100-Millionen-"Hack" erschüttert digitales Echtzeit-Zahlungssystem
Ein Passwort, eine Nacht: In Brasilien wurde ein gigantischer Bankenbetrug aufgedeckt, bei dem über 100 Millionen Dollar über das Echtzeit-Zahlungssystem PIX verschoben wurden. Der zentrale Zugang kam von innen - verkauft von einem IT-Mitarbeiter.
PIX ist das unbestreitbare Rückgrat des brasilianischen Zahlungsverkehrs: Über 76 Prozent der Bevölkerung nutzen das staatliche System für Echtzeit-Überweisungen - ohne Gebühren, rund um die Uhr. Möglich wird das durch technische Dienstleister, die kleinere Banken an die Zentralbank anbinden. Genau dort begann der Angriff.
Die Polizei in São Paulo nahm am Freitag nach eigenen Angaben (via TechXplorer) einen Techniker des Zahlungsdienstleisters C&M fest. Laut Ermittlern hat er seine persönlichen Zugangsdaten an eine Hackergruppe verkauft, die ihn gezielt angeworben hatte. Mithilfe dieser Zugänge führten die Täter in nur einer Nacht eine Vielzahl unbefugter Transaktionen aus - direkt über das PIX-Netzwerk, jedoch ausschließlich auf Kosten der Banken, nicht der Endkunden.
"Der Angriff erfolgte durch autorisierte Anmeldedaten, die auf unrechtmäßige Weise erworben wurden", heißt es in einer Stellungnahme von C&M gegenüber lokalen Medien. Das Unternehmen betont, dass keine technischen Sicherheitslücken ausgenutzt wurden - der Fehler lag im menschlichen Faktor: Social Engineering. Das mit einem einzigen kompromittierten Login hunderte Millionen an falschen Überweisungen getätigt werden konnten, wirft natürlich trotzdem Fragen auf.
Dass ein einziger kompromittierter Zugang ausreicht, um in wenigen Stunden Hunderte Millionen zu verschieben, zeigt eine strukturelle Schwäche: Selbst hochverfügbare und staatlich gesteuerte Bezahlsysteme bleiben anfällig - wenn sie auf zentrale Schnittstellen und vertraute Mitarbeiter setzen.
Siehe auch:
IT-Mitarbeiter verkauft Login: 100-Millionen-Bankraub
Was wie ein Hightech-Hack klingen könnte, begann mit einem simplen Vertrauensbruch. In einem Land, das stark auf digitale Zahlungen setzt, genügte ein einzelner Login, um Zugriff auf Konten im Zentralbanksystem zu erlangen. Die Attacke zielte nicht auf die Technik, sondern auf die menschliche Schwachstelle - und sie traf ein System, das für Millionen als sicher galt.PIX ist das unbestreitbare Rückgrat des brasilianischen Zahlungsverkehrs: Über 76 Prozent der Bevölkerung nutzen das staatliche System für Echtzeit-Überweisungen - ohne Gebühren, rund um die Uhr. Möglich wird das durch technische Dienstleister, die kleinere Banken an die Zentralbank anbinden. Genau dort begann der Angriff.
Die Polizei in São Paulo nahm am Freitag nach eigenen Angaben (via TechXplorer) einen Techniker des Zahlungsdienstleisters C&M fest. Laut Ermittlern hat er seine persönlichen Zugangsdaten an eine Hackergruppe verkauft, die ihn gezielt angeworben hatte. Mithilfe dieser Zugänge führten die Täter in nur einer Nacht eine Vielzahl unbefugter Transaktionen aus - direkt über das PIX-Netzwerk, jedoch ausschließlich auf Kosten der Banken, nicht der Endkunden.
"Der Angriff erfolgte durch autorisierte Anmeldedaten, die auf unrechtmäßige Weise erworben wurden", heißt es in einer Stellungnahme von C&M gegenüber lokalen Medien. Das Unternehmen betont, dass keine technischen Sicherheitslücken ausgenutzt wurden - der Fehler lag im menschlichen Faktor: Social Engineering. Das mit einem einzigen kompromittierten Login hunderte Millionen an falschen Überweisungen getätigt werden konnten, wirft natürlich trotzdem Fragen auf.
Schäden nicht absehbar
Die brasilianische Zentralbank reagierte mit der vorläufigen Sperrung von Teilen der C&M-Infrastruktur. Ermittler gehen davon aus, dass mindestens vier weitere Personen an dem Coup beteiligt waren. Bereits jetzt wurden Vermögenswerte in Höhe von rund 270 Millionen brasilianischer Real eingefroren - das entspricht etwa 42,5 Millionen Euro. Allein eine betroffene Bank meldet Verluste von rund 100 Millionen Euro. Die Gesamtschäden könnten noch deutlich höher ausfallen.Dass ein einziger kompromittierter Zugang ausreicht, um in wenigen Stunden Hunderte Millionen zu verschieben, zeigt eine strukturelle Schwäche: Selbst hochverfügbare und staatlich gesteuerte Bezahlsysteme bleiben anfällig - wenn sie auf zentrale Schnittstellen und vertraute Mitarbeiter setzen.
Was ist eine Echtzeitüberweisung?
Eine Echtzeitüberweisung (auch SEPA Instant Payment genannt) ist eine Überweisungsform, bei der das Geld innerhalb von etwa 10 Sekunden auf dem Konto des Empfängers gutgeschrieben wird. Im Gegensatz zur Standardüberweisung, die meist einen Werktag benötigt, funktioniert sie rund um die Uhr an 365 Tagen im Jahr.
Seit Januar 2025 müssen alle Banken in der Eurozone solche Überweisungen empfangen können, ab Oktober 2025 sind alle verpflichtet, auch das Senden anzubieten. Voraussetzung für die Nutzung ist ein Online-Banking-Zugang sowie die Teilnahme beider beteiligten Banken am Echtzeitverfahren.
Seit Januar 2025 müssen alle Banken in der Eurozone solche Überweisungen empfangen können, ab Oktober 2025 sind alle verpflichtet, auch das Senden anzubieten. Voraussetzung für die Nutzung ist ein Online-Banking-Zugang sowie die Teilnahme beider beteiligten Banken am Echtzeitverfahren.
Was kostet eine Echtzeitüberweisung?
Seit dem 9. Januar 2025 dürfen für Echtzeitüberweisungen keine höheren Gebühren mehr berechnet werden als für Standardüberweisungen. Das bedeutet, dass die Kosten den normalen Überweisungsentgelten des jeweiligen Kontomodells entsprechen müssen.
Wer beispielsweise 50 Cent pro normale Überweisung bezahlt, zahlt in der Regel den gleichen Betrag für eine Echtzeitüberweisung. Bei vielen Banken sind Überweisungen im Rahmen der Kontoführungsgebühren kostenlos, was dann auch für Echtzeitüberweisungen gilt. Vorher wurden teilweise Extragebühren von bis zu 1,50 Euro verlangt.
Wer beispielsweise 50 Cent pro normale Überweisung bezahlt, zahlt in der Regel den gleichen Betrag für eine Echtzeitüberweisung. Bei vielen Banken sind Überweisungen im Rahmen der Kontoführungsgebühren kostenlos, was dann auch für Echtzeitüberweisungen gilt. Vorher wurden teilweise Extragebühren von bis zu 1,50 Euro verlangt.
Welche Vorteile bietet sie?
Der Hauptvorteil ist die sofortige Verfügbarkeit des Geldes beim Empfänger, was besonders in dringenden Situationen nützlich ist. Dies ermöglicht etwa die direkte Bezahlung von Handwerkern vor Ort, schnelle Hilfe bei finanziellen Notlagen oder die sofortige Begleichung einer wichtigen Rechnung.
Für Unternehmen verbessert die Echtzeitüberweisung die Liquidität durch schnelleren Zahlungseingang und reduziert den Aufwand für Zahlungsüberwachung. Verkäufer können Waren schneller versenden, da die Zahlungsbestätigung sofort erfolgt. Zudem funktioniert das System täglich rund um die Uhr, auch an Wochenenden und Feiertagen.
Für Unternehmen verbessert die Echtzeitüberweisung die Liquidität durch schnelleren Zahlungseingang und reduziert den Aufwand für Zahlungsüberwachung. Verkäufer können Waren schneller versenden, da die Zahlungsbestätigung sofort erfolgt. Zudem funktioniert das System täglich rund um die Uhr, auch an Wochenenden und Feiertagen.
Ist die Echtzeitüberweisung sicher?
Grundsätzlich nutzt die Echtzeitüberweisung dieselben Sicherheitsstandards wie herkömmliche Überweisungen und muss mit den üblichen TAN-Verfahren autorisiert werden. Allerdings birgt die Schnelligkeit zusätzliche Risiken, da alle Sicherheitschecks in kürzester Zeit ablaufen müssen.
Um kriminelle Zugriffe zu erschweren, ist ein Abgleich von IBAN und Empfängername vorgesehen, der im Hintergrund zwischen den Banken erfolgt. Bei Nichtübereinstimmung wird eine Warnung angezeigt. Experten empfehlen zudem, einen Höchstbetrag für Echtzeitüberweisungen festzulegen und besonders bei unbekannten Empfängern vorsichtig zu sein.
Um kriminelle Zugriffe zu erschweren, ist ein Abgleich von IBAN und Empfängername vorgesehen, der im Hintergrund zwischen den Banken erfolgt. Bei Nichtübereinstimmung wird eine Warnung angezeigt. Experten empfehlen zudem, einen Höchstbetrag für Echtzeitüberweisungen festzulegen und besonders bei unbekannten Empfängern vorsichtig zu sein.
Kann ich das Geld zurückholen?
Eine Echtzeitüberweisung ist deutlich schwieriger zurückzuholen als eine Standardüberweisung. Da das Geld sofort auf dem Konto des Empfängers gutgeschrieben wird, ist ein technisches Zurückrufen innerhalb der Clearingläufe nicht mehr möglich.
Bei Fehlüberweisungen kann die Bank einen Rückruf (Recall) versuchen, wobei die Empfängerbank den Kontoinhaber fragen muss, ob er der Rücküberweisung zustimmt. Dies ist jedoch nicht garantiert und kann mit Gebühren verbunden sein. Bei Betrugsfällen sollte umgehend die Bank informiert werden, die dann versuchen kann, das Empfängerkonto einzufrieren.
Bei Fehlüberweisungen kann die Bank einen Rückruf (Recall) versuchen, wobei die Empfängerbank den Kontoinhaber fragen muss, ob er der Rücküberweisung zustimmt. Dies ist jedoch nicht garantiert und kann mit Gebühren verbunden sein. Bei Betrugsfällen sollte umgehend die Bank informiert werden, die dann versuchen kann, das Empfängerkonto einzufrieren.
Wo kann ich sie nutzen?
Echtzeitüberweisungen sind in allen Ländern des einheitlichen Euro-Zahlungsverkehrsraums (SEPA) möglich. Dazu gehören neben allen EU-Mitgliedsstaaten auch weitere Länder des Europäischen Wirtschaftsraums wie die Schweiz und das Vereinigte Königreich.
Die Option zur Echtzeitüberweisung kann bequem im Online-Banking oder in der Banking-App ausgewählt werden. Für Nicht-Euro-Überweisungen innerhalb der EU soll die Echtzeitüberweisung ab 2027 umgesetzt werden. Aktuell gilt eine Betragsgrenze von 100.000 Euro pro Transaktion.
Die Option zur Echtzeitüberweisung kann bequem im Online-Banking oder in der Banking-App ausgewählt werden. Für Nicht-Euro-Überweisungen innerhalb der EU soll die Echtzeitüberweisung ab 2027 umgesetzt werden. Aktuell gilt eine Betragsgrenze von 100.000 Euro pro Transaktion.
Wann ist sie besonders sinnvoll?
Besonders nützlich ist die Echtzeitüberweisung in dringenden Situationen, etwa bei Notdiensten wie dem Schlüsseldienst oder bei kurzfristigen Rechnungen von Handwerkern. Auch für sofortige Geldgeschenke oder die schnelle Rückzahlung geliehener Beträge eignet sie sich hervorragend.
Beim Online-Shopping kann sie vorteilhaft sein, da der Händler sofort sieht, dass die Zahlung erfolgt ist, und die Ware schneller versenden kann. Für Verkäufer bietet sie den Vorteil, dass das Geld garantiert echt ist und sofort zur Verfügung steht, was besonders bei höheren Beträgen wichtig sein kann.
Beim Online-Shopping kann sie vorteilhaft sein, da der Händler sofort sieht, dass die Zahlung erfolgt ist, und die Ware schneller versenden kann. Für Verkäufer bietet sie den Vorteil, dass das Geld garantiert echt ist und sofort zur Verfügung steht, was besonders bei höheren Beträgen wichtig sein kann.
Echtzeitüberweisung vs. Sofortzahlung?
Die Begriffe werden oft verwechselt, bezeichnen aber unterschiedliche Dienste. Die Echtzeitüberweisung ist ein offizielles Bankenverfahren (SEPA Instant Credit Transfer), bei dem das Geld direkt zwischen Bankkonten transferiert wird, ohne Zwischenhändler.
Bei Sofortzahlung (Sofortüberweisung) handelt es sich dagegen um einen Dienst eines Drittanbieters wie Klarna, der als Vermittler fungiert. Während die Echtzeitüberweisung seit 2025 zum Standardpreis angeboten werden muss, können bei Sofortzahlungen zusätzliche Gebühren für Händler anfallen. Beide Verfahren haben ihre spezifischen Vor- und Nachteile.
Bei Sofortzahlung (Sofortüberweisung) handelt es sich dagegen um einen Dienst eines Drittanbieters wie Klarna, der als Vermittler fungiert. Während die Echtzeitüberweisung seit 2025 zum Standardpreis angeboten werden muss, können bei Sofortzahlungen zusätzliche Gebühren für Händler anfallen. Beide Verfahren haben ihre spezifischen Vor- und Nachteile.
Zusammenfassung
- IT-Mitarbeiter verkaufte Zugangsdaten für 100-Millionen-Dollar-Betrug
- Brasilianisches Echtzeit-Zahlungssystem PIX wurde Ziel des Angriffs
- Über 76 Prozent der brasilianischen Bevölkerung nutzen das PIX-System
- Täter führten in einer Nacht zahlreiche unbefugte Transaktionen aus
- Die Zentralbank sperrte vorläufig Teile der betroffenen Infrastruktur
- Vermögenswerte in Höhe von circa 45 Millionen US-Dollar wurden eingefroren
- Mindestens vier weitere Personen waren an dem Betrug beteiligt
Siehe auch:
- Infostealer: Passwort-Datenbanken mit 16 Milliarden Einträgen entdeckt
- Steam: Japanische Banken verweigern Sex-Game-Entwicklern ihr Geld
- X Money: Musks neuer Bezahldienst angekündigt - soll Banken ersetzen
- Krise bei Twitter/X: Banken werden nervös, Musk warnt Mitarbeiter
- Banken und Sparkassen setzen auf Wero - doch das zündet nicht
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Kaufmännische Anwendungen:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen