Manipulierte Geldautomaten

ATM-Hacker: Skimming auf dem Vormarsch?

08.07.2016
Trotz moderner Technik greifen Kriminelle immer wieder sensible Daten von Bankkunden ab. Doch die Milliardeninvestitionen der Branche in mehr Sicherheit scheinen sich zu lohnen: Datenklau lohnt sich immer weniger.

Zum Praktikum in den USA - schon sind die Kreditkarten-Daten von kriminellen Hackern abgegriffen und werden missbraucht. Das Beispiel einer 26-jährigen Mainzerin belegt, was die deutsche Finanzbranche seit Jahren bemängelt: Ausgerechnet die US-Amerikaner - beim Bezahlen mit Plastik ganz vorne dabei - schludern bei der IT-Sicherheit. Während Skimming-Angriffe und sonstige manipulative Angriffe auf Bankomaten in Deutschland dank moderner Technik seit Jahren abnimmt, bieten andere Länder Hackern ein Einfallstor, indem Bank- und Kreditkarten weiterhin mit leicht kopierbaren Magnetstreifen ausgerüstet werden.

EMV zerschlägt Skimming-Strategien

"Kriminelle versuchen daher, mit allen Mitteln an Kartendaten zu kommen - und übersehen dabei, dass sie diese kaum noch nutzen können", sagt Margit Schneider von Euro Kartensysteme. Die Einrichtung kümmert sich im Auftrag der deutschen Kreditwirtschaft um das Sicherheitsmanagement für Zahlungskarten.

Entgegen des langjährigen Abwärtstrends haben Datendiebe im ersten Halbjahr 2016 an deutschen Geldautomaten wieder häufiger zugeschlagen: Bundesweit wurden 94 Geldautomaten mit dem Ziel manipuliert, die Kartendaten und Geheimnummern von Bankkunden auszuspähen - zwei Drittel der Vorfälle ereigneten sich in Berlin. Der Bruttoschaden durch Skimming- beziehungsweise Man-in-the-middle-Angriffe ist allerdings weiter gesunken: auf das Rekordtief von 844.000 Euro. Zum Vergleich: Im Jahr 2013 wurden noch 341 Bankomaten in Deutschland ausgespäht oder manipuliert, der Schaden belief sich damals auf 11,3 Millionen Euro.

Die Branche führt die sinkenden Schadenssummen durch Skimming-Angriffe vor allem auf den Einsatz der EMV (Europay International, Master Card und Visa)-Spezifikation zurück. EMV-Karten sind mit einem Prozessor ausgestattet - der Datensatz wird verschlüsselt, die Karte bei Gebrauch auf Echtheit geprüft. Und zwar bei jedem Einsatz, sowohl am Geldautomaten, als auch an der Ladenkasse. Bereits seit Ende 2010 sind in Deutschland sämtliche der gut 100 Millionen Girocards mit EMV-Chips ausgestattet.

Weil sich diese Technik weltweit zunehmend durchsetzt, können gestohlene Kartendaten in immer weniger Staaten missbräuchlich eingesetzt werden. Kriminelle Hacker müssen also weit reisen oder gut vernetzt sein, um in Deutschland ausgespähte Daten zu Geld zu machen. Im ersten Halbjahr 2016 wurden vor allem in den USA (32 Prozent Schadensanteil) und Indonesien (30 Prozent) Umsätze mit hierzulande geklauten Daten festgestellt. Indonesien beispielsweise will erst bis zum Jahr 2022 auf EMV umstellen.

Bankdatenklau: Neue Gefahr durch NFC?

Die Milliardeninvestitionen der deutschen Finanzbranche in mehr Sicherheit zahlen sich aus. Vom aktuellen Schaden bleiben nach Branchenschätzungen "höchstens" 200.000 Euro an heimischen Banken und Sparkassen hängen. Denn wegen internationaler Abkommen müssen die Länder mit den niedrigeren Sicherheitsstandards für betrügerische Geschäfte mit geklauten Bankdaten aufkommen.

Doch Sicherheitsexpertin Schneider mahnt: "Wir dürfen uns nicht auf den Erfolgen ausruhen. EMV wird und muss weiterentwickelt werden." Denn auch Kriminelle - und insbesondere kriminelle Hacker - gehen mit der Zeit, wie beispielsweise das Fachdezernat für Falschgeld und Skimming-Delikte der Hamburger Polizei feststellt. Im Mai berichteten die Ermittler von der Festnahme einer international agierenden Bande, die "hochprofessionell" Geldautomaten manipulierte. Zudem ging den Ermittlern ein Kanadier ins Netz, der sich "professionelle Skimming-Technik" von Bulgarien aus nach Hamburg liefern lassen wollte.

Als mögliches neues Einfallstor für Skimming-Betrüger und Geldautomaten-Hacker gilt die Funktechnologie NFC (Near Field Communication), die beim kontaktlosen Bezahlen zum Einsatz kommt. Hierbei wird quasi im Vorbeigehen der Chip von EC- und Kreditkarten an der Kasse ausgelesen. Kritiker argwöhnen, dass sensible Daten so viel zu leicht in falsche Hände geraten könnten. In einer Umfrage des Wirtschaftsprüfungsunternehmens PwC unter 1035 Erwachsenen gaben Anfang 2016 fast neun von zehn Deutschen - oder 85 Prozent - an, sie sähen die Gefahr, dass bei mobilen Bezahlverfahren Daten geklaut und missbraucht werden.

Die Sorge scheint nicht unbegründet: Das Bundeskriminalamt (BKA) warnt in seinem jüngsten Bericht zum Thema Skimming: "Künftig wird mit technisch verfeinerten und teilweise gänzlich neuen Angriffsszenarien zu rechnen sein, wobei insbesondere mögliche Schwachstellen im NFC-Bereich ein noch weitgehend unerforschtes Gebiet darstellen."

Kleiner Trost für Skimming-Opfer: In der Regel ersetzen die Banken und Sparkassen den durch den Hack entstandenen Schaden in voller Höhe - vorausgesetzt die Bankkunden haben beim Umgang mit Bezahlkarte und PIN ihre Sorgfaltspflicht nicht verletzt. (dpa/fm)