In zwei koordinierten Aktionen hoben sie im Dezember und im Februar mit gefälschten Kreditkarten so viel Geld ab, dass sie es teilweise in Rucksäcken abtransportieren mussten. In New York wurde am Freitag Anklage gegen sieben beteiligte Männer erhoben.

Auch in Deutschland sitzen zwei Verdächtige in Haft. Die Niederländer (34 und 56 Jahre alt) wurden bereits im Februar in Düsseldorf festgenommen, wie erst jetzt bekannt wurde.

Die Kreditkartennummern und Geheimzahlen erbeuteten die Täter, als sie über das Internet in die Computer zweier Banken im arabischen Raum und eines Kreditkartendienstleisters in Indien eindrangen. Im Fokus hatten sie vor allem Prepaid-Kreditkarten, bei denen das Guthaben vorab eingezahlt werden muss, so dass nur ausgezahlt werden kann, was tatsächlich auf dem Konto ist.

Diesen Umstand machten sich die Täter zunutze, indem sie die Guthaben dieser Kreditkartenkonten künstlich ins Unermessliche anhoben. Die erbeuteten Daten wurden weltweit an Komplizen verteilt, die wiederum Leute anheuerten, die mit den gefälschten Kreditkarten auf Beutezug gingen. Innerhalb von nur zehn Stunden brachten sie eine der betroffenen Banken um 39 Millionen Dollar — gut die Hälfte von deren Quartalsgewinn.

Die Ermittler — in Deutschland koordiniert die Düsseldorfer Staatsanwaltschaft die Jagd nach den Cyber-Bankräubern — sprechen von „chirurgischer Präzision“. Der Datendiebstahl, das weltweite Fälschen der Kreditkarten und das koordinierte Vorgehen der Bande ließen auf einen hohen Grad von Organisation schließen. Nach Angaben der US-Staatsanwältin Loretta Lynch seien die Kriminellen „so schnell wie die Daten im Netz“ gewesen.

Wer die Hintermänner dieser Tat sind, ist noch unklar. Sicher ist, dass die in New York und Düsseldorf festgenommenen Verdächtigen nur die „kleinen Fische“ sind. Sie wurden unter anderem dadurch geschnappt, dass immer wieder die gleichen Männer im Zeitraum verdächtiger Abbuchungen von den Überwachungskameras der Geldautomaten gefilmt wurden.

Die beiden Düsseldorfer Verdächtigen benahmen sich nach Angaben der Staatsanwaltschaft dermaßen auffällig, dass ein Bankkunde die Polizei rief.

Unklar ist bisher, wer für den Schaden aufkommen wird. Ob es die gehackten Banken sind, die Kreditkartendienstleister oder die Aufsteller der Geldautomaten. „Das ist eine Frage des internationalen Bankenrechts“, sagte der Düsseldorfer Staatsanwalt Ralf Herrenbrück unserer Zeitung.

Fest steht: Betroffen sind nur Prepaid-Konten des Anbieters Mastercard, die von der Rakbank in den Vereinigten Arabischen Emiraten und von der Bank of Muscat in Oman ausgegeben wurden. Ein Sprecher von Mastercard sagte, Kunden müssten sich keine Sorgen machen, da Karteninhaber bei solchen Taten nicht haften müssten.

Den sieben in New York festgenommenen Männern drohen nach Angaben der US-Justiz hohe Haftstrafen von bis zu 20 Jahren.