EMV-Chip begrenzt Schäden Wettlauf um die beste Technik: Mehr Datenklau am Automaten
Frankfurt/Main (dpa) - Die Zahl klingt alarmierend: 240 Geldautomaten bundesweit manipulierten Kriminelle im ersten Halbjahr 2017, um Kartendaten und Geheimnummer (PIN) von Bankkunden auszuspähen.
So viele „Skimming“-Angriffe binnen sechs Monaten gab es in Deutschland zuletzt im ersten Halbjahr 2013 (251). Der Wert des Gesamtjahres 2016 (159) ist bereits weit überschritten. Nachdem die Zahlen jahrelang stetig sanken - auch dank Milliardeninvestitionen der Bankenbranche in sicherere Technik - kehrte sich der Trend im vergangenen Jahr um.
Die Branche sieht die jüngsten Zahlen gleichwohl gelassen. „Die Anzahl der Manipulationen ist zwar enorm gestiegen, das ist aber kein Grund zur Besorgnis“, sagt Margit Schneider von Euro Kartensysteme. „Denn die Einsatzmöglichkeiten der abgegriffenen Kartendaten sind gering.“
Die moderate Entwicklung des Bruttoschadens spricht für die Lesart der Frankfurter Einrichtung, die sich im Auftrag der deutschen Kreditwirtschaft um das Sicherheitsmanagement für Zahlungskarten kümmert: Während die „Skimming“-Fälle im Halbjahresvergleich um 155 Prozent nach oben schossen, nahm der Schaden durch den Einsatz von Kartendubletten gerade einmal um elf Prozent auf 938 000 Euro zu.
Kriminelle müssen weit reisen oder gut vernetzt sein, um in Deutschland gestohlene Bankdaten zum Bezahlen oder Einkaufen zu missbrauchen. Denn die auf dieser Grundlage hergestellten Kartendubletten funktionieren im Grunde nur noch dort, wo Bezahlkarten nach wie vor mit leichter kopierbaren Magnetstreifen ausgerüstet werden.
Haupteinsatzländer mit Kartenfälschungen auf Basis von in Deutschland geklauten Daten waren im ersten Halbjahr Indonesien (31 Prozent Schadensanteil), die USA (knapp 30 Prozent) und Australien (12 Prozent).
Bis auf wenige Lücken hat sich weltweit die EMV-Technik durchgesetzt, bei der Bezahlkarten mit einer Art Mini-Computer ausgestattet sind. Dabei wird die Karte bei Gebrauch auf Echtheit geprüft - und zwar bei jedem Einsatz. In Deutschland sind seit Ende 2010 alle inzwischen gut 100 Millionen Girocards mit EMV-Chip ausgestattet, ebenso sämtliche knapp 60 000 Geldautomaten und 720 000 Terminals im Handel.
Dennoch versuchen Datendiebe an sensible Daten von Bankkunden zu kommen - vor allem in Berlin. Die Hauptstadt ist auch Deutschlands „Skimming“-Brennpunkt: Fast 60 Prozent der Fälle im ersten Halbjahr registrierten Fahnder in Berlin (139). Das liegt nach Einschätzung des Bundeskriminalamts (BKA) auch daran, dass in der Stadt viele Touristen unterwegs sind - unter anderem aus Ländern, in denen Zahlungskarten noch nicht mit dem EMV-Chip ausgestattet sind.
Die Täter seien „organisiert, professionell und sehr erfinderisch“, warnte kürzlich Sabine Vogt, Leiterin Schwere und Organisierte Kriminalität beim BKA. Kriminelle entwickelten „analog zu den Abwehrstrategien der Banken neue Modi Operandi“, heißt es im jüngsten Lagebericht „Angriffe auf Geldautomaten“ des BKA.
In Baden-Württemberg, Rheinland-Pfalz und dem Saarland waren Täter 2016 zum Beispiel mit dem sogenannten Blackboxing erfolgreich: Dabei öffnen die Täter den Geldautomaten und übernehmen nach der Installation einer Blackbox die Kommunikation mit dem Auszahlungsmodul, um anschließend zahlreiche unautorisierte Bargeldauszahlungen nacheinander zu veranlassen. Auch mit neuartigen „Skimming“-Geräten, die innerhalb des Karteneinzugs installiert werden und daher schwerer zu erkennen sind, versuchen Datendiebe zum Ziel zu kommen.
Insgesamt jedoch konstatiert das BKA auf Grundlage der Jahreszahlen 2016: Anhand der Schadenssumme lasse sich nachvollziehen, „dass Skimmingdelikte, zumindest für Deutschland, kein Kriminalitätsphänomen mit herausragender Bedeutung sind“.
Wer als Verbraucher dennoch Opfer von „Skimming“ geworden ist, muss meist keinen finanziellen Nachteil fürchten. Banken und Sparkassen ersetzen in der Regel daraus resultierende Schäden - vorausgesetzt, Verbraucher sind sorgfältig mit Bankkarte und PIN umgegangen.