Es klingt wie im Film: Jemand macht sich am Geldautomaten zu schaffen, der spuckt das ganze Geld aus. "Jackpotting"-Angriffe sind weltweit ein Problem. Auch Staatsanwaltschaften in Deutschland ermitteln.

Von Hakan Tanriverdi, BR

Am 27. Oktober 2017 meldet sich ein Mitarbeiter einer Bank bei der Polizei in Freiburg. Auf dem Bildschirm eines Geldautomaten sei ein seltsames Bild zu sehen. So erzählt es ein Ermittler, der den Vorgang kennt. Man sehe einen Chefkoch, der dazu einlädt, ein paar Koteletts zu braten. Es handelt sich um eine Schadsoftware, die des Chefkochs wegen den Namen "Cutlet Maker" trägt. Die Ermittler stellen fest, dass es sie damals für 5000 Dollar im Netz zu kaufen gibt. Eingesetzt wird sie von Cyberkriminellen, die Bankautomaten leerräumen wollen.

"Jackpotting" nennen Experten solche Angriffe, bei denen entweder Schadsoftware auf die Geldautomaten aufgespielt wird, oder es gelingt den Kriminellen, einen eigenen Rechner anzuschließen und darüber den sogenannten Dispenser zu steuern. Das ist jene Einheit, über die das Geld aus dem Tresor zum Ausgabeschacht transportiert wird.

Mit "Cutlet Maker" und ähnlicher Schadsoftware werden weltweit Geldautomaten attackiert - auch in Deutschland. Allein die auf Cyberkriminalität spezialisierte Staatsanwaltschaft in Nordrhein-Westfalen ermittelt gemeinsamen Recherchen des BR und des amerikanischen Technik-Magazins "Motherboard" zufolge aktuell in zehn Fällen. "Insgesamt beläuft sich die Schadensumme in allen hier geführten Verfahren auf etwas mehr als 1,4 Millionen Euro", sagt Pressesprecher Christoph Hebbecker. Derzeit gehe die Staatsanwaltschaft davon aus, dass eine Gruppe für alle Taten verantwortlich ist.

Nach den Recherchen ist die spanische Bank Santander betroffen.

Anleitung auf Russisch im Internet

In einem Anleitungsvideo im Netz wird gezeigt, wie die Schadsoftware auf einem Gerät des Herstellers Diebold-Nixdorf installiert werden kann. Kurz darauf ist zu hören, wie sich die Walzen im Automaten drehen und Geld ausgegeben wird. Die Sprache, die im Video verwendet wird, ist Russisch. Man habe es frei übersetzen lassen, erzählt der Ermittler, der anonym bleiben will. Ihm zufolge heißt es an einer Stelle: "Halten Sie ein Päckchen für die Scheine bereit. Den Rest übernehmen wir."

Diebold-Nixdorf teilt auf Anfrage mit, dass man mit den Angriffen vertraut sei, diese sich aber grundsätzlich gegen alle Hersteller gleichermaßen richteten. Einige Fälle betreffen nach den Recherchen von BR und "Motherboard" die spanische Bank Santander. Dort will man den Vorfall auf Anfrage nicht kommentieren.

"Signifikanter Anstieg"

Im Lagebild 2018 warnte das Bundeskriminalamt (BKA) vor einem "signifikanten Anstieg" solcher "Jackpotting"-Fälle. In Berlin kam es seit dem Frühjahr 2018 zu insgesamt 36 Vorfällen, bei denen nach Angaben des Landeskriminalamts "mehrere Hunderttausend Euro" erbeutet wurden. Auch hier glauben die Ermittler, dass eine Gruppe dahinter stecke.

Frank Boldewin, der als Experte für IT-Sicherheit im Banking-Bereich arbeitet, spricht davon, dass die Täter auf Streifzüge gehen. Sie seien "meistens geschult auf einen bestimmten Gerätetyp" und würden "die Schwachstellen des Geräts und die Kette der notwendigen Handgriffe" kennen.

Die aktuellen Zahlen für 2019, die das BKA auf Anfrage mitteilt, liegen niedriger als im Vorjahr: Bis Ende September waren es 22 Fälle. Doch in Gesprächen mit dem BR und "Motherboard" berichteten mehrere IT-Sicherheitsexperten, dass die Zahl der "Jackpotting"-Vorfälle weltweit angestiegen ist, vor allem in Regionen wie den USA, Lateinamerika und Südostasien. "Die USA sind besonders beliebt", erzählt eine Person, die solche Angriffe kennt. Zu den größten Problemen zähle, dass Betroffene oft nur unwillig Informationen teilen.

Effektiver Schutz ist möglich

Dabei sei ein effektiver Schutz von Geldautomaten möglich, sagt Boldewin. Nötig sei eine Kombination von mehrerer Maßnahmen. "Zunächst muss der Zugriff auf die Windows-Oberfläche abgesichert werden", erklärt der IT-Sicherheitsexperte. Des weiteren sei das Einspielen von Patches sehr wichtig, also die jeweiligen Betriebssysteme auf dem aktuellsten Stand zu halten.

"Elementar ist außerdem eine Ausführungskontrolle, um zu verhindern, dass beliebige Programme gestartet werden dürfen, sowie eine Gerätekontrolle die verhindert, dass beliebige USB-Geräte angeschlossen werden können." Auch sei es wichtig, die Kommunikation zwischen dem Geldautomaten und der Ausgabeeinheit abzusichern und die Festplatte zu verschlüsseln.

So war es auch in Freiburg. Zwar wurde die Schadsoftware installiert, doch an Geld kamen die Täter nicht. Als sicher gilt: Cyberkriminelle werden sich auch weiterhin am "Jackpotting" versuchen. Denn wenn es einmal klappt, haben die Täter tatsächlich den Jackpot geknackt.

Bankautomaten mit "Jackpotting"-Software ausgeraubt



15.10.2019 07:35 Uhr Download der Audiodatei Wir bieten dieses Audio in folgenden Formaten zum Download an: mp3 Ogg Vorbis Hinweis: Falls die Audiodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.