Frankfurt/Main – Die Zahl klingt alarmierend: 240 Mal attackierten Kriminelle im ersten Halbjahr 2017 Geldautomaten, um Kartendaten und Geheimnummer (PIN) von Bankkunden auszuspähen. 124 Automaten bundesweit waren Ziel solcher «Skimming»-Angriffe – fast so viele wie im gesamten Vorjahr (159).
Nachdem die Zahlen jahrelang stetig sanken – auch dank Milliardeninvestitionen der Bankenbranche in sicherere Technik – kehrte sich der Trend im vergangenen Jahr um. Die Branche sieht die jüngsten Zahlen gleichwohl gelassen. «Die Anzahl der Manipulationen ist zwar enorm gestiegen, das ist aber kein Grund zur Besorgnis», sagt Margit Schneider von Euro Kartensysteme. «Denn die Einsatzmöglichkeiten der abgegriffenen Kartendaten sind gering.»
Die moderate Entwicklung des Bruttoschadens spricht für die Lesart der Frankfurter Einrichtung, die sich im Auftrag der deutschen Kreditwirtschaft um das Sicherheitsmanagement für Zahlungskarten kümmert: Während die
«Skimming»-Fälle im Halbjahresvergleich um 155 Prozent nach oben schossen, nahm der Schaden durch den Einsatz von Kartendubletten gerade einmal um elf Prozent auf 938 000 Euro zu.
Kriminelle müssen weit reisen oder gut vernetzt sein, um in Deutschland gestohlene Bankdaten zum Bezahlen oder Einkaufen zu missbrauchen. Denn die auf dieser Grundlage hergestellten Kartendubletten funktionieren im Grunde nur noch dort, wo Bezahlkarten nach wie vor mit leichter kopierbaren Magnetstreifen ausgerüstet werden.
Haupteinsatzländer mit Kartenfälschungen auf Basis von in Deutschland geklauten Daten waren im ersten Halbjahr Indonesien (31 Prozent Schadensanteil), die USA (knapp 30 Prozent) und Australien (12 Prozent).
Bis auf wenige Lücken hat sich weltweit die EMV-Technik durchgesetzt, bei der Bezahlkarten mit einer Art Mini-Computer ausgestattet sind. Dabei wird die Karte bei Gebrauch auf Echtheit geprüft – und zwar bei jedem Einsatz. In Deutschland sind seit Ende 2010 alle inzwischen gut 100 Millionen Girocards mit EMV-Chip ausgestattet, ebenso sämtliche knapp 60 000
Geldautomaten und 720 000 Terminals im Handel.
Dennoch versuchen Datendiebe an sensible Daten von Bankkunden zu kommen – vor allem in Berlin. Die Hauptstadt ist auch Deutschlands «Skimming»-Brennpunkt: Fast 60 Prozent der Attacken im ersten Halbjahr registrierten Fahnder in Berlin (139). Das liegt nach Einschätzung des Bundeskriminalamts (BKA) auch daran, dass in der Stadt viele Touristen unterwegs sind – unter anderem aus Ländern, in denen Zahlungskarten noch nicht mit dem EMV-Chip ausgestattet sind.
Die Täter seien «organisiert, professionell und sehr erfinderisch», warnte kürzlich Sabine Vogt, Leiterin Schwere und Organisierte Kriminalität beim BKA. Kriminelle entwickelten «analog zu den Abwehrstrategien der Banken neue Modi Operandi», heißt es im jüngsten Lagebericht «Angriffe auf Geldautomaten» des BKA.
In Baden-Württemberg, Rheinland-Pfalz und dem Saarland waren Täter 2016 zum Beispiel mit dem sogenannten Blackboxing erfolgreich: Dabei öffnen die Täter den Geldautomaten und übernehmen nach der Installation einer Blackbox die Kommunikation mit dem Auszahlungsmodul, um anschließend zahlreiche unautorisierte Bargeldauszahlungen nacheinander zu veranlassen. Auch mit neuartigen «Skimming»-Geräten, die innerhalb des Karteneinzugs installiert werden und daher schwerer zu erkennen sind, versuchen Datendiebe zum Ziel zu kommen.
Insgesamt jedoch konstatiert das
BKA auf Grundlage der Jahreszahlen 2016: Anhand der Schadenssumme lasse sich nachvollziehen, «dass Skimmingdelikte, zumindest für Deutschland, kein Kriminalitätsphänomen mit herausragender Bedeutung sind».
Wer als Verbraucher dennoch Opfer von «Skimming» geworden ist, muss meist keinen finanziellen Nachteil fürchten. Banken und Sparkassen ersetzen in der Regel daraus resultierende Schäden – vorausgesetzt, Verbraucher sind sorgfältig mit Bankkarte und PIN umgegangen.
Fotocredits: Thomas Frey
(dpa)