Exklusiv

Sicherheitsleck beim Bank-Verlag ermöglichte OLB-Kontenraub

2. September 2019

Von Christian Kirchner und Heinz-Roger Dohms

Wie lassen sich von Brasilien aus Konten bei einer deutschen Regionalbank plündern? Das ist die Frage, die Banking-, Zahlungsverkehrs- und Sicherheitsexperten seit Tagen umtreibt. Finanz-Szene.de glaubt, das Rätsel nun weitgehend gelöst zu haben. Unseren Recherchen zufolge wurde der Kontenraub durch ein schwerwiegendes Sicherheitsleck beim Bank-Verlag ermöglicht. Zur Erläuterung: Der Bank-Verlag ist ein bankeneigener Dienstleister, der für eine Vielzahl deutscher Geldinstitute das Issuing Processing betreibt, also die bankenseitige Abwicklung bzw. Autorisierung von Debitkarten-Transaktionen. Eigentümer ist der Bundesverband deutscher Banken (BdB).

Wie vergangene Woche berichtet, hatten Cyber-Kriminelle bei der Oldenburgischen Landesbank mehr als 2000 Konten ausgeraubt und damit einen Schaden in Höhe von rund 1,5 Mio. Euro angerichtet. Die Regionalbank hatte in einer Stellungnahme betont, dass „ausdrücklich kein Datenschutzfall“ vorliege und weder bei einem Drittanbieter noch bei ihr selber Konto- oder Kartendaten gehackt worden sein. „Es handelte sich um einen Betrugsvorfall aus der organisierten Cyberkriminalität mit gefälschten Karten und Terminals, der aus Brasilien heraus begangen wurde.“

Die Formulierung legte nahe, dass es sich um eine sogenannte Brut-Force-Attacke gehandelt hat. Also um eine Methode, bei der Kriminelle die richtigen Kartendaten gewissermaßen durch „Ausprobieren“ erraten. Völlig unklar blieb allerdings, wie auf diese Weise die gängigen Sicherheits-Mechanismen ausgehebelt werden konnten. Was also ist genau passiert?

Unseren Informationen zufolge leiteten die Cyber-Gangster mit ihren Fake-Karten und Fake-Terminals alles in allem rund 250.000 Transaktionen ein. Die allermeisten dieser Versuche wurden abgeblockt. Eine mutmaßlich hohe Zahl an Transaktionen indes war in dem Sinne „erfolgreich“, dass im fernen Deutschland tatsächlich Geld von Konten abging. Die entsprechenden Kleinbeträge summierten sich schließlich auf die besagten anderthalb Millionen Euro.

Unter normalen Umständen hätte der Betrugsversuch jedoch aus mindestens zwei Gründen erfolglos bleiben müssen, sagen uns Experten:

  1. Die schiere Zahl an Transaktionsversuchen muss einen auffällig hohen Traffic ausgelöst haben
  2. Das Muster der Transaktionen trug eindeutig betrügerische Züge, sodass die Fraud-Erkennung (viel früher) hätte anspringen müssen

Dass der Cyber-Angriff dennoch glückte, lag unseren Erkenntnissen zufolge am Bank-Verlag. Laut Finanz-Szene.de-Informationen sollen die gefälschten Karten mit einem klassischen Magnetstreifen  (genauer: mit der sogenannten „Magnetspur 1“) ausgestattet gewesen sein – einem Security-Feature, das hierzulande in der Praxis seit Jahren überholt ist, weil Debit- und Kreditkarten stattdessen mit dem sogenannten EMV-Chip gesichert werden (der EMV-Chip ist der fingerkuppenkleine Quadrat vorne links auf der Karte, während es sich bei der „Track 1“ um den kartenbreiten Streifen auf der Rückseite ganz oben handelte).

Da man beim Bank-Verlag einen Magnetstreifen-Betrug aber offenbar gar nicht mehr auf der Rechnung hatte, soll die entsprechende Betrugserkennung für die „Track 1“ angeblich schlicht inaktiv gewesen sein. Die Cyber-Kriminellen hätten ihren Angriff also außerhalb der Abwehrsicherung eingeflogen. So zumindest wird uns der Fall geschildert.

Finanz-Szene.de konfrontierte mit diesen Erkenntnissen gestern die OLB, den Bank-Verlag und den BdB. Das Geldinstitut äußerte sich nicht konkret, der BdB verwies auf seine Tochter – und die wollte die Informationen weder bestätigen noch dementieren. In seiner Stellungnahme hieß es etwas schwammig:

„Der Bank-Verlag betreibt seit Jahren das Processing von Debit- und Kreditkarten, was die Prüfung aller Spur- und Chipdaten inkludiert. Zu den Details in diesem Fall sind wir nach wie vor in der Analyse mit der OLB und mit Mastercard, wie der Prüfmechanismus hier konkret gewirkt hat und warum die Transaktionsanfragen in den Ausnahmefällen zu positiven Ergebnissen führten.“

Eine Frage die sich vor dem Hintergrund unserer Informationen ebenfalls stellt: Haben die „Schutzmechanismen“ wirklich „frühzeitig angeschlagen“, wie die Oldenburgische Landesbank in ihrer Mitteilung behauptete? Bereits in einem NDR-Bericht von Mitte letzter Woche las sich der Hergang ein bisschen anders. Der Sender hatte – unter Berufung auf die OLB – berichtet: „Den Betrug bemerkt habe man einem Sprecher der Bank zufolge, weil auffällig viele Buchungen in Brasilien stattfanden und immer mehr Kunden gemeldet hätten, dass ihr Konto unerklärlicherweise im Minus sei.“ Dies las sich, als hätten Bank und Bank-Verlag von betroffenen Kunden erst alarmiert werden müssen, bevor das Sicherheitsleck dichtgemacht wurde. Die OLB teilte hierzu mit, dem Sachstand von letzter Woche sei nichts hinzuzufügen.

Experten, mit denen wir am Wochenende über den Ablauf des Cyber-Angriffs sprachen, zeigten sich – gelinde gesagt – erstaunt über das Sicherheitsleck. Denn: Beim Kartenbetrug war in den vergangenen Jahren eine markante Verschiebung hin zu „Card not present“-Fällen festzustellen, also zu Methoden, bei denen gar keine physische Kredit- oder Debitkarte mehr zum Einsatz kommt. So entfielen laut einer EZB-Studie, die auf Zahlen von 2016 beruht, zuletzt drei Viertel aller Schäden auf „Card not present“-Fälle.

Anders ausgedrückt: „Card present“-Fälle galten unter Experten zunehmend als Relikt. „Einen ‚Card present“-Betrug in einer Größenordnung wie jetzt bei der OLB hat es hierzulande – soweit bekannt – seit Jahren nicht mehr gegeben“, sagte uns ein hochrangiger Payment-Manager. „Zweifelsohne haben die Kriminellen in Brasilien ein kleines Meisterstück vollbracht. Und trotzdem: Die hätten damit nicht durchkommen dürfen.“

Auch wenn der grobe Ablauf nun bekannt ist – manche Fragen bleiben einstweilen offen. Zum Beispiel: Warum traf es ausgerechnet die OLB? Beziehungsweise: Gibt es möglicherweise noch weitere Fälle, nur dass diese bislang nicht publik wurden? Plausibel jedenfalls erscheint die Annahme, dass es die Cyber-Kriminellen bei weiteren Adressen zumindest versucht haben. Eine weitere offene Frage: Wie kamen die Kriminellen an die sicherheitsrelevanten Kartennummern? Wurden diese wirklich mit technischer Unterstützung „erraten“ beziehungsweise „generiert“, wie letzte Woche behauptet? Manche Experten begegnen dieser These eher skeptisch.

Einig sind sich die Fachleute hingegen, dass die Angreifer ihr Husarenstück ganz ohne „institutionelle“ Unterstützung kaum hätten aufführen können. „Da muss bei einem örtlichen Netzbetreiber in Brasilien irgendjemand kollaboriert haben“, ist sich ein Insider sich. Hier schließt sich nun – zumal die Netzbetreiber ja von den großen Kreditkarten-Schemes lizenziert werden – die Frage an, welche Rolle Mastercard in der ganzen Affäre spielt. Betroffen waren ja bekanntermaßen ausschließlich Debitkarten des US-Konzerns. Sind die Amerikaner völlig frei von Schuld, wenn mir ihren Karten von Südamerika aus deutsche Girokonten abgeräumt werden? Mastercard wollte konkrete Fragen hierzu nicht beantworten.

Letzte Frage: Wer eigentlich haftet für den Schaden? Die OLB hat ihren Kunden die Verluste – selbstverständlich – umgehend erstattet. Allerdings darf man davon ausgehen, dass das Regionalinstitut, das dem US-Finanzinvestor Apollo gehört, die Rechnung an den Bank-Verlag weiterreichen wird. Doch ist das bereits der finale Adressat? Oder wird die BdB-Tochter ihrerseits versuchen, zumindest einen Teil des Schadens auf Mastercard bzw. auf die Akzeptanzseite (also den Acquirer/Netzbetreiber in Brasilien) weiterzuwälzen? Hierzu wollte sich gestern keiner der Akteure äußern.

So oder so: Der Image-Schaden für den Bank-Verlag, den hinter ihm stehende Bundesverband deutscher Banken und damit für die gesamte Bankenbranche, ist immens. Denn: Im Zahlungsverkehr verliert die Kreditwirtschaft seit Jahren an Boden. So wird das Akzeptanzgeschäft heutzutage nicht mehr von den Banken, sondern von anderen Playern dominiert. Beispiele: Der ehemals bankeneigene Acquirer Concardis gehört mittlerweile Finanzinvestoren, die Sparkassen haben die Mehrheit an der BS Payone im vergangenen Jahr an Ingenico veräußert.

Das sozusagen entgegengesetzte Geschäft, also das Issuing Processing, betreiben die Banken hingegen noch selbst – jedenfalls wenn es um Debitkarten-Transaktionen geht. Für die Sparkassen macht das der Deutsche Sparkassen-Verlag, für die Volksbanken die Fiducia, für die Deutsche Bank die hauseigene VÖB-ZVD Processing GmbH, für viele andere private Banken der Bank-Verlag.

Der Begriff „Debitkarte“ freilich war hierzulande lange Zeit mehr oder weniger gleichbedeutend mit der bankeneigenen „Girocard“. Inzwischen allerdings drängen Mastercard und neuerdings auch Visa mit eigenen Debitkarten auf den deutschen Markt. Ob die bankeneigenen Anbieter auch für diese Herausforderung gerüstet sind, wird sich erweisen.

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!