0
Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

Datendiebstahl bei EC- und Kreditkarten: neuer modus operandi (Skimming)

Seit einigen Jahren muss die deutsche Kreditwirtschaft beim EC-Karten- oder Kreditkartenbetrug eine neue Variante der Straftäter beim Ausspähen der auf dem Magnetstreifen von Zahlungskarten gespeicherten Daten zur Kenntnis nehmen. Und da für alle neuen Dinge auch gleich ein englischer Begriff herhalten muss, wird uns dieser von der „Fachwelt“ gleich mitgeliefert: das sog. „Skimming“. Im Rahmen unserer Pressearbeit stellen wir diese Betrugs-Maschen vor, erklären, worauf Sie achten sollten und welche rechtlichen Möglichkeiten Ihnen im Schadensfall verbleiben. Die Praxisrelevanz des „Skimming“ wird bereits seit Jahren auf diversen Pressekonferenzen des Bundeskriminalamtes bestätigt.

Inhalt


Wie funktioniert Skimming?

Die schon länger bekannte Masche besteht darin, dass die Straftäter unmittelbar am EC-Karten-Automat ein kleines Gerät vor dem Kartenschlitz anbauen, an dem der Bankkunde normalerweise seine EC-Karte einschiebt. Der Bankkunde bemerkt häufig nicht, dass er seine EC-Karte nicht – wie beabsichtigt – in den EC-Kartenautomat eingibt, sondern in das von den Tätern vorgebaute Gerät. Dieser Vorbau ist dazu da, die Daten auf der EC-Karte auszulesen.

Da die Persönliche Identifikationsnummer (PIN) nicht auf dem Magnetstreifen der Karte gespeichert ist, müssen die Täter sie gesondert ausspionieren. Bei Geldautomaten geschieht dies durch Beobachtung des Täters oder per Videokamera. Mit den abgefangenen Daten wird dann eine gefälschte EC-Karte angefertigt, die über die gleichen Daten verfügt, wie die zuvor ausgelesene EC-Karte des Bankkunden. Mit Hilfe der „abgefangenen PIN“ ist es möglich, Bargeld vom Konto des Bankkunden abzuheben.

Wie funktioniert Skimming an „Point-of-Sale”-Terminals?

Die neuere Entwicklung beim EC-Karten-Betrug stellt einen modus operandi der bereits seit Jahren bekannten Tricks dar. An das Geld der Geschädigten gelangen die Täter jetzt nicht mehr nur durch die entsprechende Manipulation der Geldautomaten, sondern unmittelbar durch das Abfangen der in POS-Terminals eingegebenen Daten, also den bei Händlern vorhandenen Bezahlterminals. An den EC-Karten-Terminals in Tankstellen, in Supermärkten oder an anderen Orten können auf diese Weise kleine Chips auf den Kunden lauern, die während des Bezahlvorganges die Daten auf dem Magnetstreifen inklusive der PIN abgreifen und an die Täter übermitteln. Dies funktioniert immer dann, wenn während des Bezahlvorganges eine Datenverbindung zwischen dem EC-Karten-Terminal und der kontoführenden Bank aufgebaut wird; etwa um eine Freigabe bzw. Legitimation bezüglich der beabsichtigten Kontoverfügung einzuholen. Soweit unmittelbar in den EC-Karten-Terminals von den Tätern ein entsprechender Chip eingebaut werden konnte, können diese Daten während des Transaktionsvorganges abgefangen werden, ohne dass der Kunde dies merkt.

Die so gewonnenen Daten werden auf Kartenrohlinge übertragen, also auf gefälschte EC-Karten. Mit diesen werden dann, vornehmlich aus dem Ausland, missbräuchliche Verfügungen getätigt. Auch in diesem Fall benötigen die Täter neben den auf dem Magnetstreifen gespeicherten Kartendaten immer auch die zur Karte gehörende Geheimnummer, da ohne sie keine Bargeldverfügungen getätigt werden können. Während sich Kunden am EC-Automaten durch das Abdecken des PIN-Eingabefeldes schützen können, ist dies bei Bezahlterminals leider nicht möglich, da die Täter bei dieser technischen Weiterentwicklung in das Gerät selbst eine Vorrichtung zur Erfassung der PIN eingebaut haben, die von außen nicht zu erkennen ist.

Wie funktioniert die Kombination aus alter und neuer Tatvariante?

In der Praxis zu beobachten sind auch Tathandlungen bestehend aus einer Kombination des Abgreifens der zur Karte gehörigen PIN mit Hilfe von hochmodernen Tatmitteln (etwa den Chips in den Bezahlterminals) und einem sich anschließenden klassischem Diebstahl gezielt derjenigen EC- oder Kreditkarte, deren dazugehörige PIN zuvor ausgespäht wurde. In diesem Fall werden die nicht autorisierten Kontoverfügungen mit der echten EC- oder Kreditkarte vorgenommen. Die Täter ersparen es sich, eine Doublette (Zweitkarte) anfertigen zu müssen.

Warum wird das Geld aus dem Ausland abgehoben?

Mit dem gefälschten Kartenrohling wird besonders gerne aus dem Ausland Geld abgehoben, da sich hier die Spuren noch am ehesten verlieren. Außerdem existieren an den Geldautomaten im Ausland nicht die gleichen Sicherheitsmerkmale wie bei den deutschen Automaten. Zumindest bei einigen der von ilex Rechtsanwälte bearbeiteten Fällen zeigt sich, dass sich die Spur der Täter öfters ins osteuropäische Ausland verliert.

Dagegen sind gefälschte Debitkarten in Deutschland zumindest an den meisten Geldautomaten nicht einsetzbar, da die ausgegebenen Debitkarten mit einem Echtheitsmerkmal versehen sind, welches gegenwärtig nur mit Mühen auf eine kopierte Karte übertragen werden kann. Verfügt eine Karte, die zu einem Konto bei einem deutschen Geldinstitut gehört, nicht über das Echtheitsmerkmal, so wird die Transaktion von dem Geldautomaten meist abgelehnt. Einige Geldinstitute schützen sich vor Missbrauch, indem sie ihre Karten mit einem Chip ausstatten, der im Gegensatz zum Magnetstreifen nicht so einfach ausgelesen und kopiert werden kann.

Welchen Vorteil haben die Täter sonst noch?

Der Vorteil für die Täter, etwa im Unterschied zum herkömmlichen Abgreifen von Kontozugangsdaten beim Online-Banking, besteht darin, dass sich die Spur zu den Tätern schneller verliert. Während beim Datenklau im Online-Banking nur die Möglichkeit besteht, eine Überweisung auf ein fremdes Konto zu tätigen und dazu ein sogenannter Geldbote zwischengeschaltet werden muss, kann im vorliegenden Verfahren unmittelbar Bargeld am Geldautomaten abgehoben werden. Geschieht dies vom Ausland aus, dauert es Wochen bis ausländische Banken Angaben über Tatzeit und Tatort übermittelt haben. Zu diesem Zeitpunkt sind häufig auch Videobänder, sofern diese das Geschehen am Geldautomaten überwachen, bereits gelöscht.

Wie schützt man sich?

Achtet der Bankkunde auf äußere Auffälligkeiten, nützt ihm dies wenig, da bereits ein kleiner chipähnlicher Gegenstand im Innern eines handelsüblichen Karten-Zahlungs-Terminals zur Tathandlung genügt. Um die Tat zu entdecken, müsste der Kunde das Gerät aufschrauben und untersuchen; ein nicht gerade praktikabler Vorschlag. Deshalb ist es gegenwärtig für derart geprellte Bankkunden kaum möglich sich im Vorfeld der Tathandlung wirksam zu schützen; es sei denn, man verzichtet im Zahlungsverkehr auf jeglichen Einsatz von EC- und Kreditkarten.

Ob die Ankündigung der Kreditwirtschaft, zukünftig flächendeckend alle Terminals, Geldautomaten und Zahlungskarten mit dem sogenannten EMV-Chip auszustatten, dazu dient, den Missbrauch einzudämmen, muss erst die Praxis zeigen. Gegenwärtig ist das neue System noch nicht flächendeckend eingeführt.

Wer zahlt den Schaden und wie ist die Rechtslage?

Wenn in einem Zahlungsterminal ein kleines Auslesegerät installiert werden kann, so fragt sich natürlich, wie dieser Chip dorthin kommen konnte. Eine Haftung des jeweiligen Anbieters des Zahlungsterminals ließe sich im Einzelfall denken, wenn diese ihren Überwachungspflichten nicht nachgekommen sind oder Mitarbeiter an der Tathandlung sogar beteiligt waren.

In der Mehrzahl der Fälle wird es dem geschädigten Bankkunden jedoch nicht möglich sein, die für eine erfolgreiche Inanspruchnahme nötigen Beweise zu beschaffen. Aus der Sicht des Bankkunden stellt sich der Sachverhalt vielmehr so dar, dass ihm möglicherweise erst bei der nächsten Einsichtnahme des Kontoauszuges auffallen wird, dass es unberechtigte Abbuchungen gegeben hat. Nutzt der Bankkunde regelmäßig und täglich seine Karte als Zahlungsmittel, wird es ihm kaum möglich sein, herauszufinden, an welchem Zahlungsterminal die Kontozugangsdaten abgegriffen.

In diesen Fällen stellt sich die grundlegende Frage, ob ein Erstattungsanspruch gegenüber der kontoführenden Bank besteht? Hier hat sich die Rechtslage seit dem 31.10.2009 geändert, da jetzt im Rahmen der Umsetzung der sog. Sepa-Richtlinie in deutsches Recht der Kunde einen Erstattungsanspruch gegen seine Bank hat, wenn er die Bank umgehend nach Kenntniserlangung über die nicht autorisierte Zahlung informiert. Die kontoführende Bank kann die Haftung dem Kontoinhaber nur noch dann aufbürden, soweit er den Missbrauchsschaden durch ein grob fahrlässiges Verhalten ermöglicht hat; ein in der vorliegenden Fallkonstellation sicherlich auszuschließender Fall. Nach der alten Rechtslage reichte bereits leichte Fahrlässigkeit aus.

Kann im Einzelfall sogar der Nachweis erbracht werden, dass ein Missbrauch an einem EC-Karten-Terminal vorlag, könnte auch der von den Banken und Sparkassen eingerichtete „Debit-Schadenspool“ angerufen werden, ein Fonds der die durch den Einsatz von gefälschten und verfälschten Debitkarten entstandenen Schäden erstatten möchte.

Autor

Dr. Ulrich Schulte am Hülse

Publikationen:

Veröffentlichungsliste Dr. Schulte am Hülse (PDF)

Auswahl (Sonderdrucke als PDF)

Das Abgreifen von Zugangsdaten zum Online-Banking, in: MMR 7/2016, S. 435-440.

Umfang des Auskunftsanspruches gegen die Schufa-Scorewerte, in: NJW 17/2014, S. 1235-1239

Der Anscheinsbeweis bei missbräuchlicher Bargeldabhebung an Geldautomaten mit Karte und Geheimzahl, in: NJW 18/2012, S. 1262-1266.

Das Abgreifen von Bankzugangsdaten im Online-Banking, in: MMR, 2010, S. 84-90.

Weitere Sonderdrucke auf Anfrage

ilex Rechtsanwälte – Berlin & Potsdam Yorckstraße 17, 14467 Potsdam Hohenzollerndamm 123, 14199 Berlin

Telefon +49 331 9793750
Telefax +49 331 97937520

E-Mail: schulte@ilex-recht.de
Internet: ilex-bankrecht.de

Verwandte Themen

Zurück

Sie haben Fragen? Gleich Kontakt aufnehmen!

Medienpräsenz

Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
ilex Rechtsanwälte hat 4,99 von 5 Sternen 84 Bewertungen auf ProvenExpert.com