Aktuelle IT-Nachrichten und Informationen

Skimming verursacht Schaden von rund 40 Millionen Euro

Das Bundeskriminalamt (BKA) warnt vor steigendem Betrug an manipulierten Bankautomaten. Mit Hilfe von Mini-Kameras und anderen Hilfsmitteln wurden 2009 an 964 Automaten Daten von EC-Karten ausspioniert - eine Steigerung um 20 Prozent. Das BKA geht zudem von einer hohen Dunkelziffer aus, weil viele Banken die Fälle aus Imagegründen sehr kulant und ohne großes Aufsehen abhandelten, teilte BKA-Präsident Jörg Ziercke mit. Den entstandenen Schaden durch das sogenannte Skimming beziffert er auf rund 40 Millionen Euro.

“Als normaler Kunde kann man das im Grunde nicht erkennen”, sagte Ziercke. Die Täter gingen sehr professionell vor. Bei den Betrugsländern liegt Nordrhein-Westfalen (661) vor Berlin (363), Bayern (166), Niedersachsen (160) und Hessen (151). Insgesamt gibt es in Deutschland 55.000 Geldautomaten. Immer häufiger weichen die Täter laut BKA auf weniger gesicherte Bankautomaten in ländlichen Gebieten aus.

BKA: Chips sollen Magnetstreifen ersetzen
Auch im Ausland lauert die Gefahr: 2009 waren rund 600 deutsche Karten betroffen, berichtete Ziercke und warnte besonders die Besucher der Fußball-Weltmeisterschaft im Juni in Südafrika. Es sei nicht auszuschließen, dass dort eine Vielzahl von Geldautomaten manipuliert sei. Das BKA habe die Kollegen vor Ort jedoch im Kampf gegen den Missbrauch geschult. Deutsche Karten seien für Datendiebe weltweit sehr lukrativ, weil sie gewöhnlich einen hohen Verfügungsrahmen hätten.

Ziercke forderte, dass die Banken künftig auf den für Täter leicht auslesbaren Magnetstreifen auf Karten verzichten und nur noch auf Chips setzen, wie sie die meisten Karten schon haben. Von 2011 an ist der Chip im Euro-Raum Standard. Allerdings hält die Kreditwirtschaft auch am Magnetstreifen fest, damit Kunden weiterhin vielfältige Zahlungsweisen nutzen und mit der Karte auch außerhalb des Euro-Raums bezahlen können.

Skimming - Betrug mit Ihrer EC-Karte

Was ist Skimming?

‘Skimming’ - zu deutsch “Abschöpfen” - ist eine Manipulation der Geldautomaten. Mittlerweile sei die Technik der Betrüger schon so weit fortgeschritten, dass von einer ‘Zweiten Generation’ geredet werde, sagt die Polizei.

Wurden früher noch Mini-Kameras über den Tastaturen installiert, um die PIN-Eingabe zu filmen, wird heute auf den Tastaturen eine hauchdünne Tasten-Folie angebracht, die die Bankdaten der Kunden direkt “abgreift”. Mit Hilfe von Karten-Dubletten werden von ausländischen Bankautomaten aus dann die Konten in Deutschland abgeräumt.

Die Manipulationszeiträume sind oftmals sehr kurz und betragen teilweise nur wenige Stunden. Insbesondere Geldautomaten in stark frequentierten Bereichen wie in Fußgängerzonen und Bahnhöfen werden oft mehrfach manipuliert.

Am häufigsten waren von den Angriffen im Jahr 2009 Geldautomaten in den Bundesländern Nordrhein-Westfalen (661 Fälle) und Berlin (363 Fälle) betroffen.

Täter werden immer raffinierter
Seit Jahren nehmen Kripo und Banken die ‘Skimming’-Fälle aufmerksam unter die Lupe: Gänzlich unbekannt sind die immer raffinierter werdenden Täter daher nicht. “Es gibt viele Hinweise, dass es sich um osteuropäische Täter handelt”, sagte eine LKA-Sprecherin. “Die Täter sind gut vernetzt, organisiert und qualifiziert, weil sie die Technik gut beherrschen”, urteilte die Expertin.

Die gute Organisation der ‘Skimming’-Betrüger zeige sich auch darin, dass sie die Arbeit untereinander genau aufteilten: So sei einer für die Automaten-Technik verantwortlich, ein anderer fertige die Karten-Rohlinge an und ein Dritter hebe das Geld ab.

Täter mit neuer Technik

Die Zahl manipulierter Geldautomaten ist in Nordrhein-Westfalen drastisch gestiegen. Bereits 109 Fälle von Geldautomaten-Manipulation sind im ersten Halbjahr 2009 aufgedeckt worden, teilte das Landeskriminalamt (LKA) in Düsseldorf mit.

Die deutschen Innenminister haben im November an die Banken appelliert, ‘Anti-Skimming-Module’ verstärkt einzusetzen. Viele tun das bereits: So hat die Sparkasse Koblenz nach Angaben des Deutschen Sparkassen- und Giroverbandes (DSGV) in Berlin alle ihre Bankautomaten umgestellt und mögliche ‘Skimming’-Attacken damit unwahrscheinlicher gemacht.

Skimming 2.0
Das so genannte ‘Skimming 2.0′ ist selbst für Bank-Mitarbeiter kaum mehr zu erkennen. Die Polizei warnte vor der neuen Generation des Skimmings, gegen die auch das Verdecken der Tastatur beim Eingeben der Geheimzahl nicht mehr schützt. Die Täter montieren inzwischen sehr dünne, baugleiche Tastaturen über den Tasten der Geldautomaten und können damit die PIN-Zahlen abfangen. Parallel dazu werden wie bisher durch unscheinbare Vorsatzgeräte die übrigen Kartendaten beim Einschieben der Kontokarte abgeschöpft.

In manchen Fällen sind an einem einzigen manipulierten Geldautomaten hunderte Karten-Daten abgeschöpft worden. Mit den Daten können die Betrüger die EC-Karten komplett fälschen und mit den Dubletten - oft aus dem Ausland - die Konten der Karteninhaber plündern.

Vorbeugen: Hier einige Tipps

Die Ermittler empfehlen, nur gut bekannte Geldautomaten zu benutzen und auf Änderungen genau zu achten. Schon vor Einschieben der Geldkarte sollten beliebige Zahlenkolonnen eingetippt und dabei auch mehrfach die Bestätigungstaste gedrückt werden. Nach der tatsächlichen Transaktion und Kartenausgabe sollte diese Prozedur wiederholt werden, um den Tätern das Auffinden der richtigen Geheimzahl zu erschweren. Die Eingabe sollte nach wie vor verdeckt erfolgen. Zum Öffnen der Bankfiliale sollte eine andere Karte als für den Geldautomaten verwendet werden.

Callcenter sind im Besitz von Kontodaten

Telefonspammer haben sich Zugang zu Kontodaten verschafft und buchen nun unerlaubt Geldbeträge ab. “Uns sind die ersten Fälle bekannt, in denen von Konten der betroffenen Verbraucher abgebucht wurde, obwohl diese unmissverständlich jegliche Teilnahme an einem Glücksspiel ablehnten”, so Thomas Hagen, Sprecher der Verbraucherzentrale Schleswig-Holstein. “Diese Tatsache ist erschreckend.” 17.000 Datensätze sind im Umlauf.
Die Verbraucherzentrale Schleswig-Holstein verfügt über Informationen, nach denen Callcenter-Betreiber, die Glücksspiele, Waren oder Dienstleistungen anpreisen, zugleich ohne Einzugserlaubnis Geldbeträge in Höhe von 50 Euro von den Angerufenen abbuchen lassen. Viele Betroffene hätten angegeben, dass sie vor längerer Zeit Lose der Süddeutschen Klassenlotterie (SKL) bestellt und per Kontoabbuchung bezahlt hätten. Die Verbraucherschützer haben eine CD mit über 17.000 Datensätzen erhalten, auf der sich neben Namen, Adresse, Telefonnummer und Geburtsdatum auch die kompletten Bankdaten von über 17.000 Verbrauchern finden. Eine Firma aus Nordrhein-Westfalen verkauft diese Datenbank offenbar weiter.

Die Verbraucherschützer raten, Kontoauszüge regelmäßig zu prüfen. Banken und Sparkassen sollten die Möglichkeit einräumen, dass Abbuchungen unbekannter Quellen nicht ausgeführt werden, wenn der Kontoinhaber dies wünscht, fordert Hagen. Bereits jetzt können unberechtigt abgebuchte Beträge innerhalb von sechs Wochen zurückgefordert werden.

Der Kieler Landesdatenschützer Thilo Weichert empfiehlt, bei der Preisgabe der privaten Kontoverbindung “absolut zurückhaltend” zu sein, vor allem im Internet oder am Telefon. Mindestens alle zwei Wochen sollten die eigenen Kontoauszüge darauf kontrolliert werden, ob unerwünschte oder unberechtigte Abbuchungen vorgenommen wurden.

“Die SKL hat nie Daten von ihren Kunden an Dritte weitergegeben”, erklärt die Staatslotterie, die sich bereits mit der Verbraucherzentrale Schleswig-Holstein in Verbindung gesetzt habe, um eine Klärung der Datenherkunft zu erreichen und rechtliche Schritte zu prüfen. “Wir verurteilen jede Form des Datenmissbrauchs und haben an der Aufklärung großes Interesse”, so Gerhard Rombach, Direktor der SKL.

Kunde muss keine Firewall haben

Wenn ein Onlinebanking-Kunde seinen Rechner ausreichend gesichert hat, muss seine Bank im Falle eines Phishing-Angriffs haften. Das entschied das Amtsgericht Wiesloch. Dabei ist nach Auffassung des Gerichts eine Antivirensoftware ausreichend, eine Firewall ist nicht erforderlich.
Das Amtsgericht Wiesloch hat am 20. Juni 2008 entschieden (Aktz.: 4 C 57/08), dass eine Bank für den Schaden haftet, der einem Onlinebanking-Kunden durch einen Phishing-Angriff entsteht. Voraussetzung ist aber, dass die Sicherheitsmaßnahmen des Kunden beim Betrieb seines Rechners “durchschnittlichen Sorgfaltsanforderungen” genügen.

Nach Auffassung des Gerichts ist dafür ein Antivirenschutz ausreichend. Es ist nicht erforderlich, dass der Kunde eine Firewall installiert hat. Damit hat das Amtsgericht Wiesloch die von anderen Gerichten geforderten Anforderungen gesenkt.

Vom Konto eines Onlinebanking-Kunden war im Herbst 2007 ein Betrag von rund 4.100 Euro unter Verwendung eines einfachen, ungesicherten TAN-Verfahrens an einen Dritten überwiesen worden. Ein Dritter hatte eine vom Kunden verwendete TAN mit einem Schadprogramm ausgelesen und die Überweisung durchgeführt. Auf dem Rechner des Kunden fanden sich 14 Schadprogramme. Eine Rücküberweisung des Geldes scheiterte, denn es war über eine Mittelsperson nach Russland weiterüberwiesen worden.

Die Bank wollte dem Kunden das überwiesene Geld nicht ersetzen. Zu Unrecht, wie das Amtsgericht Wiesloch ausführte. Die Bank müsse dem Kunden den Schaden ersetzen, der durch das Phishing zustande gekommen war. Nach Ansicht des Gerichts hatte die Bank keinen Anspruch gegenüber dem Kunden, der sie zu einer Abbuchung von seinem Konto berechtigte. Eine Pflichtverletzung des Kunden liege nicht vor, da der Kunde die allgemeinen Sorgfaltsanforderungen an die Absicherung seines Rechners erfüllt habe.

Von einem Kunden könne lediglich “das zur Nutzung des Mediums notwendige Wissen” und damit eine “irgendwie geartete Absicherung des Computers” erwartet werden. Dabei sei zu berücksichtigen, dass Onlinebanking auch im Interesse der Bank stattfinde. Diese habe aber mit ihren Kunden keine besonderen Sicherheitsmaßnahmen vertraglich vereinbart. Das Gericht wies auch darauf hin, dass grundsätzlich die Bank das Fälschungsrisiko eines Überweisungsauftrags zu tragen habe.

Das Gericht führt weiter aus, dass die vom Kunden nachgewiesene Installation eines kostenpflichtigen Antivirusprogramms den “gerichtsbekannten durchschnittlichen Sorgfaltsvorkehrungen” eines PC-Nutzers entspreche oder diese möglicherweise übertreffe. Zur Installation einer Firewall sei der Kunde nicht verpflichtet.