat die Pin drauf geschrieben oder in seiner Brieftasche mitgeführt, anders kann es ja nicht sein. Und dann wurde grobe Fahrlässigkeit einfach angenommen, und das ist natürlich zum Schaden vor allen auch derjenigen Verbraucher, die sich redlich verhalten haben. Und solche Vorfälle wie jetzt in den USA lassen natürlich aufhorchen und überlegen, kann man das dem Verbraucher heutzutage so ohne weiteres noch vorwerfen oder sind die Täter nicht längst viel durchgefuchster, um die Sicherheitssysteme von Banken grundsätzlich zu umgehen."
Mehr noch als über die Haftung sollte Banken nun darüber nachdenken, die Magnetstreifen-Technik abzuschaffen.
"Die ist schon seit einigen Jahren geplant. Ich kann gar nicht sagen, wie weit das zurückreicht, aber man hat mit dem EMV-Chipsystem im Prinzip schon früh einen europäischen Standard geschaffen, auf dem basierend die heutigen Techniken funktionieren."
Im Gegensatz zum Magnetstreifen können Angreifer den kleinen, golden schimmernden Chip auf EC- und Kreditkarten nur mit extrem viel Aufwand kopieren. Die Umstellung auf die sicherere Technik wird jedoch dadurch verzögert, dass die Zahlungsdienstleister in vielen Ländern weiterhin auf der simplen Magnetstreifen-Technik beharren. Deswegen haben auch in Deutschland ausgegebene Karten weiterhin den schwarzen Streifen auf der Rückseite der Karte. Doch auch die Chip-Technik hat ihre Schwachstellen. Frank-Christian Pauli:
"Hundertprozentige Sicherheit wird es nie geben, dass muss man sich vor Augen führen. Aber natürlich sind die Chips schon komplizierter zu umgehen, als die Magnetstreifen der Vergangenheit. Der Magnetstreifen war im Prinzip wie ein Tonband zu kopieren. Das ist beim Chip nicht möglich. Andererseits haben Studien, zum Beispiel in Großbritannien, gezeigt, dass auch die Chips nicht frei davon sind, angegriffen werden zu können. Sie sind halt Computer und wir wissen, dass man bei Computern so lange sicher ist, bis die nächste Lücke entdeckt worden ist. Und deshalb ist es wichtig, dass da auf dem neuesten Stand der Sicherheit nachgearbeitet wird."
Spätestens seit dem vergangenen Jahr ist überdies bekannt: Nicht nur der Magnetstreifen ist ein riesiges Problem, auch die Lesegeräte in den Geschäften, die sogenannten Terminals, sind kritisch zu betrachten. Im Juni 2012 zeigten Hacker, wie man die Terminals aus der Ferne über Netzwerke manipulieren kann – inklusive Datenklau und Pin.