Klau sensibler Bankdaten Kriminelle nutzten letzte Sicherheitslücken
Frankfurt/Main (dpa) - Bis ins ferne Kathmandu führt die Spur aus Mittelhessen: In der Hauptstadt des Himalaya-Staates Nepal machen Kriminelle in diesem Herbst Daten von Bankkunden zu Geld, die sie an einem Geldautomaten in Bad Nauheim abgefischt hatten.
Der Fall bestätigt den Trend: Kriminelle müssen weit reisen oder gut vernetzt sein, um in Deutschland gestohlene Bankdaten zum Geldabheben oder Bezahlen zu missbrauchen. Denn Kartendubletten funktionieren im Grunde nur noch dort, wo Bezahlkarten nach wie vor mit leicht kopierbaren Magnetstreifen ausgerüstet werden.
Immer mehr Länder weltweit setzen auf moderne EMV-Technik. Dabei sind Bezahlkarten mit einer Art Mini-Computer ausgestattet: Der Datensatz wird verschlüsselt, die Karte bei Gebrauch auf Echtheit geprüft - und zwar bei jedem Einsatz sowohl am Geldautomaten als auch an der Ladenkasse. In Deutschland sind seit Ende 2010 alle inzwischen gut 100 Millionen Girocards mit EMV-Chip ausgestattet, ebenso sämtliche knapp 60 000 Geldautomaten und 720 000 Terminals im Handel.
„In Europa haben wir praktisch keine Skimming-Schäden mehr dank moderner Technik“, sagt Margit Schneider von Euro Kartensysteme in Frankfurt. Das hält Kriminelle aber nicht davon ab, an Geldautomaten in Deutschland Kartendaten und Geheimnummer (PIN) von Bankkunden auszuspähen („Skimming“) - im Gegenteil: sowohl die Fallzahlen als auch der Bruttoschaden gingen im laufenden Jahr wieder nach oben.
476 Manipulationen von Geldautomaten bundesweit zählte die Einrichtung Euro Kartensysteme, die sich im Auftrag der deutschen Kreditwirtschaft um das Sicherheitsmanagement für Zahlungskarten kümmert, von Januar bis einschließlich November 2017. Brennpunkt einmal mehr: Berlin. Mit 267 Fällen registrierten Fahnder 56 Prozent aller „Skimming“-Attacken in der Bundeshauptstadt. Die Häufung hat nach früherer Einschätzung des Bundeskriminalamts (BKA) auch damit zu tun, dass in Berlin viele Touristen unterwegs sind - unter anderem aus Ländern, in denen Zahlungskarten noch nicht mit dem EMV-Chip ausgestattet sind.
In den ersten elf Monaten des Vorjahres waren 344 Manipulationen von Geldautomaten gezählt worden, im Gesamtjahr 2016 dann 369. Dabei können einzelne Automanten mehrfach Ziel von „Skimming“-Attacken sein.
Der Bruttoschaden durch den Einsatz von Kartendubletten ging nach vier Jahren in Folge mit sinkenden Werten erstmals wieder nach oben. Von Januar bis einschließlich November des laufenden Jahres summierte er sich auf gut 2,0 Millionen Euro - das sind über 30 Prozent mehr als in den elf Monaten des Vorjahres (rund 1,6 Mio Euro) und liegt bereits über dem Rekordtief des Gesamtjahres 2016 (1,9 Mio Euro). Im Gesamtjahr 2015 waren es 2,7 Millionen Euro, 2014 noch 3,1 Millionen, 2013 noch 11,3 Millionen Euro, 2012 wie 2011 sogar 34 Millionen Euro.
„Die Tätergruppe, die sich auf Skimming spezialisiert haben, versuchen alles auszuschöpfen, was geht, bevor sich die EMV-Technik überall durchgesetzt hat“, meint Schneider. Der aktuelle Anstieg der Zahlen sei aus ihrer Sicht kein Grund zur Besorgnis. „Ich sehe das nicht als alarmierend an, denn unter dem Strich ist der Nettoschaden äußerst gering.“
Tatsächlich bleiben von dem Bruttoschaden nur etwa 300 000 Euro (15 Prozent) an den heimischen Banken und Sparkassen hängen. Grund sind internationale Abkommen, wonach für Schäden aus betrügerischen Geschäften mit geklauten Kartendaten die Länder aufkommen müssen, die die niedrigsten Sicherheitsstandards haben.
Diese sogenannte Haftungsumkehr greift seit diesem November auch für Indien, im April 2018 kommt Nepal hinzu, ab Januar 2022 als letztes Land dann Indonesien - und damit jenes Land, in dem Kartenfälschungen auf Basis von in Deutschland geklauten Daten in jüngster Zeit vor allem zu Geld gemacht werden. Dort lag der Schadensanteil in den ersten elf Monaten 2017 bei gut 28 Prozent, gefolgt von den USA (22 Prozent) und Australien (16 Prozent).
Zu einem größeren Problem hat sich in den vergangenen Jahren Diebstahl und Verlust von Zahlungskarten in Deutschland entwickelt. Hier jedoch sind die aktuellen Zahlen rückläufig: 9584 (Vorjahreszeitraum: 11 378) Fälle wurden von Januar bis November gezählt, der Bruttoschaden sank von rund 14,3 Millionen Euro auf rund 12,6 Millionen Euro. Weil Kriminelle oft mit Originalkarten und korrekter Geheimnummer am Automaten Bargeld ziehen, gehen Experten davon aus, dass viele Verbraucher nach wie vor Karte und PIN zusammen im Geldbeutel aufbewahren - entgegen aller Warnungen.