Sicherheitslücke bei chinesischer Bank Mitternachts gab es Bargeld satt

Jahrelang nutzte ein Programmierer einen Softwarefehler seiner Bank aus, um Hunderttausende Dollar zu entwenden - immer um null Uhr. Er habe nur einen Test durchgeführt, sagt er. Seine Richter wollen das nicht glauben.

Huaxia Bank
Getty Images

Huaxia Bank


Als er diesen Fehler im Computersystem seines Arbeitgebers entdeckte, könnte sich das für Qin Qisheng, einen 43 Jahre alten Programmierer der chinesischen Bank Huaxia, angefühlt haben wie ein Lottogewinn. Wie die Zeitung "South China Morning Post" berichtet, hatte der Mann bemerkt, dass Abhebungen, die gegen Mitternacht erfolgten, von den Systemen der Bank nicht verbucht wurden.

Der Fehler im System ermöglichte es ihm, regelmäßig nachts an Geldautomaten Bargeld zu ziehen, ohne dass die Beträge tatsächlich von einem Konto abgezogen wurden. Warnmeldungen, die die Bank normalerweise über solche gescheiterten Transaktionen alarmieren sollen, unterdrückte er mit einem Computerskript, das er ins System einschleuste. So konnte er seit 2016 ein Vermögen von umgerechnet mehr als einer Million Dollar anhäufen.

Der beim Technologiezentrum der Bank in Peking angestellte Programmierer nutzte dafür ein Konto, das von der Bank zu Testzwecken eingerichtet worden war. Erst im vergangenen Jahr fiel der Bank die Sicherheitslücke auf - nach 1358 Abhebungen. Die Schwachstelle wurde umgehend geschlossen, der Verantwortliche zur Rechenschaft gezogen.

Die Bank wollte ihm glauben

Womöglich auch aus Angst um ihren Ruf akzeptierte die Bank die Erklärung des Programmierers, er habe die Tat nur begangen, um die Sicherheitssysteme der Bank zu testen. Tatsächlich konnte der Beschuldigte die entwendete Summe auch sofort auf einen Schlag zurückzahlen. Er hatte das Geld auf seinem Privatkonto geparkt.

Nun aber ist er wegen Diebstahls doch zu einer Gefängnisstrafe von zehneinhalb Jahren verurteilt worden. Seine Erklärung hatte die Strafverfolger und Richter offenbar nicht überzeugen können.

Der wesentliche Grund für diese Entscheidung könnte gewesen sein, dass Qin Qisheng das aus den Geldautomaten gezogene Bargeld nicht einfach auf seinem Konto liegen ließ, sondern zumindest einen Teil davon in Aktiengeschäfte investiert hatte.

Gegen das Urteil hat Qin bereits Berufung eingelegt.

sop/mak

Mehr zum Thema


insgesamt 7 Beiträge
Alle Kommentare öffnen
Seite 1
sven2016 06.02.2019
1. High Tech in China.
Haben die ihre Sicherheitssysteme von der Commerzbank gestohlen? Ein einzelner Administrator sollte nicht solche (ungeloggten) Zugriffe auf Transaktionen haben dürfen. Keine neue Erkenntnis.
betonklotz 06.02.2019
2. Da fehlte wohl der Plan, wie es weitergehen soll.
Man kann ja nicht darauf vertrauen, daß sowas niemals auffällt. Vielmehr muß man den Regeln der Wahrscheinlichkeit gemäß damit rechnen iregendwann aufzufliegen. Da braucht es einen Plan, wie man vorher abtaucht und seine Spuren verwischt. Einen solchen hatte der Gute wohl nicht. Ansonsten natürlich peinlich ür die Bank. Dann stellt sich noch die Frage ob es diesen Fehler nur bei dieser Bank gibt oder auch bei anderen.
markusma 06.02.2019
3. Ohne mehr Details ...
... sind solche aussagen doch nur Spekulation. > "in einzelner Administrator sollte nicht solche (ungeloggten) Zugriffe auf Transaktionen haben dürfen. Für mich hört es sich eher an, als das sein Script genau die Protokollierung der fehlgeschlagenen Transaktion unterdrückte (verhinderte) und so das Geld zwar ausgezahlt wurde, aber in den protokollierten Transaktionen nicht auftauchte. Und der Geldautomat ging davon aus, das die Auszahlung korrekt erfasst wurde.
mathias.steffens 06.02.2019
4. Re: sven2016
Hallo sven, hast Du den Artikel gelesen? Dort steht, dass zwei Personen Mist gebaut haben, nicht einer alleine wie Du schreibst. a) Ein Entwickler, hat einen Fehler programmiert, der dazu führte, dass um Mitternacht die Transaktionen nicht verbucht wurden. b) Der Verurteilte, der das Überwachungsprotokoll über inkonsistente Transaktionen manipuliert hat.
Cascara LF 06.02.2019
5. Artikel gelesen aber nicht verstanden?
Zitat von mathias.steffensHallo sven, hast Du den Artikel gelesen? Dort steht, dass zwei Personen Mist gebaut haben, nicht einer alleine wie Du schreibst. a) Ein Entwickler, hat einen Fehler programmiert, der dazu führte, dass um Mitternacht die Transaktionen nicht verbucht wurden. b) Der Verurteilte, der das Überwachungsprotokoll über inkonsistente Transaktionen manipuliert hat.
Der Programmierer und der Abheber sind die selbe Person, nämlich der Verurteilte, Qin Qisheng.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.