WiWo App Jetzt gratis testen
Anzeigen

Datenklau am Geldautomaten Zahl der Skimming-Fälle geht zurück

Die Milliardeninvestitionen von Banken und Handel in sicheres Plastikgeld zahlen sich aus: Betrüger haben es an Geldautomaten schwerer, an sensible Daten zu kommen.

Moderne Technik hat den Datenklau an deutschen Geldautomaten 2014 auf ein Rekordtief gedrückt. In den ersten elf Monaten manipulierten Kriminelle bundesweit 134 Automaten, um Kartendaten und Geheimnummer (PIN) von Bankkunden auszuspähen. Nach den Erfahrungen der vergangenen Jahre steigt die Zahl im Dezember - wenn überhaupt - kaum noch an.

Der Schaden durch solche „Skimming“-Angriffe summierte sich nach diesen jüngsten verfügbaren Zahlen auf rund 2,6 Millionen Euro - auch dies ein Rekordtief. Zum Vergleich: Im Gesamtjahr 2013 wurden Daten an 341 Geldautomaten ausgespäht, der Schaden belief sich auf 11,3 Millionen Euro.

Wo im ersten Halbjahr 2013 die meisten Geldautomaten manipuliert wurden

Im laufenden Jahr konnte sich die deutsche Kreditwirtschaft sogar mehr als die Hälfte der Schadenssumme zurückholen: Gemäß internationalen Abkommen müssen die Länder für betrügerische Geschäfte mit geklauten Kartendaten aufkommen, welche die niedrigeren Sicherheitsstandards haben. Dabei sind Deutschlands Banken dank Milliardeninvestitionen in moderne Technik wie EMV im Vorteil.

„Vor allem die Einführung der EMV-Technik hat viel gebracht“, bilanziert Margit Schneider von Euro Kartensysteme, einer Einrichtung der deutschen Kreditwirtschaft, die sich um das Sicherheitsmanagement für Zahlungskarten kümmert.

Auf diesen Seiten wollen Betrüger Ihr Bankkonto plündern
Auf den ersten Blick sieht die Webseite aus wie die Seite einer Sparkasse. Wer genauer hinschaut und den Text auch liest, findet jedoch einige schräge Formulierungen. Da ist zum Beispiel die Rede davon, dass "nach Abschluss der Anweisungen zum Konto zu aktualisieren" der Online-Zugang wiederhergestellt werde. Rechtschreibfehler oder grammatikalische Ungenauigkeiten sind typisch für eine Phishing-Seite. Unter Phishing versteht der Bankenverband eine Methode, "bei der ein krimineller Angreifer die E-Mail-Adresse oder die Internetseite einer Bank und eines Dienstleisters vortäuscht". Betrüger bauen dabei Internetseiten von Banken oder auch Versandhändlern täuschend echt nach. Einziges Ziel: Die Kontodaten samt Geheimnummer (PIN), Code für eine Überweisung (Tan-Nummer) und Passwort abzusahnen (phishen). Statt an ihren Händler oder die Bank senden Kunden ihre Zugangsdaten dann an die Kriminellen. Und noch bevor der Kunde es merkt, ist sein Bankkonto geplündert. Wer zum Beispiel bei dieser nachgebauten Sparkassen-Seite oben auf den roten Kasten mit dem Pfeil klickt, landet auf einer Internetseite in Polen. Quelle: Screenshot
Dieses Formular ist dann zu sehen. Dort sollen Sparkassenkunden ihre PIN-Nummer eintippen. Keine Bank würde jedoch etwa per Email nach der PIN-Nummer fragen. Einen zusätzlichen Hinweis auf eine Phishing-Seite liefern in diesem Beispiel die Links. Wer auf das Impressum oder die Sicherheitshinweise klickt, kommt nicht weiter. Die Links funktionieren schlich nicht. Quelle: Screenshot
Die Daten von Kreditkarten sind für Betrüger besonders interessant. Um schneller zum Ziel zu gelangen, üben die Bösewichte Druck aus. Diese VISA-Betrüger etwa geben den Empfängern gerade mal zwei Tage Zeit. Am liebsten aber wäre es ihnen natürlich, wenn die Opfer ihre Karte sofort verifizieren (im Screenshot markiert). Quelle: Screenshot
Die Sparkasse Bielefeld warnt ganz aktuell in ihrem Blog vor Betrügern. Quelle: Screenshot
Die erkennt man dabei manchmal ganz einfach. Es fehlen schlicht Dinge, die auf einer echte Webseite vorhanden wären. Wie eine korrekte Seite ausschaut, macht eine Sparkasse auf ihrer Internetseite deutlich: Wichtig ist etwa das kleine Schloss-Symbol im Browser (siehe Screenshot).  Mehr Sicherheit biete außerdem das Verschlüsselungsmerkmal der URL https:// statt http://. Quelle: Screenshot
Die Sparkassen versuchen nun, die Sicherheit zu steigern, indem sie neue Technik einsetzen. So tauschten Sparkassen vor einigen Monaten die alten Tan-Listen auf Papier gegen das Chip-Tan-System aus. Eine Tan-Nummer ist der Sicherheitscode, mit dem ein Bankkunde eine Überweisung tätigen kann. Früher bekamen Kunden eine Liste mit Dutzenden Tan-Nummern zugeschickt. Heute wird dem Kunden die aktuelle Tan-Nummer für einen Überweisungsauftrag immer erst dann zur Verfügung gestellt, wenn er sie tatsächlich benötigt. Das Chip-Tan-System generiert immer wieder eine neue Tan-Nummer. Betrüger konnten Tan-Nummern früher einfacher abfangen und für eine Überweisung auf das eigene Konto nutzen. Mit dem neuen System soll es für sie nun schwieriger sein, Tan-Nummern abzufangen. Quelle: dpa
Geht es doch mal schief, müssen die Kunden mitunter haften. Der Bundesgerichtshof hat 2012 entschieden, dass ein Kunde, der auf einer gefälschten Webseiten seine Tan-Codes preisgibt, für den Schaden selbst aufkommen muss. Eine seit Herbst 2009 geltende Vorschrift, welche die Haftung von Bankkunden auf grobe Fahrlässigkeit und Vorsatz beschränkt, war zur Zeit der Überweisung noch nicht in Kraft. Doch auch heute dürfte es als fahrlässig gewertet werden, wenn jemand bedenkenlos mehrere Tan-Nummern auf einer fremden Webseite preisgibt. Die neue EU-Gesetzgebung vor, dass Kunden mit 150 Euro haften, wenn ein Betrüger seine Zahlungskarte missbraucht. Der Verband der Sparkassen teilte auf Anfrage mit, dass die Sparkassen über das gesetzliche Niveau hinaus gingen und ihren Kunden den vollen Schaden ersetzten, wenn der Kunde sorgfältig mit der Karte und der Geheimzahl (PIN) umgegangen ist. Beim Phishing, wo keine Bankkarte im Spiel ist, gilt laut Sparkassenverband folgendes: "Sobald ein Kunde sein Online-Banking gesperrt hat, haftet er nicht für eventuelle Schäden durch missbräuchliche Nutzung. Vor der Sperranzeige ist die Haftung auf 150 Euro begrenzt, sofern der Kunde seinen Sorgfaltspflichten entsprochen hat." Viele Karten kann man über den zentralen Sperrnotruf 116 116 sperren. Quelle: Fotolia

EMV-Karten sind mit einer Art Mini-Computer ausgestattet: Der Datensatz wird verschlüsselt, die Karte bei Gebrauch auf Echtheit geprüft - und zwar bei jedem Einsatz sowohl am Geldautomaten als auch an der Ladenkasse.

In Deutschland sind seit Ende 2010 alle rund 94 Millionen Girocards mit EMV-Chip ausgestattet, ebenso alle knapp 60.000 Geldautomaten und 720.000 Terminals im Handel. Weil sich diese Technik weltweit zunehmend durchsetzt, können gestohlene Kartendaten in immer weniger Staaten missbräuchlich eingesetzt werden.

In Arbeit
Bitte entschuldigen Sie. Dieses Element gibt es nicht mehr.

Sicherer ist die Nutzung von Plastikgeld nach Schneiders Einschätzung auch dadurch geworden, dass immer mehr Banken das sogenannte Geoblocking eingeführt haben. Damit können Zahlungen in einzelnen Staaten auf kleine Beträge begrenzt oder vorübergehend ganz gesperrt werden. „Dadurch ist der durchschnittliche Schaden pro abgegriffener Karte ganz erheblich gesunken. Das reicht Kriminellen oft gerade noch für ein Taschengeld“, sagt Schneider.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%