EC-Karten-Gauner: EC-Karten-Gauner: Wie man sich vor Skimming-Betrug schützt

Halle (Saale)/DPA/DMN - Es ist ein teurer Wettlauf. Sichere Technik lassen sich Deutschlands Banken Milliarden kosten, doch Datendiebe finden immer wieder Lücken. In Niedersachsen etwa ließen sich Unbekannte Anfang 2013 über Nacht in Baumärkten einschließen. Sie manipulierten die EC-Lesegeräte an den Kassen mit einem Chip für drahtlose Bluetooth-Übertragung. Am nächsten Tag konnten sie Kartendaten und Geheimnummern (PIN) von über 800 Kunden einfach per Handy abgreifen. Mit Kartendubletten wurde dann in Ecuador und Indien Geld abgehoben.

Auch wenn das Ausspähen sensibler Daten von Bankkunden („Skimming“) in Deutschland zurückgeht: Der Finanzbranche entstehen nach wie vor Millionenschäden. Für die ersten sechs Monate 2013 beziffern Deutschlands Banken den Schaden durch „Skimming“ auf rund acht Millionen Euro. Immerhin ist das weniger als die Hälfte der 17 Millionen Euro Schaden, den Datenklau an heimischen Geldautomaten im Vorjahreszeitraum angerichtet hatte.

Den Schaden der Bankkunden muss in der Regel die Bank übernehmen - zumindest wenn die Geldautomaten manipuliert und Daten ausgespäht wurden, erklärt der Bundesverband deutscher Banken. Wenn die Bank hingegen nachweisen kann, dass mit der Original-EC-Karte und Geheimzahl Geld abgehoben wurde, ist der Kunde in der Pflicht. Das ergibt sich aus einem Urteil des Bundesgerichtshofs von 2011 (Az.:: XI ZR 370/10).

Zwar passiert in Europa dank EMV-Technik so gut wie nichts mehr mit Kartendubletten. Die modernen EMV-Karten haben eine Art Mini-Computer: Der Datensatz wird verschlüsselt, die Karte bei Gebrauch auf Echtheit geprüft. Doch Kriminelle finden nach wie vor Länder, in denen sie Kartendubletten zu betrügerischen Zwecken nutzen können - ein Schwerpunkt: die USA.

Was Deutschlands Banken Hoffnung macht: Zum 19. April 2013 traten die USA der sogenannten EMV-Haftungsumkehr bei. Das heißt: Sollte der Einsatz von gefälschten Karten an nicht EMV-fähigen Geldautomaten und Terminals im Ausland Schäden verursachen, werden dafür die ausländischen Institute zur Kasse gebeten - und nicht die deutschen Banken, welche die Originalkarten ausgegeben haben.

Zwar nutzen Kriminelle den deutschen Markt mit seinem engmaschigen Bankennetz nach wie vor, um Kartendaten und PIN abzugreifen. Doch die Zahl der manipulierten Geldautomaten hat sich von mehr als 1000 im Jahr 2010 in den vergangenen Jahren deutlich verringert. In den ersten sechs Monaten 2013 lag sie mit bundesweit 251 in etwa auf dem Niveau des Vorjahreszeitraums (253). Allerdings versuchten Kriminelle immer häufiger Daten bei Zahlungen abzugreifen, die über das Internet, per Mail oder Telefon abgewickelt werden.

Im Mai dieses Jahres machte ein spektakulärer Fall aus den USA Schlagzeilen: Eine Bande hatte sich Zugang zu Computersystemen von Banken verschafft, dort die Daten von Bankkarten manipuliert und dann binnen weniger Stunden an Geldautomaten in mehreren Ländern 45 Millionen US-Dollar (rund 35 Mio. Euro) abgehoben. Norbert Pohlmann, Direktor des Instituts für Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen, kommentierte den Fall damals so: „Es kann keine absolute Sicherheit geben, weil es immer Schwachstellen gibt. Intelligente Kriminelle nutzen das aus.“ Der Wettlauf geht also weiter. (dpa/gs)

Bevor die moderne Sicherheitstechnik überall eingerichtet ist, sollten sich Verbraucher auch selbst vor den Kriminellen schützen: