Entdeckt wurde das Programm von der IT-Sicherheitsfirma Kaspesky Lab. Bei einer Routineuntersuchung in einer russischen Bank bemerkt sie, dass Hacker in das Computer-Netz der Bank eingedrungen waren. Sergey Golovanov ist einer der Computer-Virenforscher, der dabei war.
Leider fanden wir zunächst keine weiteren Spuren. Kein Geld wurde abgehoben. Nichts war gestohlen oder angefasst worden. Als wir dann anfingen die Bankautomaten zu überprüfen, da haben wir dann das Schadprogramm gefunden.
Das Programm heißt Skimmer und ist schon seit 2009 bekannt. Doch es wurde weiterentwickelt. Wie ein Schläfer bleibt es ruhig, nachdem es in das jeweilige Netzwerk eingeschleust wird. Wer es aufwecken will, muss am Geldautomaten eine illegal behandelt EC- oder Kredit-Karte einführen. Deren Magnetstreifen hat zusätzliche Informationen, die das Programm starten. Sergey Golovanov:
Wenn die Täter die spezielle Karte einführen, dann können sie gleich den Befehl „Geld abheben“ ausführen. Von außen sieht das so aus: Es kommt eine Person, die schiebt die Karte rein, gibt nichts ein, die Karte kommt von selbst wieder heraus und danach wird das Geld ausgegeben – dieses süße Geräusch! Und gleich kommen da 40 Scheine aus jeder Kassette heraus.
Ein anderer Befehl speichert beispielsweise Daten der Kunden, die vorher an dem Geldautomaten waren, auf dem Chip der eingeführten Karte. PIN und Kartennummern gelangen so in falsche Hände, ohne dass die Bank diesen Datenverlust bemerken kann. Möglich ist das, weil weltweit viele Bankautomaten noch immer das 15 Jahre alte Betriebssystem Windows XP nutzen. Microsoft selbst rät von Windows XP ab und erstellt seit zwei Jahren keine Updates mehr. Damals waren noch 95 Prozent aller Geldautomaten mit dem System ausgerüstet.
Für die deutsche Kreditwirtschaft und deren Kunden sei das alles unerheblich, sagt Kerstin Altendorf vom Bundesverband deutscher Banken:
Unabhängig von allen möglichen diskutierten Bedrohungsszenarien ist der Bankkunde vor von ihm nicht zu verantwortenden Schäden immer geschützt. Denn, wichtig zu wissen, für den Kunden: Selbst wenn der unwahrscheinliche Schadensfall eintreffen sollte, bleibt der nicht auf seinem finanziellen Verlust sitzen.
Klar, denn in diesem Fall zahlt die Versicherung. Weder dem Kunden noch der Bank entsteht ein Schaden. Deshalb ist für Experten klar: Für die Bank lohnt es sich nicht, dass System schnell zu modernisieren, denn den Schaden haben ja die Versicherungen.
Doch die Banken wissen ganz offensichtlich, dass die Situation immer gefährlicher wird. Vor zwei Jahren hieß es in einer Presseerklärung:
Ein weiterer wirksamer Schutz vor Angriffen ergibt sich aus der Tatsache, dass die Geldautomaten der Deutschen Kreditwirtschaft nicht über das offene Internet erreichbar sind.
Dieser zusätzliche Schutz wird in der aktuellen Stellungnahme nicht mehr erwähnt. Nachfragen dazu waren nicht möglich.