Schließfach-Coup: Mögliche Sicherheitslücke in Schweden

Krisenmanagement sieht wohl anders aus. Als der KURIER am 20. November als erste Zeitung von dem „Millionencoup“ in drei Banken in NÖ und Wien berichtet hat, wurde der Millionenschaden noch dementiert. Auch die Zahl der geleerten Schließfächer wurde als „einige wenige“ abgetan. Tatsächlich wurden insgesamt 68 Depots von den Kriminellen leer geräumt – 31 Schließfächer einer Bank-Austria-Filiale in Klosterneuburg, 29 der Mödlinger Raiffeisen Regionalbank sowie acht in der Raiffeisen-Filiale in Wien-Döbling.

Wie der KURIER aus gut informierten Ermittlerkreisen weiß, wird sich der Schaden bei rund 25 Millionen Euro einpendeln. Die Pressestelle der Landespolizeidirektion NÖ nimmt keine Zahl in den Mund und spricht von einem „zweistelligen Millionenbetrag“. Also ist man mit dem Titel „Millionencoup“ doch nicht so falsch gelegen.

Gleich war an allen drei Tatorten der Ablauf. Bereits vor dem 13. November waren die Öffnungen für die Eingangskontrollen der Geldinstitute manipuliert worden, sagt Polizeisprecher Johann Baumschlager. Die Verdächtigen gewannen so entsprechende Daten und fertigten Duplikate der Zutrittskarten an. Im Foyer der Banken waren zudem Kameras montiert worden, mit denen die Eingabe der PIN-Codes aufgezeichnet wurde.

Angriff auf Firma in Schweden

Die Ermittler verfolgen nun eine Spur, wonach der filmreife Coup mit einer Cyberattacke auf die Zentrale des schwedischen Sicherheitsunternehmens Gunnebo in Zusammenhang stehen könnte.  Die Firma ist der Hersteller des Schließfachsystems bei den betroffenen Banken. Laut dem Präsidenten von Gunnebo, Stefan Syrén, haben die Kriminellen bei einem Ransomware-Angriff Daten im großen Stil abgesaugt und „in einer späteren Phase beschlossen, einen bestimmten Teil der gestohlenen Daten in das sogenannte Darknet hochzuladen.“ Es bildet einen Tummelpatz für Kriminelle.

Laut der Firma habe ein interne Untersuchung ergeben, dass es „keinen Hinweis für einen Zusammenhang zwischen dem im August entdeckten IT-Vorfall und dem Skimming-Angriff auf die Schließfachanlage“ gebe. Dies gilt es nun auch für die Ermittler der Landeskriminalämter Niederösterreich und Wien zu klären. Laut Bank Austria-Sprecher Matthias Raftl bestehe kein Zusammenhang: "Unser Sicherheits-Dienstleister hat uns bestätigt, dass es keinen Zusammenhang zwischen dem IT-Vorfall bei ihm und dem Vorfall in Klosterneuburg gibt."

Anwalt nimmt Banken in die Pflicht

Für Anwalt Stephan Schriefl, der in dem Fall zahlreiche geschädigte Opfer vertritt, ist die Angelegenheit ein wesentlicher Knackpunkt. „Das würde bedeuten, dass die Banken von der großen Sicherheitsgefahr informiert wurden und es wussten“, so der Jurist. Wenn trotzdem keine zusätzlichen Sicherheitsmaßnahmen getroffen wurden, sieht er die Banken in der Haftung für den Schaden.

Dieselbe Haltung vertritt Anlegeranwalt Wolfgang Haslinger, der ebenfalls viele Geschädigte vertritt. Haslinger verweist auf die Handlungspflicht der Banken, Kunden vor bekannten Risiken zu warnen beziehungsweise bekannte Sicherheitslücken zu schließen: "Manipulation in Form von Skimming bei Magnetkarten in Kombination mit dem Ausspähen von PIN-Codes sei eine seit vielen Jahren bekannte Praxis der Kriminellen. In diesem Zusammenhang lagen grob fahrlässige Sicherheitslücken vor, sodass den gesamten Schaden gehaftet werden muss".