Aktuelle IT-Nachrichten und Informationen

Skimming verursacht Schaden von rund 40 Millionen Euro

Das Bundeskriminalamt (BKA) warnt vor steigendem Betrug an manipulierten Bankautomaten. Mit Hilfe von Mini-Kameras und anderen Hilfsmitteln wurden 2009 an 964 Automaten Daten von EC-Karten ausspioniert - eine Steigerung um 20 Prozent. Das BKA geht zudem von einer hohen Dunkelziffer aus, weil viele Banken die Fälle aus Imagegründen sehr kulant und ohne großes Aufsehen abhandelten, teilte BKA-Präsident Jörg Ziercke mit. Den entstandenen Schaden durch das sogenannte Skimming beziffert er auf rund 40 Millionen Euro.

“Als normaler Kunde kann man das im Grunde nicht erkennen”, sagte Ziercke. Die Täter gingen sehr professionell vor. Bei den Betrugsländern liegt Nordrhein-Westfalen (661) vor Berlin (363), Bayern (166), Niedersachsen (160) und Hessen (151). Insgesamt gibt es in Deutschland 55.000 Geldautomaten. Immer häufiger weichen die Täter laut BKA auf weniger gesicherte Bankautomaten in ländlichen Gebieten aus.

BKA: Chips sollen Magnetstreifen ersetzen
Auch im Ausland lauert die Gefahr: 2009 waren rund 600 deutsche Karten betroffen, berichtete Ziercke und warnte besonders die Besucher der Fußball-Weltmeisterschaft im Juni in Südafrika. Es sei nicht auszuschließen, dass dort eine Vielzahl von Geldautomaten manipuliert sei. Das BKA habe die Kollegen vor Ort jedoch im Kampf gegen den Missbrauch geschult. Deutsche Karten seien für Datendiebe weltweit sehr lukrativ, weil sie gewöhnlich einen hohen Verfügungsrahmen hätten.

Ziercke forderte, dass die Banken künftig auf den für Täter leicht auslesbaren Magnetstreifen auf Karten verzichten und nur noch auf Chips setzen, wie sie die meisten Karten schon haben. Von 2011 an ist der Chip im Euro-Raum Standard. Allerdings hält die Kreditwirtschaft auch am Magnetstreifen fest, damit Kunden weiterhin vielfältige Zahlungsweisen nutzen und mit der Karte auch außerhalb des Euro-Raums bezahlen können.

Skimming - Betrug mit Ihrer EC-Karte

Was ist Skimming?

‘Skimming’ - zu deutsch “Abschöpfen” - ist eine Manipulation der Geldautomaten. Mittlerweile sei die Technik der Betrüger schon so weit fortgeschritten, dass von einer ‘Zweiten Generation’ geredet werde, sagt die Polizei.

Wurden früher noch Mini-Kameras über den Tastaturen installiert, um die PIN-Eingabe zu filmen, wird heute auf den Tastaturen eine hauchdünne Tasten-Folie angebracht, die die Bankdaten der Kunden direkt “abgreift”. Mit Hilfe von Karten-Dubletten werden von ausländischen Bankautomaten aus dann die Konten in Deutschland abgeräumt.

Die Manipulationszeiträume sind oftmals sehr kurz und betragen teilweise nur wenige Stunden. Insbesondere Geldautomaten in stark frequentierten Bereichen wie in Fußgängerzonen und Bahnhöfen werden oft mehrfach manipuliert.

Am häufigsten waren von den Angriffen im Jahr 2009 Geldautomaten in den Bundesländern Nordrhein-Westfalen (661 Fälle) und Berlin (363 Fälle) betroffen.

Täter werden immer raffinierter
Seit Jahren nehmen Kripo und Banken die ‘Skimming’-Fälle aufmerksam unter die Lupe: Gänzlich unbekannt sind die immer raffinierter werdenden Täter daher nicht. “Es gibt viele Hinweise, dass es sich um osteuropäische Täter handelt”, sagte eine LKA-Sprecherin. “Die Täter sind gut vernetzt, organisiert und qualifiziert, weil sie die Technik gut beherrschen”, urteilte die Expertin.

Die gute Organisation der ‘Skimming’-Betrüger zeige sich auch darin, dass sie die Arbeit untereinander genau aufteilten: So sei einer für die Automaten-Technik verantwortlich, ein anderer fertige die Karten-Rohlinge an und ein Dritter hebe das Geld ab.

Täter mit neuer Technik

Die Zahl manipulierter Geldautomaten ist in Nordrhein-Westfalen drastisch gestiegen. Bereits 109 Fälle von Geldautomaten-Manipulation sind im ersten Halbjahr 2009 aufgedeckt worden, teilte das Landeskriminalamt (LKA) in Düsseldorf mit.

Die deutschen Innenminister haben im November an die Banken appelliert, ‘Anti-Skimming-Module’ verstärkt einzusetzen. Viele tun das bereits: So hat die Sparkasse Koblenz nach Angaben des Deutschen Sparkassen- und Giroverbandes (DSGV) in Berlin alle ihre Bankautomaten umgestellt und mögliche ‘Skimming’-Attacken damit unwahrscheinlicher gemacht.

Skimming 2.0
Das so genannte ‘Skimming 2.0′ ist selbst für Bank-Mitarbeiter kaum mehr zu erkennen. Die Polizei warnte vor der neuen Generation des Skimmings, gegen die auch das Verdecken der Tastatur beim Eingeben der Geheimzahl nicht mehr schützt. Die Täter montieren inzwischen sehr dünne, baugleiche Tastaturen über den Tasten der Geldautomaten und können damit die PIN-Zahlen abfangen. Parallel dazu werden wie bisher durch unscheinbare Vorsatzgeräte die übrigen Kartendaten beim Einschieben der Kontokarte abgeschöpft.

In manchen Fällen sind an einem einzigen manipulierten Geldautomaten hunderte Karten-Daten abgeschöpft worden. Mit den Daten können die Betrüger die EC-Karten komplett fälschen und mit den Dubletten - oft aus dem Ausland - die Konten der Karteninhaber plündern.

Vorbeugen: Hier einige Tipps

Die Ermittler empfehlen, nur gut bekannte Geldautomaten zu benutzen und auf Änderungen genau zu achten. Schon vor Einschieben der Geldkarte sollten beliebige Zahlenkolonnen eingetippt und dabei auch mehrfach die Bestätigungstaste gedrückt werden. Nach der tatsächlichen Transaktion und Kartenausgabe sollte diese Prozedur wiederholt werden, um den Tätern das Auffinden der richtigen Geheimzahl zu erschweren. Die Eingabe sollte nach wie vor verdeckt erfolgen. Zum Öffnen der Bankfiliale sollte eine andere Karte als für den Geldautomaten verwendet werden.

Der Bundesgerichtshof (BGH) hat entschieden: Der Besitzer eines Internet-Zuganges mit WLAN muss diesen gegen Missbrauch durch Dritte absichern. Ansonsten haftet der WLAN-Betreiber und kann beispielsweise wegen illegaler Downloads abgemahnt werden. Das Grundsatzurteil des BGH ist von großer Bedeutung sowohl für Privatleute, die ein WLAN betreiben, als auch für die Musikindustrie.

Privatleute sind für die unberechtigte Nutzung ihres WLAN-Anschlusses verantwortlich, wenn sie den Zugang nicht ausreichend gesichert haben, beispielsweise mit einem eigenen Passwort. Wenn ein Dritter über den Zugang illegal Musiktitel herunterlädt, kann der Inhaber des Anschlusses abgemahnt oder zur Unterlassung verurteilt werden. Ein weitergehender Anspruch auf Schadenersatz bestehe jedoch nicht, entschied der Bundesgerichtshof (BGH) in einem am Mittwoch verkündeten Urteil. Er muss also nicht für den Schaden aufkommen, den zwielichtige Online-Kriminelle über sein unverschlüsseltes WLAN angerichtet haben (Aktenzeichen: Bundesgerichtshof I ZR 121/08).

BGH verpflichtet WLAN-Betreiber zum Verschlüsseln
Das BGH-Urteil verpflichtet jeden Anschlussinhaber, sein WLAN wirksam abzusichern. Denn über offene Funknetze werden nicht nur Musikdateien illegal heruntergeladen, sondern auch der Tausch von Kinderpornografie oder anderer Straftaten im Internet ist möglich. Ein Täter, der unbefugt über das WLAN mitsurft, wird nur in den seltensten Fällen ermittelt. Um das zu verhindern, muss der Betreiber eines WLAN sein Netz mit den technisch verfügbaren Methoden absichern und verschlüsseln.

WLAN am besten mit WPA2 verschlüsseln
Das Funknetzwerk sollte nach Möglichkeit mit dem WPA2-Standard verschlüsselt werden. Der gewählte Netzwerkschlüssel sollte möglichst komplex sein; empfohlen werden 63 Zeichen, die am besten große und kleine Buchstaben, Sonderzeichen sowie Ziffern enthalten. Zudem ist es ratsam das werksseitig eingestellte Passwort eines WLAN-Routers durch ein sicheres Passwort zu ersetzen. Regelmäßig den WLAN-Schlüssel sowie das Passwort zu ändern, erhöht die Sicherheit zusätzlich. Besitzer von Speedport-Routern können den kostenlosen Netzmanager der Deutschen Telekom einsetzen, um bequem auf ihre Routereinstellungen zuzugreifen. Letztlich sollte das WLAN auch ausgeschaltet werden, wenn es nicht genutzt wird. Auch lässt sich die Reichweite über die Sendeleistung herabsetzen, damit das Netzwerk außerhalb der Wohnung möglichst nicht mehr erreichbar ist.

BGH-Urteil lehnt Schadenersatzanspruch ab
Was bedeutet die Ablehnung des Schadenersatzanspruches durch den BGH? Damit schützen die Richter nicht nur den Anschlussinhaber vor Schadenersatzansprüchen beispielsweise durch Plattenfirmen und Klingelton-Anbieter. Sie legen damit im Prinzip auch fest, dass die geschädigten Firmen den tatsächlichen Täter ermitteln müssten, um ihre Schadenersatzansprüche gegen diesen geltend zu machen. Genau das aber ist sehr schwer, denn der Missbrauch eines offenen WLAN geschieht fast immer vollkommen anonym. Im Prinzip bedeutet das BGH-Urteil also, dass die geschädigten Unternehmen leer ausgehen. Dennoch müssen die Abgemahnten die per Gesetz gedeckelten Kosten in Höhe von 100 Euro zahlen.

Unbekannter tauscht Musik über offenes WLAN
In dem seit März vor dem BGH verhandelten Streitfall hatte ein Unbefugter mit Hilfe eines nicht hinreichend gesicherten WLAN-Anschlusses den Musiktitel Sommer unseres Lebens zum Herunterladen aus dem Internet angeboten, während der Eigentümer des Anschlusses im Urlaub war. Der Rechteinhaber forderte Schadenersatz und klagte. Dabei entschied das Landgericht Frankfurt als erste Instanz, der Anschlussinhaber müsse haften und für den Schaden aufkommen. Das Oberlandesgericht Frankfurt am Main hingegen, sprach den beklagten Mann frei. Urteilsbegründung: Ein Anschlussinhaber müsse nicht prüfen, dass sein WLAN gegen Dritte abgesichert sei. Der BGH entschied nun als letzte Instanz.

BGH sieht den Anschlussinhaber in der Pflicht
Die mündlichen Verhandlung am BGH Ende März deutete bereits auf die nun gefallene Entscheidung des BGH hin. Nach Meinung der Richter könne ein WLAN ohne großen Aufwand abgesichert werden. Schützt ein Anschlussinhaber sein WLAN nicht, eröffnet er damit eine mögliche Gefahrenquelle und erleichtert den Missbrauch durch Dritte. Einschränkend erklärte der Vorsitzende Richter Wolfgang Bornkamm im März, dass Schadenersatz womöglich erst dann fällig sei, wenn der Betreiber des WLANs trotz eines Hinweises auf Missbrauch die Verbindung nicht absichere.

Störerhaftung kann herangezogen werden
Der Gesetzgeber sieht die so genannte Störerhaftung vor. Dieses Prinzip kommt durch das BGH-Urteil aber nur teilweise zum Tragen, da das Urteil gegen den Schadenersatz entschieden hat. Der Anschlussinhaber ist haftbar zu machen, wenn er sein WLAN nicht gegen unbefugten Zugriff gesperrt hat. Während der tatsächliche Täter anonym bleibt, sind illegale Aktivitäten über den Internet-Zugang technisch nur auf den Anschlussinhaber zurückzuführen, der dafür aber nicht Schadenersatz leisten muss. Im Vergleich zu Verkehrsdelikten würde das aktuelle BGH-Urteil bedeuten: Der Besitzer eines PKW muss sicherstellen, dass andere Fahrer damit nicht rasen. Wird der PKW dennoch geblitzt, aber der Fahrer ist nicht festzustellen, dann muss der Besitzer des PKW das Knöllchen nicht bezahlen.

Im Internet wächst die Schatten-Wirtschaft – online wird immer hemmungsloser geklaut, betrogen, getrickst!
Laut einer neuen Studie verursacht ein durchschnittlicher Datenmissbrauch Kosten in Höhe von umgerechnet 2,61 Millionen Euro, das wären 134 Euro pro verlorenem Datensatz. Damit liegen wir auf Platz 2 der Untersuchung des Ponemon Institute („2009 Annual Study: Global Cost of a Data Breach”).

Online-Kriminalität in Deutschland – Fakten:

• Der Handel mit Kreditkarten, gefälschten Ausweisdokumenten und kriminellen Dienstleistungen blüht, ist zum Milliarden-Geschäft geworden! Laut einer neuen Analyse des Sicherheits-Software-Anbieters G Data („Underground Economy Update 04/2010”) operieren die Täter länderübergreifend, ohne feste Strukturen.
• Die Ermittlungsbehörden sind demnach gegen die raffinierten Cyber-Banden weitgehend machtlos. Nach Razzien in 50 Wohnungen und der Zerschlagung des berüchtigten Hacker-Forums „1337 Crew” im November 2009 seien andere Daten-Verbrecher-„Boards” in die Lücke gestoßen. Die Cyber-Plattform soll allein mehr als 100 000 virus-verseuchte Computer genutzt haben, ohne dass die Besitzer davon wußten (durch so genannte “bot”-Programme gesteuerte “Zombie-PCs”). Dabei werden u.a. Spam- oder Sabotage-Attacken gegen andere Rechner gefahren oder Tastatureingaben mitgelesen.Online-Kriminalität in Deutschland – Fakten:
• Besonders profitabel und deshalb stark wachsend sei der Handel mit gestohlenen Kreditkarten-Dateninformationen. Komplette „Skimmer”-Sets für das Ausspähen und Fernübertragen von Kredit- und EC-Daten an Bankautomaten seien für wenige tausend Euro zu haben, Kartendrucker zur Herstellung gefälschter Kreditkarten ab 250 Euro. Bessere kosten 3500 Euro.
• Regelrechte Untergrund-Läden bieten Kartenrohlinge mit und ohne Hologramm für 34 bis 114 Euro pro 10 Stück an. Mobile Kartenleser: 250 Euro bis 900 Euro. „Skimming”-Set (Funk oder Video): 1140 bis 7600 Euro.
• Aber auch andere Waren und Dienstleistungen sind im Untergrund zu haben – von geklauten Zugangsdaten zu Post-Packstationen (30 bis 50 Euro) über Zugang zu PayPal-Konten (4 bis 20 Euro) bis hin zu Mobilfunk-Sim-Karten (10 bis 25 Euro), gefälschtes Viagra (4 Stück 20 Euro) und Online-Spiele-Guthaben (z.B. 1000 Wii Points 5 Euro, 60 Tage World of WarCraft Spielzeit).
• Besonders oft werden Online-Spieler zu Opfern der Kriminellen. Mehr als 30 % gaben bei einer Umfrage an, schon angegriffen worden zu sein. Oft werden über gefälschte Spiele-Seiten Zugangsdaten für so genannte “Steam-Accounts” zu Spielen wie “Call of Duty”, “Aliens vs. Predator” oder “Counter-Strike” geknackt, geklaut und weiter verkauft. Genau so oft werden die Hochleistungsrechner der „Gamer” komplett gekapert und für Cyber-Attacken genutzt.
• Die Angst vor Hackern ist inzwischen so groß, dass jeder fünfte Internet-Nutzer aus Sicherheitsgründen bewusst auf Transaktionen im Web verzichtet. Laut Verband Bitkom ist dabei die Sorge am größten, dass der eigene Rechner mit Viren oder anderen Schadprogrammen infiziert wird. Allerdings: Nach eigenen Angaben surft jeder fünfte Internet-Nutzer ohne Virenschutzprogramm und jeder Dritte ohne eine Firewall, die den Datenverkehr eines Rechners mit der Außenwelt kontrolliert.

Gefunden unter www.bild.de von Stefan Ernst

Am 26. November ist es soweit: Millionen Twilight-Fans fiebern dem Kinostart des zweiten Teils „New Moon“ der Bestsellersaga entgegen, der nächste Woche in unsere Kinos kommt. Schon vorab konnte man Teile des Films und die Schauspieler live erleben, wie letztes Wochenende in München in der Olympiahalle. Kein Wunder also, dass viele Fans ungern bis zum offiziellen Kinostart warten wollen und stattdessen das Internet nach Informationen zum Film und zur Autorin Stephenie Meyer durchforsten.

Doch Vorsicht: PC Tools, der australische Anbieter von Sicherheitssoftware, warnt vor einem neuen Trick von Cyberkriminellen, bei dem die Twilight-Fans im Mittelpunkt stehen. Nutzer, die im Internet nach Stephenie Meyer suchen, erhalten auf 365multimedia.com ein angebliches Interview mit der Autorin und den Schauspielern als Treffer. Klickt ein Fan nun auf diesen Link, so öffnet sich ein Fenster das über eine vermeintliche Infektion mit Malware informiert und empfiehlt gefälschte Antivirensoftware herunterzuladen, um die Infektion zu beseitigen. Zusätzlich soll der Nutzer seine Kreditkarteninformationen eingeben - und hier beginnt der eigentliche Schaden: denn mit der falschen Software schleusen die Cyberkriminellen gleichzeitig Malware namens “Vampire Byte” auf den Computer, die sämtliche Kontodaten, die der Nutzer eingibt, ausspioniert und an die Online-Betrüger weiterschickt. Am Ende hat dann der Twilight-Fan immer noch kein Interview gesehen - aber der Kriminelle alle Kontoinformationen, um dem Fan finanziell zu schaden.

Nach Meinung der Experten von PC Tools ist dieser Schädling nur die Spitze des Eisbergs in Sachen Twilight-Schadsoftware. Spätestens mit dem Kinostart ist mit weiteren Bedrohungen über angebliche Twilight-Fanportale zu berechnen.

Mit Strafanzeigen und Abmahnungen reagiert die Telekom jetzt auf den Datenmissbrauch durch vier Vertriebspartner, die gegen Datenschutzbestimmungen verstoßen und unzulässige Vertriebsmethoden angewandt haben.
Erneut sind Telekom-Kunden einer Datenpanne zum Opfer gefallen. Diesmal waren es Vertriebspartner des ehemaligen Staatsunternehmens, die unerlaubterweise Kundendaten an Drittfirmen weitergegeben haben. Aufgedeckt wurde der Missbrauch durch Kontrollen der Telekom selbst, die nach früheren Datenschutz-Skandalen dazu ein eigenes Überwachungssystem installiert hatte.
Strafanzeige und Abmahnungen der Vertriebspartner
Insgesamt vier Vertriebspartner haben demnach ohne Einwilligung der Telekom und vertragswidrig Daten von Telekom-Kunden an Call-Center zur Kundenakquise weitergegeben. Zudem hatten diese Vertriebspartner dadurch auch noch höhere Provisionen erhalten, da sie diese Aufträge nicht richtig ausgewiesen hatten. Auf die Entdeckung der Missstände hat die Deutsche Telekom unverzüglich reagiert und Strafanzeige gestellt. In einem Fall wurde die Zusammenarbeit mit einem Partnerunternehmen bereits beendet, die anderen Unternehmen erhielten Abmahnungen.
Zudem werden Vertragsstrafen gefordert
Zusätzlich fordert die Telekom von den Übeltätern entsprechende Vertragsstrafen und verlangt eine Rückzahlung der zu viel gezahlten Provisionen. Insgesamt belaufen sich die Forderungen auf rund 1,5 Millionen EUR. Das harte Vorgehen begründete der Datenschutz-Vorstand der Telekom, Manfred Balz, mit dem Versprechen seines Unternehmens an die Kunden, dass man hart gegen unseriöse Kundenwerbung vorgehen wolle. Einen Grund zur  generellen Verurteilung des indirekten Vertriebs über Partnerfirmen, sieht der Telekom-Vorstand in dem Fall jedoch nicht.