Ausgerechnet im heiklen Feld der Bargeldverteilung fand vor kurzem ein Cyberangriff statt. Das geht aus einem Schreiben hervor, das dem STANDARD aus Bankenkreisen zugespielt wurde. Am 23. Mai wurden Teile der österreichischen Bankomat-Infrastruktur angegriffen. Öffentlich kommuniziert wurde der Angriff bisher nicht; betroffen war der sensible Bereich der sogenannten Cash-Logistik, also der Verteilung des Bargelds in einzelnen Geräten.

Ende Mai fand eine Cyber-Attacke auf Österreichs Bankomat-Infrastruktur statt. Die Öffentlichkeit wurde drüber nicht informiert.
Ende Mai fand eine Cyberattacke auf Österreichs Bankomat-Infrastruktur statt. Die Öffentlichkeit wurde darüber nicht informiert.
Getty Images/iStockphoto

Das dem STANDARD vorliegende Schreiben stammt vom US-Zahlungssystemhersteller Diebold Nixdorf (DN) mit Deutschland-Niederlassung in der Stadt Paderborn, Hersteller von allerlei Bankomaten und sonstigen Geldausgabegeräten. In dem Brief wurden Geschäftspartner über den Angriff informiert. Konkretes Opfer war nicht Diebold Nixdorf selbst, sondern Auftragnehmerfirmen des Konzerns, die für ihn die besagte Bargeldverteilung erledigen – in der Fachsprache die "Cash Cycle Optimization" (CCO).

"Attacke auf Server"

Es habe "eine Attacke auf Server und Komponenten" stattgefunden, heißt es in dem Schreiben von Diebold Nixdorf. Wer sie begangen habe, sei nicht bekannt. Betroffen vom Datendiebstahl seien "nur Informationen, die für die CCO notwendig sind". Das wären beispielsweise: Identifikationsnummern konkreter Bankomaten, Adressen betroffener Bankfilialen, die Menge des abgehobenen Geldes je Bankomat in einem bestimmten Zeitraum und wie viel Nachlieferungen an Bargeld pro Gerät notwendig waren. Konkrete Daten von Kundinnen und Kunden sind laut dem Diebold-Nixdorf-Schreiben "nach derzeitigem Wissensstand" nicht betroffen.

Laut Insidern aus Bankenkreisen dürfte der Angriff zugleich in Österreich und Deutschland stattgefunden haben. Über dessen Umfang findet sich nichts im Brief. Allerdings deutet einiges darauf hin, dass er durchaus großflächig erfolgt sein könnte. Das unmittelbare Opfer der Attacke war nämlich der Hosting-Anbieter eines Münchner Finanztechnologieunternehmens namens Planfocus, das wiederum im Auftrag von Diebold Nixdorf die Cash-Logistik betreibt.

Das Unternehmen Planfocus, wiewohl der breiten Öffentlichkeit kaum bekannt, gilt als durchaus wichtiger Akteur im Geschäft mit dem Cash. Laut Planfocus-Website steuert das Unternehmen jährlich "Bargeldlieferungen im Wert von über 300 Milliarden Euro". In Presseaussendungen beschreibt sich Planfocus als "führendes globales Fintech-Unternehmen, das eine hochentwickelte Technologie zur Optimierung der Bargeldlieferkette anbietet".

Keine Reaktion von Diebold Nixdorf

Vertreter von Planfocus waren für den STANDARD kurzfristig nicht zu sprechen; der Geschäftsführer sei auf Urlaub, hieß es. Auch die deutsche Konzernpressesprecherin von Diebold Nixdorf reagierte weder auf eine E-Mail noch auf Anrufe des STANDARD, der gern etwas über den derzeitigen Stand der Nachforschungen erfahren hätte.

Die "relevanten Regierungs- und Rechtsbehörden sind benachrichtigt worden", heißt es jedenfalls in dem Schreiben von Diebold Nixdorf. In Österreich dürfte die Nachricht nicht angekommen sein. Auf STANDARD-Anfrage bei der Oesterreichischen Nationalbank (OeNB), die über die Bargeldverteilung im Land wacht, heißt es: Man wisse nichts von diesem Angriff. (Joseph Gepp, 30.6.2023)