Kartenbetrüger manipulieren EC-Terminals

Trotz des jüngsten Fahndungserfolgs des Bundeskriminalamts und der bulgarischen Behörden ist der Betrug mit gefälschten EC-Karten weiter ein ernstes Problem. Nachdem vergangene Woche bekannt wurde, dass an einem manipulierten Geldautomaten in Frankfurt während der Fußball-WM Kartendaten abgegriffen wurden, ließ der E-Payment-Anbieter Europay Austria jetzt über 4000 Karten vorsorglich sperren, die an vermutlich manipulierten Kartenterminals in österreichischen Läden eingesetzt worden waren. Dort seien Kartendaten kopiert und PIN-Nummern ausspioniert worden. In Österreich entzündete sich daraufhin eine Debatte über die Sicherheit des Systems.

Vergangene Woche hatte die Frankfurter Rundschau berichtet, dass an einem manipulierten Geldautomaten der Deutschen Bank in der Frankfurter Innenstadt Kartendaten und PIN-Nummern ausspioniert worden seien. Während der Fußball-Weltmeisterschaft seien Betrüger an dem außenliegenden Automaten an die Daten von etwa 220 Karten gekommen. Mit den angefertigten Duplikaten hätten die Täter dann im Ausland insgesamt 300.000 Euro abgehoben. Die Deutsche Bank will den entstandenen Schaden ersetzen.

An den Geldautomaten gehen die Datendiebe immer gleich vor. Ein zusätzliches Lesegerät wird vor den Eingabeschlitz für die Karten montiert und gut getarnt. Die Eingabe der PIN-Nummer wird mittels einer kleinen Funkkamera aufgezeichnet oder mit einfachsten Mitteln wie Puder auf der Tastatur ausspioniert. Wie eine Sprecherin der Berliner Sparkasse erklärte, eignen sich aufgrund unterschiedlicher Bauweisen nicht alle Automatentypen für dieses so genannte "Skimming". Auch würden Geldautomaten in Deutschland die kopierten Karten erkennen. Deshalb müssen die Betrüger im Ausland abheben. Das dauert länger, und die betrügerischen Abhebungen werden von den Kunden schneller entdeckt.

Auch die mit den gestohlenen Daten österreichischer Bankkunden erzeugten Kartenduplikate kamen im Ausland – insbesondere in Frankreich – zum Einsatz. Zusammen mit dem Prozessdienstleister First Data International, der bargeldlosen Zahlungsverkehr europaweit abwickelt, hat Europay nach eigenen Angaben die möglicherweise kompromittierten Karten ermittelt und vorsorglich sperren lassen. Von etwa 500 der betroffenen Konten soll auch Geld abgehoben worden sein. Europay versicherte, eventuell aufgetretene Schäden sofort zu ersetzen. Verdächtige Buchungen sollten die Kunden umgehend ihren Banken melden.

Inzwischen haben die "Skimmer" ihre Methoden aber offenbar weiterentwickelt. Österreichische Medien berichten unter Berufung auf Polizeiangaben, mindestens vier Kartenterminals seien so manipuliert worden, dass Kartendaten und PIN auf einem zusätzlich eingebauten Chip gespeichert werden konnten. Die Täter hätten dann das Terminal gestohlen und die Daten ausgelesen. Anderen Berichten zufolge soll es auch Methoden geben, bei denen ein zusätzlich eingebauter Chip die Daten per SMS an die Täter übermittelt oder die Datenleitung zum Terminal angezapft werde.

Die österreichische Datenschutzorganisation ARGE Daten bezweifelt dieses Manipulationsszenario. Sie hält das ganze System für anfällig und überholt. Die Darstellung des Hergangs sei technisch wenig plausibel, teilte die Organisation mit. Manipulationen an der Hardware seien nur dann erfolgversprechend, wenn auch die Software des Geräts eine entsprechende Funktion unterstützen würde. Ein solcher Chip müsse auf die Tastatur und die Daten der Karte zugreifen können. Bei einem sauberen technischen Design dürfe das gar nicht gehen.

Die ARGE Daten vermutet daher, die Täter könnten geheime Funktionen der Terminals ausnutzen, die weder den Ladenbesitzern noch den Kartenkunden bekannt seien. Im Online-Betrieb sollten die Terminals eigentlich keine Daten speichern. Allerdings verfügten die Geräte für den in Österreich auch üblichen Offline-Betrieb über eine Speicherfunktion. Für die ARGE Daten ist es denkbar, dass die Täter mögliche Software-Konfigurationen nutzen, die eine Datenspeicherung auch im Online-Modus erlaubten.

Die österreichischen Behörden bleiben den Berichten zufolge bei ihrer Darstellung und weisen auf vergleichbare Fälle im Ausland hin. Auch in Italien sollen in den vergangenen Monaten Kartenterminals manipuliert worden sein. Europay wies die Vorwürfe der Datenschützer scharf zurück. "Für die Öffentlichkeit ist der technische Hintergrund nicht hilfreich, darum kümmern sich Spezialisten", hieß es in einer Mitteilung. Die Darstellung der ARGE Daten sei "hypothetisch und inhaltlich falsch". (vbr)