Banken kontra Betrüger: Wettlauf um Sicherheit am Geldautomaten

Frankfurt/Main (dpa) - Verbraucher müssen sich weniger Sorgen vor Datenklau an deutschen Geldautomaten machen. Doch Kriminelle suchen sich neue Wege, um an geheime Kartendaten zu kommen. Die Schäden gehen in die Millionen.

Foto: dpa

Manchmal trifft es sogar Profis. Ausgerechnet der damalige Chef des Bezahldienstes Paypal, David Marcus, berichtete im vergangenen Februar von einer „Skimming“-Attacke. Kriminelle hätten vermutlich in einem Hotel in Großbritannien seine Kreditkartendaten abgeschöpft, schrieb Marcus auf Twitter: „Sie vervielfältigen sie und gingen auf Einkaufstour.“

Täter, die an Geldautomaten in Deutschland Kartendaten und Geheimnummern (PIN) ausspähen, müssen inzwischen weit reisen, um daraus Gewinn zu schlagen. Dank milliardenschwerer Investitionen in die neue EMV-Technik mit einer Art Mini-Computer in den Plastikkarten passiert in Europa so gut wie nichts mehr mit Kartendubletten - darauf verweisen Deutschlands Banken seit Jahren stolz. Mit einer speziellen Anti-Skimming-Technik wollen Automatenhersteller wie Wincor Nixdorf das Geldabheben für Verbraucher noch sicherer machen.

Doch weil längst nicht alle Staaten bei der Modernisierung mitziehen und Bezahlkarten statt mit Magnetstreifen mit EMV-Sicherheitstechnik ausrüsten, finden Kriminelle immer wieder Schlupflöcher. Vor allem in Brasilien, Sri Lanka, Indonesien, Indien und den USA konnten Betrüger im ersten Halbjahr 2014 geklaute Kartendaten zum Geldabheben und Einkaufen nutzen.

„Endgültige Entwarnung können wir noch nicht geben. Betrug am Geldautomaten verursacht nach wie vor beträchtliche Schäden“, betont Andreas Mayer, Geschäftsführer der Polizeilichen Kriminalprävention der Länder und des Bundes in Stuttgart. Für die ersten sechs Monate 2014 summierte sich der Schaden infolge des Ausspähens sensibler Daten von Bankkunden an Geldautomaten in Deutschland auf rund 1,4 Millionen Euro. Immerhin sank der Wert zuletzt auf ein Rekordtief, wie Branchenkenner berichten.

Da es am Geldautomaten immer schwieriger wird, Daten abzugreifen, suchen sich Kriminelle neue Ziele: „Täter weichen in Einzelfällen auf Fahrkartenautomaten der Bahn oder Registrierkassen im Discounter aus“, schildert Mayer.

Im März verurteilte das Landgericht Hildesheim beispielsweise einen 32-Jährigen rechtskräftig zu vier Jahren Haft, weil er sich an Geld- und Fahrkartenautomaten die Daten von Hunderten Bankkunden verschafft hatte. Etwa 400 Datensätze wurden gegen Geld an Hintermänner in Slowenien weitergegeben, die dann mit Kartendubletten insgesamt mehr als 142 000 Euro von den Konten der betroffenen Bankkunden abbuchten.

Auch am Bankautomaten werden Betrüger erfinderisch, um trotz immer ausgefeilterer Technik auf illegale Weise an Geld zu kommen, wie Mayer berichtet. Beim sogenannten Cash-Trapping wird über den Geldausgabeschacht ein täuschend echter Verschluss geklebt. Der Verschluss ist innen mit einer Klebefolie versehen, die Geldscheine bleiben im Ausgabeschacht kleben. Der Kunde vermutet einen Defekt am Automaten - und kaum hat er die Bank verlassen, kann der Täter zumindest bei älteren Geräten das Geld aus dem Ausgabeschacht ziehen.

Gefahren lauern auch an der Kasse im Supermarkt oder an der Tankstelle. Das Bundeskriminalamt präsentierte bei seiner Herbsttagung im November ein manipuliertes EC-Karten-Terminal: Ein versteckter Chip liest die Kartendaten aus und überträgt sie auf ein Handy in der Nähe. Die Täter können dann ein Duplikat der EC-Karte anfertigen und irgendwo auf der Welt damit einkaufen gehen. Es ist die moderne Variante des Taschendiebstahls.

Ex-Paypal-Chef David Marcus, der inzwischen für Facebook arbeitet, schlug aus seiner Erfahrung als „Skimming“-Opfer Kapital: „Es wäre nichts passiert, wenn der Händler Paypal genutzt hätte“, kommentierte Marcus auf Twitter. Denn Bezahldienste wie Paypal übertragen bei Transaktionen keine Bank- oder Kreditkartendaten.