IITR Datenschutz Blog

Nicht nur Skimming: Computerkriminalität im Alltag

23.01.2009

Es war dieser Woche schon in der Presse:

Nach Angaben des Bundeskriminalamts (BKA) kam es im Jahr 2008 in Deutschland zu einem massiven Anstieg der Manipulationen von Geldautomaten. Rund 2400 Angriffe auf Geldautomaten hat das BKA 2008 verzeichnet, während es 2007 noch 1349 waren. Dabei waren allerdings nur 809 verschiedene Geldautomaten das Ziel der sogenannten Skimming-Attacken.

Wenn man hier im Blog in die Kommentare blickt, erkennt man schnell, wie dummdreist bis naiv mancher Konsument bis heute ist. Grund genug das Thema kurz aufzugreifen.

Was ist Skimming?

Via Wikipedia: Skimming ist ein englischer Begriff für eine Methode, illegal die Daten von Kreditkarten oder Bankkarten auszuspähen. „Beim Skimming werden illegal Kartendaten erlangt, indem Daten von Magnetstreifen ausgelesen und auf gefälschte Karten kopiert werden.“

Zu den Daten

Grundsätzliches: Ich vermeide den Begriff “Computerkriminalität” weil er bei Laien schnell den heimischen PC suggeriert und Geldautomaten oder Bezahlterminals etwas aus dem Blick schweifen lässt. Ich habe mich für die Begrifflichkeit “Daten-Strafrecht” entschieden und spreche daher insgesamt auch davon – dies zur Erläuterung. Dabei gehört zu diesem Bereich eben nicht nur das “Skimming”, sondern auch sonstige Straftaten, die ich hier auch ansprechen möchte – es gibt da einige Interessante Fakten.

Zuerst einmal aus der Meldung des BKA ein paar Daten, die sich aber nur auf das Skimming beziehen:

Im Jahr 2008 kam es in Deutschland zu einem massiven Anstieg der Manipulationen von Geldautomaten. 809 verschiedene Geldautomaten waren das Ziel von Manipulationen. Das bedeutet im Vergleich zum Vorjahr eine Steigerung von 77% (2007: 459 Automaten). Insgesamt steigt die Zahl der Manipulationen von Geldautomaten in Deutschland seit 2001 kontinuierlich. Der bereits in den letzten Jahren festgestellte Trend, wonach einzelne Geldautomaten dabei mehrfach attackiert werden, hat sich auch im Jahr 2008 fortgesetzt. So kam es im abgelaufenen Jahr 2008 im Inland zu insgesamt rund 2.400 Angriffen auf Geldautomaten (2007: 1.349).

Dabei ist festzustellen, dass die BKA-Meldung schon zwei Themen vermischt, dort ist dann nämlich auch dies hier zu lesen:

Durch den Einsatz gefälschter Debitkarten, auf die die erlangten deutschen Kartendaten aufgebracht werden, entstand nach Schätzungen des Bundeskriminalamts (BKA) ein Schaden in Höhe von über 40 Millionen Euro.

Es ist festzuhalten, dass der Missbrauch von Debitkarten (gemeint sind damit übrigens Karten die zu einer umgehende Konto-Belastung führen, abzugrenzen gegenüber Kreditkarten) auf verschiedene Arten geschehen kann. So kann sicherlich einerseits durch Skimming eine Karte “geklont” werden. Es kann aber auch u.a. eine Karte durch einen Dritten rechtsmissbräuchlich genutzt werden – in der PKS landet sowas im Schlüssel 5163. Als Vergleich: Im Jahr 2007 wurden hier bundesweit 25348 Delikte erfasst, erheblich weniger als 2004 (36088 Delikte), was sicherlich auf verbesserte Aufklärung nicht nur der Bürger, sondern vor allem des Handels zurück zu führen ist. Nicht zu erklären ist der Rückgang übrigens durch den verstärkten Einsatz der PIN an Zahlterminals (statt Unterschrift), weil der Betrug mittels Unterschrift im Schlüssel 5162 gesondert erfasst wird.

Damit ist das Skimming weiterhin ein Problem, sogar ein zunehmendes, doch muss man als Gefährdeter die Zahlen sauber auseinander halten. Man hat ein bisschen den Eindruck, als würde sowas jederzeit überall auftreten – in der Tat wird aber Zielgerichtet gehandelt. Ich möchte hier schlicht einer Panik vorbeugen.

Ein anderes Beispiel: Ich kann nun darauf hinweisen, dass selbst bei uns in Langerwehe (Dorf mit ca. 20k Einwohnern) Skimming betrieben wurde, was zu großer Aufregung führte. Der unbedarfte Leser wird nun herauslesen “In jedem kleinen Dorf kann es passieren, nirgendwo ist man sicher”. Das aber will ich nicht sagen, ich muss nur etwas nachschieben: Bei uns im Dorf findet einmal Jährlich ein relativ grosser “Töpfereimarkt” statt, der aus den Regionen Aachen und Düren wirklich viele Besucher anzieht, es geht hier um mehrere Tausend Besucher. Das Skimming wurde genau einmal betrieben, an einem frei zugänglichen Geldautomaten – und das während dieses Marktes. Ich denke, das rückt das Bild etwas zurecht.

Während ich dabei bin, ein paar Hinweise zum Daten-Strafrecht: Delikte nach §202a StGB sind in den letzten Jahren stark gestiegen auf 4829 im Jahr 2007; Delikte nach §§303a,b StGB sind dagegen einer Kurve unterzogen, im Schnitt geht es hier um etwa 2000.
Im Bereich Softwarepiraterie gibt es einmal den Bereich “privat” (PKS 7151), der in den letzten Jahren stabil bei etwa 2800 Delikten lag. Ausnahme 2006 mit 1920 Delikten. Im Bereich “gewerblich” ist es von 1117 (2004) auf 437 (2007) eingebrochen. Mag man von halten was man will.
Alles in allem hält sich die PKS im dort mit “Computerkriminalität” benannten Bereich in den letzten Jahren stabeil bei ca. 60.000 Delikten pro Jahr.

Prävention?

Mein erster Tipp, auch mit Blick auf den oben verlinkten Kommentar: Verdecken Sie Ihre Geheimzahl. Immer und überall. Gleich ob am Geldautomaten, beim Discounter oder im Elektroshop: Halten Sie immer die Hand direkt über die PIN-Eingabe. Niemand, ohne Ausnahme, sollte Kenntnis von ihrer PIN erhalten – reagieren Sie daher auch allergisch auf Überwachungs-Kameras, die einen Eingabeblock im Blick haben könnten.

Das Problem: Wenn das Gerät zur Eingabe schon Manipuliert ist (solche Fälle gab es nicht nur in den USA sondern auch in Deutschland), hilft das Abdecken nichts – das Gerät speichert einfach die PIN sowie den durchgezogenen Magnetstreifen. Insofern ist der beste Rat, die Karte so selten wie möglich zu nutzen. Wenigstens bei Geldautomaten ist zur Zeit nur das Skimming, also das Ausspähen, realistisch aber nicht die direkte Manipulation der internen Hardware.

Als zweites: Bilden Sie sich nicht ein, Skimming-Module zu erkennen. Die neuesten Modelle sind derart gut, dass man Profi sein muss, um sie als solche zu identifizieren. Als normaler Bürger, der damit nichts zu tun hat, fallen Sie schnell darauf herein. Also Verurteilen Sie weder Opfer, noch halten Sie sich für unfehlbar. Nachlässigkeit ist, als Teil des “Faktor Mensch” das grösste Problem im Bereich Datensicherheit.

Alle weiteren Hinweise wären nur Erweiterungen von Tipp 1: Es geht am Ende, das merkt man auch wenn man die Hinweise des BKA liest, nur um Geheimhaltung:

  • Geben Sie keinem Dritten Ihre Karte
  • Notieren Sie nicht die PIN, vor allem nicht auf der Karte
  • Öffnen Sie mit einer anderen Karte die Türe zur Bank
  • Nennen Sie keinem Dritten die PIN, auch nicht angeblichen Bankangestellten am Telefon
  • Geben Sie ihre Bankdaten nur sehr begrenzt im Internet an, am besten gar nicht

Der beste Tipp ist natürlich: Nutzen Sie die Karte so gut wie gar nicht. Zahlen Sie immer bar. Wenn Sie Geld holen, holen Sie Geld nur innerhalb von Bankfilialen am Automaten (also nicht an freistehenden Geräten, etwa in Fußgängerzonen), öffnen Sie die Türe zur Bank mit einer anderen Karte als die, die sie am Automaten nutzen und verdecken Sie selbst am Automaten die PIN eingabe. (Man merkt es wieder: Geheimhaltung…)

Hinweis: Geschwindigkeit

Skimming wird nicht von verwirrten Einzeltätern begangen, sondern von organisierten Banden. Haben Sie keine Fehlvorstellungen was die Organisation angeht: Die erspähten Daten werden im Regelfall in Echtzeit ins Ausland übermittelt und dort genutzt. Angeblich soll es in Fällen zu Missbrauch innerhalb weniger Minuten gekommen sein. Wer also glaubt, dass man ja rechtzeitig in der Zeitung von einem Vorfall liest und dann sperren kann, muss das aufgeben: Man sollte beim kleinsten Verdacht sofort reagieren.

Beitrag teilen:

1 Kommentar zu diesem Beitrag:

Thomas

Hinweis: Auch bei Bankautomaten kann die Tastatur manipuliert sein:
http://www.cyberfahnder.de/nav/them/phish/skimming.htm#t050
Das Abdecken des Zahlenfeldes hilft also, wenn jemand mit einer Kamera versucht, die PIN abzulesen, aber nicht bei einer Aufsatztastatur.

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif