Eine kleine Meldung zeigte jüng große Wirkung: "Trickdiebstahl an Geldautomaten", hieß es Mitte Januar in einer Presseerklärung der Kölner Kriminalpolizei. Das gesamte Bankgewerbe war ebenso überrascht wie die Automatenhersteller. Alle arbeiten nun fieberhaft daran, die Sicherheit der Bargeld-Spender zu erhöhen.

Erst nach und nach wird das volle Ausmaß der Betrügereien bekannt. Denn es vergingen Tage und Wochen, bis die geschröpften Kunden aufmerksam wurden.

Beim ersten Blick auf seinen Kontoauszug traute Anton S. seinen Augen zunächst nicht. Das Kreditlimit war durch mehrere Abhebungen fast völlig ausgeschöpft. Dabei hatte er in der letzten Zeit nur einmal von seinem Konto Geld abgehoben. Das war vor zwei Wochen, als der Geldautomat zu seinem Ärger Freitagabend die Scheckkarte verschlang und er sich bei guten Freunden Bares ausleihen mußte. Da er nach der Verlustmeldung am darauffolgenden Montag eine neue Karte bekam, dachte er nicht weiter über die Sache nach. Ähnlich wie Anton S. ging es etlichen Bankkunden im Ruhrgebiet. Um rund 80 000 Mark erleichterten die zwei – mittlerweile gefaßten – Täter fremde Konten, indem sie den stählernen Kassierer überlisteten.

Es gelang den technisch versierten Computer-Freaks, den Apparat so zu manipulieren, daß er die Kundenkarte zunächst verschluckte, um sie dann wieder auszuspucken – an die Diebe. Die dazugehörige Geheimnummer, die jeder Automatennutzer eintippen muß, lasen die Täter von der Tastatur des Automaten ab; sie war präpariert, so daß die Kunden ihre Fingerabdrücke hinterließen. Nun fehlte nur noch die richtige Reihenfolge der Ziffern.

Maximal 36 Kombinationen sind bei der vierstelligen Geheimnummer möglich. Aber nur drei Versuche werden von den Automaten akzeptiert, dann ziehen sie normalerweise die Karte ein. Das taten auch die Kölner Bankautomaten. Allerdings schluckten sie nie die echte Karte, sondern ein Duplikat, auf dessen Magnetstreifen zuvor der Inhalt des Originals kopiert worden war. Mit jeder neuen Blankette hatten die Täter auf diese Weise drei weitere Versuche frei.

Damit zeigten die beiden Kenner des Systems ein weiteres Mal,daß Geldautomaten längst nicht so sicher sind, wie immer behauptet wurde. Schon im Oktober des vergangenen Jahres hatte die Sendung ARD-Ratgeber: Technik aufgedeckt, wie die stummen Geldspender durch eine simple Manipulation des Magnetstreifens auf dem Stück Plastik auszutricksen sind. Auch die Autoren des Fernsehbeitrages kopierten den Inhalt ihrer – allerdings eigenen – Karten auf einen Datenträger, kassierten ab und überschrieben den Magnetstreifen mit den zuvor konservierten Daten. Der Effekt: Die Geldschränke spuckten mehr Scheine aus als sicherheitstechnisch erlaubt.

Beide Fälle wurden möglich, weil nicht alle Geräte sämtlicher Banken an einem zentralen Rechner hängen, der Buchungen sofort registriert und einen schnellen Datenaustausch zuläßt. Manche Bankautomaten nehmen die Prüfung nur anhand der Daten vor, die auf dem Magnetstreifen gespeichert sind. Um einen mehrfachen Geldsegen an einem Tag zu verhindern, wird das Datum der letzten Abhebung festgehalten, ebenso wie die Anzahl der Tipp-Versuche, um unbefugten Zugriff zu verhindern. In beiden Fällen gelang es den Computer-Freaks, die Sperren zu unterlaufen. Erfolglos verliefen hingegen bisher Versuche, die Geheimnummer, auch PIN (Persönliche Identifikationsnummer) genannt, aus den gespeicherten Daten auf der Karte zu errechnen. Um die PIN herauszufinden, bedurfte es deshalb des aufwendigen Kopierverfahrens. Daß die Kölner und Dortmunder Bankautomaten Duplikate ohne Störung verdauten, hat noch einen besonderen Grund. Statt zunächst die Echtheit der Karte EU prüfen, fordern die Geräte sofort die Geheimnummer ab. Und genau diese Reihenfolge machte die Tricks der Diebe erst möglich.