Datenklau am Geldautomaten nimmt ab – Betrüger suchen neue Ziele

Mit Milliardeninvestitionen haben Banken Plastikgeld sicherer gemacht. Die jüngsten Zahlen zum Skimming sprechen dafür, dass sich dieser Einsatz bezahlt macht. Auf den Erfolgen ausruhen sollte sich die Branche jedoch nicht.

In Pocket speichern vorlesen Druckansicht 36 Kommentare lesen
POS-Terminal mit Aufsatztastatur

POS-Terminal mit Aufsatztastatur, mit der Betrüger PIN abschöpfen

(Bild: BKA)

Lesezeit: 4 Min.
Von
  • Jörn Bender
  • dpa
Inhaltsverzeichnis

Datendiebe kommen an deutschen Geldautomaten immer seltener zum Zug. Das ist die gute Nachricht. Die schlechte: Kriminelle schreckt das nicht ab, sich auf anderen Wegen sensible Daten von Verbrauchern zu ergaunern und diese zu Geld zu machen.

Ende Februar vermeldete das Bundeskriminalamtes (BKA) einen Ermittlungserfolg gegen eine Bande, die Tankautomaten an deutschen Tankstellen manipuliert haben soll, um Kartendaten samt PIN auszuspähen (Skimming). Mit den abgeschöpften Informationen stellte die Bande Kartendubletten her und tankte damit in Deutschland, Luxemburg, Belgien, Frankreich, Österreich, Ungarn und der Schweiz – Gesamtschaden: mehr als 3,5 Millionen Euro.

Das Fazit des BKA: "Die Ermittlungen belegen, dass Straftäter schnell auf technische Veränderungen reagieren. Da die Prävention von Kartenindustrie und Banken an Geldautomaten und Point-of-Sale-Terminals mehr und mehr greift und damit der Abgriff von Zahlungskartendaten vielfach verhindert wird, wenden sich die Täter neuen Angriffszielen zu, beispielsweise Tankkartendaten."

In der Tat geht Skimming an Geldautomaten in Deutschland seit Jahren zurück. Im ersten Halbjahr 2015 manipulierten Kriminelle bundesweit 62 Geldautomaten, um Kartendaten und PIN von Bankkunden auszuspähen. In den ersten sechs Monaten 2014 hatte die Branche noch 84 Skimming-Angriffe auf Geldautomaten in Deutschland gezählt. Im Gesamtjahr 2014 waren es 145.

Die Milliardeninvestitionen von Banken und Handel in sicheres Plastikgeld scheinen sich auszuzahlen: Datendiebe können die gestohlenen Daten in immer weniger Ländern zu Geld machen. Denn die moderne EMV-Technik ersetzt zunehmend die als anfälliger geltenden Karten mit Magnetstreifen.

"Auch wenn Betrüger die Daten abgreifen, gibt es immer weniger Länder, in denen sie diese zu Geld machen können", erklärt Margit Schneider von Euro Kartensysteme, einer Einrichtung der deutschen Kreditwirtschaft, die sich um das Sicherheitsmanagement für Zahlungskarten kümmert. Skimming lohne sich schlicht nicht mehr.

Auf EMV-Karten wird der Datensatz verschlüsselt, die Karte bei Gebrauch auf Echtheit geprüft – und zwar bei jedem Einsatz sowohl am Geldautomaten als auch an der Ladenkasse. In Deutschland sind seit Ende 2010 alle rund 94 Millionen Girocards mit EMV-Chip ausgestattet, ebenso sämtliche knapp 60.000 Geldautomaten und 720.000 Terminals im Handel.

Um gestohlene Bankdaten zum Bezahlen oder Einkaufen zu missbrauchen, müssen Kriminelle daher weit reisen. Umsätze mit gefälschten Karten auf Basis von in Deutschland gestohlenen Daten wurden in den ersten sechs Monaten 2015 vor allem in Indonesien (28 Prozent), den USA (21 Prozent), Spanien (13 Prozent), Brasilien (7 Prozent) und Thailand (4 Prozent) festgestellt.

Oft sitzen die Hintermänner der Datendiebe im Ausland. Im April verurteilte das Landgericht Erfurt einen 28-Jährigen zu zwei Jahren und neun Monaten Haft, weil er nach Überzeugung der Justiz beim Ausspähen von Kartendaten an Bankautomaten in Thüringen half. Dafür soll er bezahlt worden sein – das große Geld jedoch machten Betrüger in Ostasien: Sie erbeuteten mit gefälschten Bankkarten 120.000 Euro.

Skimming-Schäden übernehmen in der Regel die Banken – und trotz aller Bemühungen um mehr Sicherheit ist die Summe immer noch erheblich: Im ersten Halbjahr 2015 belief sich der Bruttoschaden durch Skimming an deutschen Geldautomaten auf 1,1 Millionen Euro – ein Rekordtief. Im Vergleichszeitraum des Vorjahres waren es rund 1,4 Millionen Euro, im gesamten vergangenen Jahr 3,1 Millionen Euro.

Zumindest einen Teil der Summe können sich die deutschen Banken zurückholen: Entstehen die Schäden durch Einsatz von gefälschten Karten an nicht EMV-fähigen Geldautomaten und Terminals im Ausland, werden dafür nach dem Prinzip der Haftungsumkehr die ausländischen Institute zur Kasse gebeten – und nicht die deutschen Banken, die die Originalkarten ausgegeben haben.

In Sicherheit wiegen sollte sich aber auch die deutsche Finanzbranche nicht, mahnt Expertin Schneider: "Man muss dennoch wachsam bleiben. Es gibt natürlich auch Bestrebungen, den EMV-Chip anzugreifen." (anw)