Bankschließfächer geleert - Insgesamt 68 Depots betroffen

In einer akkordierten Aktion hatten insgesamt sechs Personen am 13. November in der Zeit von 18.00 bis 23.14 Uhr die automatischen Safe-Anlagen in den drei Banken angegriffen. Geleert wurden 31 Schließfächer einer Bank-Austria-Filiale in Klosterneuburg, 29 der Mödlinger Raiffeisen Regionalbank sowie acht einer Raiffeisen-Filiale in Wien-Döbling.

Die Täter verließen die Objekte mit Taschen bzw. Rucksäcken im Gepäck. Darin befanden sich Juwelen, Gold, Uhren und Bargeld. Genaue Angaben zum Wert des Diebesguts wurden von Polizeisprecher Johann Baumschlager auf Nachfrage nicht gemacht. Der "Kurier" berichtete von rund 25 Millionen Euro. Diese Summe könne bei weitem nicht bestätigt werden, es seien nicht alle Geschädigten bereits einvernommen worden, so die NÖ Polizei.

Die Vorgangsweise dürfte an allen drei Tatorten gleich gewesen sein. Demnach wurde bisher erhoben, dass die Täter schon mehrere Wochen zuvor begonnen haben, mittels des sogenannten Skimmings die Karten von zutrittsberechtigten Kunden sowohl beim Eingang zum Diskretraum als auch beim Terminal des unmittelbaren Schließfachsystems zu kopieren. Dazu wird in den Eingabeschlitz ein von außen nicht sichtbares Kopiermodul eingebaut, welches die Informationen des Magnetstreifens sukzessive aufzeichnet und dann von den Tätern ausgelesen wird, um 1:1 Kopien anzulegen.

Die zu den Karten gehörenden PIN-Codes wurden sodann offenbar durch versteckt installierte kleine Kameras abgefilmt, als die späteren Opfer auf ihre Fächer zugegriffen haben. Kurz vor dem Zugriff auf die Schließfächer am 13. November 2020 haben die Täter alle Installationen abgebaut. Die Überwindung der Zutrittskontrolle sowie der PIN-Hürde wurde so zum leichten Spiel für die Kriminellen. Im Anschluss forderten sie die Schließfächer vom Tresorraum an und öffneten diese zum Teil auch gewaltsam.

Eine mögliche Spur zu den Tätern führt laut "Salzburger Nachrichten" nach Schweden. Demnach gab es Mitte August eine Cyberattacke auf die Zentrale des Weltkonzerns "Gunnebo" in Göteborg, der auf integrierte Sicherheitslösungen spezialisiert ist. Der Linzer Cybersicherheitsexperte Jürgen Weiss sagte demnach den "SN", dass dabei möglicherweise "Masterkey"-Passwörter für die Zutrittssysteme zur automatischen Safeanlage abgezogen worden sind, mit denen Computer fremdangesteuert werden könnten.

Auf ähnliche Weise hätten Täter bereits in der Schweiz und in Deutschland Schließfächer leergeräumt, berichteten die "SN". Baumschlager bestätigte der APA, dass den Ermittlern Fälle in der Schweiz und in Norddeutschland bekannt seien, bei denen die Täter nach ähnlichem Modus Operandi vorgegangen sind. Diesbezügliche Zusammenhänge prüfen die Kriminalisten, so der Polizeisprecher.

Auf der "Gunnebo"-Homepage wurde laut "SN" mittlerweile eine Stellungnahme veröffentlicht: "Mittlerweile ist klar, dass bestimmte Daten aus diesem Ransomware-Angriff erbeutet und über das Darknet zugänglich gemacht wurden." "Gunnebo"-Sprecherin Isabelle Ljunggren teilte am Donnerstag mit, das Unternehmen habe sofort eine interne Untersuchung eingeleitet. Diese habe ergeben, dass es "keinen Hinweis für einen Zusammenhang zwischen dem im August entdeckten IT-Vorfall und dem Skimming-Angriff auf Kunden der automatischen Mietfachanlage" gebe.

"Die Ermittlungen der Landeskriminalämter Wien und NÖ laufen weiterhin auf Hochtouren", hieß es bei den Ermittlern. Ausgegangen wird grundsätzlich von mehr als sechs Verdächtigen. Zu den auf Videoaufnahmen sichtbaren Tätern könnten noch mögliche Lenker von Fluchtfahrzeugen und etwaige im Hintergrund agierende IT-Spezialisten kommen.

Details gab es auch zu den Diebstählen in den niederösterreichischen Geldinstituten: So sind auf den Überwachungsvideos aus Klosterneuburg zwei vermummte Männer zu sehen. Die Ermittler gehen aber von einem dritten Täter oder Täterin aus, der oder die in einem in der Nähe abgestellten Pkw saß. Das Auto dürfte im Bereich des Stadtplatzes und bei der Park&Ride-Anlage beim Bahnhof oder auf dem Schotterparkplatz "In der Au" abgestellt gewesen sein.

Einer der Täter in Klosterneuburg verließ die Bank mit einer offensichtlich voll bepackten Tasche um 19.34 Uhr in Richtung Stadtplatz und kehrte ohne diese Tasche um 19.37 Uhr zurück. Um 23.18 kamen die beiden Schließfacheinbrecher aus der Bank und gingen dann in Richtung der Park&Ride-Anlage bzw. Schotterparkplatz "In der Au".