Datenklau am Geldautomaten nimmt ab
Frankfurt/Main (dpa) - Datendiebe kommen an deutschen Geldautomaten immer seltener zum Zug. Das ist die gute Nachricht.
Die schlechte: Kriminelle schreckt das nicht ab, sich auf anderen Wegen sensible Daten von Verbrauchern zu ergaunern und diese zu Geld zu machen.
Ende Februar vermeldete das Bundeskriminalamtes (BKA) einen Ermittlungserfolg gegen eine Bande, die Tankautomaten an deutschen Tankstellen manipuliert haben soll, um Kartendaten samt Geheimnummer auszuspähen („Skimming“). Mit den abgeschöpften Informationen stellte die Bande Kartendubletten her und tankte damit in Deutschland, Luxemburg, Belgien, Frankreich, Österreich, Ungarn und der Schweiz - Gesamtschaden: mehr als 3,5 Millionen Euro.
Das Fazit des BKA: „Die Ermittlungen belegen, dass Straftäter schnell auf technische Veränderungen reagieren. Da die Präventionsmaßnahmen von Kartenindustrie und Banken an Geldautomaten und sogenannten Point-of-Sale-Terminals mehr und mehr greifen und damit der Abgriff von Zahlungskartendaten vielfach verhindert wird, wenden sich die Täter neuen Angriffszielen, wie beispielsweise Tankkartendaten zu.“
In der Tat geht „Skimming“ an Geldautomaten in Deutschland seit Jahren zurück. Im ersten Halbjahr 2015 manipulierten Kriminelle bundesweit 62 Geldautomaten, um Kartendaten und Geheimnummer (PIN) von Bankkunden auszuspähen. In den ersten sechs Monaten 2014 hatte die Branche noch 84 „Skimming“-Angriffe auf Geldautomaten in Deutschland gezählt. Im Gesamtjahr 2014 waren es 145.
Die Milliardeninvestitionen von Banken und Handel in sicheres Plastikgeld scheinen sich auszuzahlen: Datendiebe können die gestohlenen Daten in immer weniger Ländern zu Geld machen. Denn die moderne EMV-Technik ersetzt zunehmend die als anfälliger geltenden Karten mit Magnetstreifen.
„Auch wenn Betrüger die Daten abgreifen, gibt es immer weniger Länder, in denen sie diese zu Geld machen können“, erklärt Margit Schneider von Euro Kartensysteme, einer Einrichtung der deutschen Kreditwirtschaft, die sich um das Sicherheitsmanagement für Zahlungskarten kümmert. „Skimming“ lohne sich schlicht nicht mehr.
EMV-Karten sind mit einer Art Mini-Computer ausgestattet: Der Datensatz wird verschlüsselt, die Karte bei Gebrauch auf Echtheit geprüft - und zwar bei jedem Einsatz sowohl am Geldautomaten als auch an der Ladenkasse. In Deutschland sind seit Ende 2010 alle rund 94 Millionen Girocards mit EMV-Chip ausgestattet, ebenso sämtliche knapp 60 000 Geldautomaten und 720 000 Terminals im Handel.
Um gestohlene Bankdaten zum Bezahlen oder Einkaufen zu missbrauchen, müssen Kriminelle daher weit reisen. Umsätze mit gefälschten Karten auf Basis von in Deutschland gestohlenen Daten wurden in den ersten sechs Monaten 2015 vor allem in Indonesien (28 Prozent), den USA (21 Prozent), Spanien (13 Prozent), Brasilien (7 Prozent) und Thailand (4 Prozent) festgestellt.
Oft sitzen die Hintermänner der Datendiebe im Ausland. Im April verurteilte das Landgericht Erfurt einen 28-Jährigen zu zwei Jahren und neun Monaten Haft, weil er nach Überzeugung der Justiz beim Ausspähen von Kartendaten an Bankautomaten in Thüringen half. Dafür soll er bezahlt worden sein - das große Geld jedoch machten Betrüger in Ostasien: Sie erbeuteten mit gefälschen Bankkarten 120 000 Euro.
„Skimming“-Schäden übernehmen in der Regel die Banken - und trotz aller Bemühungen um mehr Sicherheit ist die Summe immer noch erheblich: Im ersten Halbjahr 2015 belief sich der Bruttoschaden durch „Skimming“ an deutschen Geldautomaten auf 1,1 Millionen Euro - ein Rekordtief. Im Vergleichszeitraum des Vorjahres waren es rund 1,4 Millionen Euro, im gesamten vergangenen Jahr 3,1 Millionen Euro.
Zumindest einen Teil der Summe können sich die deutschen Banken zurückholen: Entstehen die Schäden durch Einsatz von gefälschten Karten an nicht EMV-fähigen Geldautomaten und Terminals im Ausland, werden dafür die ausländischen Institute zur Kasse gebeten - und nicht die deutschen Banken, die die Originalkarten ausgegeben haben. Stichwort Haftungsumkehr.
In Sicherheit wiegen sollte sich aber auch die deutsche Finanzbranche nicht, mahnt Expertin Schneider: „Man muss dennoch wachsam bleiben. Es gibt natürlich auch Bestrebungen, den EMV-Chip anzugreifen.“