Zur Navigation Zum Artikel

Wenn Sie sich diesen Artikel vorlesen lassen wollen benutzen Sie den Accesskey + v, zum beenden können Sie den Accesskey + z benutzen.

09. Oktober 2009

Trickreicher Betrug am Geldautomaten

Beim Skimming beschaffen sich Ganoven Kopien der EC-Karten und die PIN dazu direkt an den Geräten der Banken / Bald Abhilfe durch Smartcards?.

  1. Wenige Millimeter groß ist eine Mini-Videokamera, die das BKA präsentierte. Foto: dpa

BERLIN. Die Zahl der Straften im Internet ist weiter gestiegen. 2008 zählten die Behörden rund 38 000 Fälle, ein Plus von etwa elf Prozent, wie das Bundeskriminalamt (BKA) und der Branchenverband Bitkom am Donnerstag in Berlin mitteilten. Vor allem die Zahl der Betrugsfälle beim Onlinebanking nimmt jedoch wieder zu, nachdem sie 2008 zurückgegangen war. Doch Gefahr droht dem Konto nicht nur im Internet. Ganoven schlagen dort zu, wo es die Bankkunden am wenigsten vermuten: beim Geldautomaten in der Bank. "Skimming" ist das Stichwort.

Auch bei Betrügern hat der technische Fortschritt Einzug gehalten. Im Gegensatz zur landläufigen Meinung gehen sie immer seltener das Risiko ein, durch Stehlen und Erraten der PIN an Geld zu kommen. Stattdessen sehen sie einfach zu und kopieren die Karten – sie betreiben Skimming. Hinter dem Begriff verbirgt sich eine Täuschung, die man auch als Mimikry bezeichnen könnte: Vor den echten Eingabeschlitz eines echten Geldautomaten wird ein zusätzliches Lesegerät montiert, das beim Einschieben die Karte kopiert. Um die notwendige PIN zu erfahren, wird eine unauffällige Minikamera über der Eingabetastatur montiert – zur Not tut es auch ein Fotohandy in einem umgerüsteten Rauchmelder an der Decke. Eine tückische Variante: Auf die echte Tastatur wird eine zweite geklebt, die die Eingaben protokolliert.

Werbung


Wird das Ganze mit Funktechnologie kombiniert, können die Betrüger die so erschlichenen Daten schon missbrauchen, während der Kunde am Automaten noch seine Unterlagen sortiert. Das Perfide dabei ist, dass das Geldabheben ganz normal weiterläuft, weil der Vorgang durchgereicht wird, eine sogenannte "man in the middle attack". Man bekommt korrekt das Geld und die zugehörige Buchung stimmt ebenfalls. Für den Kunden ist die Täuschung zunächst praktisch nicht erkennbar.

Mit den so ausgespähten Daten lassen sich Kopien anfertigen, mit denen bevorzugt im Ausland systematisch abgehoben wird. Dabei machen sich die Gauner technische Schwächen und die zeitverzögerte Abrechnung bei grenzüberschreitenden Zahlungen zu Nutze. Der Missbrauch fällt dann verspätet auf.

Eine Lösung ist zwar in Sicht, doch bis dahin sollte man beim Einsatz der EC-Karte oder Girocard Vorsicht walten lassen:
» Seien Sie misstrauisch, wenn der gewohnte Geldautomat anders als sonst aussieht – gerade in den genannten Details. Fragen Sie im Zweifelsfalle bei der Bank nach, ob etwas erneuert wurde. Bevorzugen Sie Geldautomaten in Räumen und mit Videoüberwachung.
» Rütteln Sie am Eingabeschlitz und anderen verdächtigen Teilen, halten Sie Hand oder Portemonnaie bei der Eingabe der PIN über die Tastatur. Achten Sie auf Abstand zu Umstehenden.
» Heben Sie Belege auf und kontrollieren Sie Ihre Kontoauszüge. Bei Unstimmigkeiten sofort an die Bank wenden und gegebenenfalls Anzeige bei der Polizei erstatten – auch wenn man meint, dass es schon zu spät sei.

Muss man den Zugang zum Vorraum ebenfalls per Karte legitimieren, sollte man dazu vorsichtshalber eine andere Karte als später am Geldautomaten verwenden (etwa Kundenkarte), weil der Magnetstreifen vielleicht schon im Türöffner heimlich ausgelesen wird. Deshalb sind inzwischen einige Banken wieder dazu übergegangen, auf eine solche Zugangskontrolle zu verzichten.

Varianten solcher Manipulationen können prinzipiell überall dort zum Einsatz kommen, wo bargeldlos bezahlt wird, also auch in Geschäften, Gaststätten oder Tankstellen.

Primitiv muten da Betrügereien an, bei denen eine Fehlfunktion des Automaten vorgetäuscht wird: Dabei bleibt entweder die EC-Karte oder das Bargeld im Ausgabeschacht hängen. Betrüger halten sich dann unter Umständen als angebliche Helfer in der Nähe auf.

Laut BKA wurden 2008 mehr als 800 Automaten manipuliert. Obwohl der Schaden dabei in die Millionen geht, liegt dies in Relation zum Umsatz von etwa 372 Milliarden Euro im Promille-Bereich. Skimming-Opfer können nach Auskunft des Bundesverbandes der Volks- und Raiffeisenbanken mit unbürokratischer Regulierung rechnen.

Auch die Banken sind nicht untätig: Skimming lässt sich durch Häufung bestimmter Kundendaten in Verbindung mit Geldabheben im Ausland sowie durch Auswertung von Videoüberwachung nachweisen. Dabei werden sogar vorsorglich Karten von Kunden gesperrt, die im fraglichen Zeitraum am Geldautomaten waren, aber selbst noch keinen Betrug angezeigt haben. Automaten werden mit Anti-Skimming-Modulen ausgerüstet, die Manipulationsversuche besser erkennen. Videokameras der Bank zeichnen das Geschehen im Vorraum auf, was Betrüger abschreckt und später zur Klärung im Betrugsfall beiträgt.

Mittelfristig verspricht die Einführung von Smartcards Abhilfe, die man nicht mehr mit handelsüblicher Elektronik kopieren kann. Denn der Chip ist nicht einfach ein Metallplättchen, sondern eine komplexe Elektronik mit eigener Intelligenz, die ebenfalls auf Manipulationsversuche reagieren kann. Diese ist in Deutschland bereits flächendeckend verfügbar und soll bis 2010 europaweit eingeführt werden.

Autor: Thorsten Luhm