Citigroup-CEO Vikram Pandit.
New York – Der Hacker-Angriff auf die amerikanische Citibank hatte ein weit grösseres Ausmass als zunächst bekannt. Insgesamt hätten die Datendiebe Informationen zu mehr als 360’000 Kreditkarten-Konten nordamerikanischer Kunden erbeutet, erklärte die Muttergesellschaft Citigroup in der Nacht zu Donnerstag in New York.
Die Betroffenen seien benachrichtigt worden und hätten in der Regel neue Kreditkarten zugeschickt bekommen. Die Citigroup wandte sich unter dem Druck von Politikern, Bundesermittlern und Staatsanwälten erstmals öffentlich an ihre Kunden und nannte Details der Attacke. Dabei liegt der Cyber-Angriff bereits mehr als einen Monat zurück. Vor einer Woche hatte die US-Grossbank auf Anfrage von Medien lediglich grobe Angaben zu dem Vorfall gemacht. Damals war noch die Rede davon, dass ein Prozent der Kreditkarten-Konten in Nordamerika geknackt worden seien, was gut 200 000 betroffene Konten suggerierte.
Simpler Trick
Nach Informationen der «New York Times» gelang es den Hackern mit einem simplen Trick, an die Daten zu gelangen: Zuerst hätten sie sich ganz legal als Kunde in die Kreditkarten-Website der Citibank eingeloggt. Einmal drin, hätten die Hacker schlicht die Adresszeile im Internetbrowser verändert. Dort führte eine bestimmte Zahlenkombination zu einem bestimmten Nutzer – die Hacker hätten einfach mit Hilfe eines sogenannten Scripts die Nummern durchprobiert und hätten dadurch Zugriff auf die Daten der anderen Kunden erhalten. Der Citigroup fiel der Simpel-Hack demnach bei einer Routinekontrolle auf.
Diebe gelangen nicht an kritische Daten
Den Online-Bankräubern fielen bei ihrem Beutezug Namen, Kontonummern sowie Kontaktdaten inklusive E-Mail-Adressen in die Hände. Allerdings gelang es den Angreifern nach Angaben der Bank nicht, an kritische Daten wie Sozialversicherungsnummer, Geburtsdatum, die dreistellige Prüfnummer sowie das Ablaufdatum der Kreditkarte zu gelangen. Erst mit diesen Informationen wäre es möglich, auf Kosten der geschädigten Kunden einzukaufen oder andere schwerwiegende Betrügereien zu begehen. Die Hacker waren bereits am 10. Mai in die nordamerikanischen Citibank-Systeme eingedrungen, doch erst am 3. Juni begann die Bank damit, die betroffenen Kunden anzuschreiben und ihnen neue Kreditkarten zuzuschicken. An die Öffentlichkeit gelangte der Angriff erstmals am 9. Juli, als die «Financial Times» nachbohrte und darüber berichtete.
Hacker-Angriffe rund um den Globus
Die Hacker-Angriffe mehren sich in der jüngsten Zeit. In den vergangenen Wochen hatten Attacken auf den Unterhaltungskonzern Sony, den Spielespezialisten Nintendo, den Rüstungsriesen Lockheed Martin sowie auf E-Mail-Konten von Google-Nutzern für Schlagzeilen gesorgt. Am Mittwoch rühmte sich zudem eine Hackergruppe, die Website des US-Geheimdienstes CIA zum Absturz gebracht zu haben. Am Donnerstag war www.cia.gov wieder zu erreichen. Vom Angriff auf die Citibank waren keine Kunden in Deutschland betroffen: Die Citigroup hatte ihr hiesiges Privatkundengeschäft 2008 an die französische Crédit Mutuel verkauft. Die ehemaligen Citibank-Filialen in Deutschland firmieren seitdem als Targobank. Nach Angaben eines Sprechers kam es hier zu keinem Datendiebstahl. (awp/mc/ss/upd/ps)
