Die New Yorker Staatsanwältin Loretta Lynch spricht auf einer Pressekonferenz über den Millionen-Diebstahl. © Lucas Jackson/Reuters

Durch eine internationale Cyber-Attacke auf Geldhäuser ist auch in Deutschland ein Schaden von 1,8 Millionen Euro entstanden. In einer Nacht im Februar hoben die Täter diese Summe von Geldautomaten in sieben Städten ab. Zwei mutmaßliche Beteiligte sitzen in Deutschland in Untersuchungshaft, wie ein Sprecher der Düsseldorfer Staatsanwaltschaft sagte. Es handele sich um einen Niederländer und eine Niederländerin.  

Die beiden mutmaßlichen Betrüger seien bereits im Februar in Düsseldorf von Polizisten festgenommen worden, als sie an Geldautomaten im Rahmen der koordinierten Attacke mit manipulierten Karten einen Gesamtbetrag von 170.000 Euro abheben wollten. Der 35-Jährige und die 56-Jährige hätten sich dabei auffällig verhalten und deshalb Verdacht erregt, sagte der Sprecher.

Die New Yorker Staatsanwaltschaft hatte am Donnerstag die Zerschlagung einer Bande bekanntgegeben. Sie soll weltweit mit zwei konzertierten Betrugsaktionen umgerechnet etwa 45 Millionen Euro ergaunert haben. Die mutmaßlichen sieben Menschen hinter der spektakulären Aktion seien in New York festgenommen und angeklagt worden, sagte US-Staatsanwältin Loretta Lynch.  

Laut Anklageschrift brachen die Hacker in die Computer zweier Kreditkarten-Abwickler ein: Im Dezember 2012 in Indien, im Februar 2013 in den USA. Dort setzten sie die Limits von aufladbaren Kreditkarten der Bank Muscat aus dem Oman und der Rakbank aus den Vereinigten Arabischen Emiraten nach oben. Anschließend fertigten sie Duplikate der Karten, die an zahlreiche Komplizen auf der ganzen Welt gingen. Die Cyber-Bankräuber zogen damit am 19. Februar los.

Mit Karten, die auf ein Konto der Bank of Muscat zugriffen, hoben sie der Anklage zufolge allein in New York binnen zehn Stunden an 2.904 Geldautomaten 2,4 Millionen Dollar ab. Bei einem ähnlichen Coup waren im Dezember 2012 fünf Millionen Dollar von der Rakbank abgehoben worden. Weltweit kamen so mit 40.500 Zugriffen auf Geldautomaten 45 Millionen Dollar zusammen. Die Bank of Muscat hatte eingeräumt, dass sie mit zwölf vorbezahlten Karten um 39 Millionen Dollar gebracht worden sei – die Hälfte ihres Quartalsgewinns. Die Rakbank verlor nach eigenen Angaben 4,7 Millionen Dollar, Kunden seien nicht betroffen.

Kein Einbruch bei Mastercard

Der Millionenraub wirft erneut Fragen zur Sicherheit von Kreditkarten und Geldautomaten auf. Eigentlich dürfte mit den kopierten Karten von deutschen Automaten kein Geld abgehoben werden können. Denn fälschen lässt sich nur der Magnetstreifen auf Bank- und Kreditkarten, auf dem die Information gespeichert ist, die in vielen Ländern zum Abheben nötig ist. Dagegen gilt der auf Bank- und Kreditkarten aufgedruckte goldene Chip, auf den Geldautomaten hierzulande zugreifen, als fälschungssicher. Ein Sprecher der Deutschen Kreditwirtschaft (DK), der die fünf großen Bankenverbände angehören, sagte, deutsche Karten und Banken seien nicht betroffen. Das Bundeskriminalamt wollte sich nicht äußern.

Der Kreditkartenanbieter MasterCard, von dessen Karten die Kopien stammten, sagte, in seine Systeme sei nicht eingebrochen worden. Aufladbare Kreditkarten sind in den USA viel weiter verbreitet als etwa in Deutschland. Sie können – vergleichbar mit Telefonkarten – nur so weit genutzt werden, wie Geld auf das zugehörige Konto eingezahlt worden ist. Verwendet werden sie häufig auf Reisen, als Firmen-Kreditkarten oder beim Einkauf im Internet. "Kreditkarten-Inhaber müssen sich in jedem Fall keine Sorgen machen", sagte ein Sprecher von Mastercard Deutschland. Den Verlust tragen je nach Verschulden der Karten-Dienstleister, der Abwickler oder die ausgebende Bank.

Die beiden Niederländer müssen sich nun unter anderem wegen Computerbetrug verantworten, sagte der Sprecher der Düsseldorfer Staatsanwaltschaft. Seine Behörde koordiniere derzeit die weiteren strafrechtlichen Ermittlungen zu dem Fall in Deutschland. Auch etwaige Hintermänner sind demnach Bestandteil der Untersuchung.