Vorsicht beim Geldabheben ... Foto: dpa

Manipulation an Geldautomaten beschert Betrügern jährlich Millionenbeträge - Neue Machen.

Stuttgart. Kürzlich hat das Landgericht Karlsruhe zwei Rumänen zu mehr als vier Jahren Haft verurteilt. Sie hatten an Geldautomaten in Bankfilialen Baden-Württembergs heimlich die Daten von Zahlungskarten kopiert sowie eine Videokamera installiert, mit der sie Geheimzahlen (PINs) ausspähten. Abends fuhren sie mit den abgebauten Geräten nach Italien und fertigten Kopien der Kredit- und EC-Karten an. Mit den Dubletten hoben Komplizen kurz darauf Geld in Australien, Kanada, England, Italien und in der Schweiz von den Konten der betrogenen Kunden ab. Insgesamt erbeutete die Bande auf diese Weise 170.000 Euro.

Das soll Margit Schneider nicht passieren. Wenn sie Geld abhebt, untersucht sie zuvor jeden Apparat. "Betrüger bringen an den Eingabeschlitzen Lesemodule für die Magnetstreifen an, die exakt dem Design des Automaten angepasst sind", weiß sie. "Manche Nachahmungen sind so gut - Laien können das gar nicht erkennen." Margit Schneider ist bei der Euro Kartensysteme (EKS) in Frankfurt für das Sicherheitsmanagement von Zahlungskarten zuständig und damit auch Expertin für Skimming. Der Begriff bezeichnet Betrugsmaschen an Zahlungsautomaten wie die der Rumänen: Täter manipulieren Apparate mit einem für die Kunden unsichtbaren Lesegerät. Auf diese Weise erfahren sie deren Kartendaten. Die Videokamera filmt die Opfer zusätzlich beim Eingeben der Geheimzahl. Denn nur wenn sie die PIN kennen, können Betrüger gezielt fremde Konten plündern.

Die Manipulation von Apparaten verspricht jede Menge Gewinn. Denn bundesweit sind 94 Millionen Giro- (ehemals EC-Karte) und mehr als 20 Millionen Kreditkarten im Einsatz. Tatsächlich aber hält sich der Schaden in Grenzen. Zum Teil, weil die Bankkunden vorsichtig sind, zum Teil, weil die Institute Automatenbetrügern zunehmend das Metier erschweren.

Mehr Sicherheit durch neuen Chip

Im vergangenen Jahr wurden an 1773 Geldautomaten oder elektronischen Kassen in Deutschland Daten abgegriffen - eine Steigerung von 83 Prozent gegenüber dem Vorjahr. Den Anstieg erklären sich Experten unter anderem damit, dass EU-weit seit diesem Jahr nur noch Zahlungskarten mit EMV-Sicherheitschips akzeptiert werden. "Da wurde vorher nochmals so richtig zugegriffen", vermutet Margit Schneider. EMV ist ein internationaler technischer Standard für die Kommunikation zwischen Chipkarte und Terminal. Karten mit EMV-Chip auszuspähen und die gewonnenen Daten auf eine Dublette zu übertragen ist mit dieser Technik nicht mehr möglich. Allerdings können an vielen Zahlungsterminals die Daten vom Magnetstreifen kopiert werden.

Seit Januar 2011 sind die 94 Millionen Girokarten mit diesem Sicherheitschip versehen. Ergebnis: In den ersten fünf Monaten 2011 wurden nur 480 Fälle gemeldet. Trotzdem können die Hersteller die ungeschützteren Magnetstreifen nicht von den Karten verbannen. Denn sie werden weiterhin für die Kontoauszugsdrucker sowie für Auszahlungen oder Einkäufe außerhalb Europas benötigt. Pro präpariertem Geldautomaten spähen die Täter im Schnitt mindestens 60 Kunden aus. Nach Angaben des Bundeskriminalamts (BKA) wurden im vergangenen Jahr rund 190000 Kartenkunden Opfer von Skimming-Delikten. Der Schaden wird auf rund 60 Millionen Euro geschätzt und war damit 20 Millionen höher als 2009. Dadurch, dass die Geldinstitute die Abhebebeträge deckeln - das Tageslimit liegt in der Regel zwischen 500 und 2000 Euro - und zudem für jeden Kunden ein individuelles Verfügungslimit festsetzen, können sich Täter nicht beliebig bedienen. Pro Karte erzielen Skimmer einen Schaden von durchschnittlich 1500 Euro, pro Transaktion im Schnitt 260 Euro.

1773 Skimming-Fälle bedeuten zudem nicht, dass alle, die an manipulierten Automaten Geld zogen, auch Opfer werden. "Rund 80 Prozent der Skimming-Fälle können durch Abdecken der Tastatur verhindert werden", erklärt Margit Schneider. In weniger als fünf Prozent nutzt diese Vorsichtsmaßnahme nichts, weil die Täter eine Folie auf die Tastatur aufgeklebt haben und die Geheimzahl praktisch per Fingerabdruck erfahren.

Engmaschiges Meldenetz

2010 wurden unterm Strich 35000 deutsche Zahlkarten betrügerisch eingesetzt, ein Zehntel dessen, was potenziell möglich gewesen wäre - hätten nicht aufmerksame Kunden oder eine schnelle Reaktion der Banken den Tätern einen Strich durch die Rechnung gemacht. Sobald ein Kunde auf seinem Kontoauszug eine illegale Abbuchung feststellt und sie dem Institut mitteilt, gibt dieses die Meldung ans EKS-Net weiter, ein zentrales Melde- und Präventionsnetz, dem bundesweit mehr als 2000 Banken und Sparkassen angeschlossen sind. Sofort gibt die Bank die Warnung ans EKS weiter, fertigt Journale für den Zeitkorridor des Abgriffs an, warnt die möglicherweise betroffenen Kunden, sperrt deren Zahlungskarten und tauscht sie gegen neue aus. 2010 wurden 318751 Karten vorsorglich gesperrt.

Damit nicht genug. "Wir schöpfen Informationen über aktuelle Betrugsfälle und zeigen Schwachstellen auf", erklärt Margit Schneider. "Dabei sind wir eng vernetzt mit dem BKA, den Landeskriminalämtern und einzelnen Polizeidienststellen." Weil jeder Täter Spuren hinterlässt, erhalten die Ermittler etwa Informationen über die Wanderungsbewegungen von Girocard- Kriminellen.

Zunehmend lesen Kriminelle Kartendaten von Kontenmanagern und -auszugsdruckern, die noch nicht auf Chip umgestellt sind. Immer häufiger wird an Fahrscheinautomaten geskimmt oder an anderen elektronischen Kassen. So haben Unbekannte an einer vollautomatischen Tankstelle in Castrop-Rauxel einen Monat lang zwei Zapfsäulen mit Karteneingabe die Daten von Hunderten Kunden einschließlich der Geheimzahl ausgespäht. Mit diesen Daten wurde in Südamerika und in New York Geld abgehoben - dort sind die EMV-Chips noch nicht eingeführt - und die Konten der Tankstellenkunden belastet. Laut Polizei beträgt der Schaden mindestens 500.000 Euro.

Eine immer wiederkehrende Masche schreckte neulich die Braunschweiger auf. Angebliche Bankmitarbeiter kündigten in Privathaushalten telefonisch den Besuch eines Kollegen zwecks Austauschs der Girocard an. Begründet wurde die Aktion mit angeblichen Computerproblemen der Bank. Die Kunden sollten dem Kollegen ihre Girocard und PIN in einem Umschlag aushändigen. Drei Bürger schöpften keinen Verdacht und gaben dem Herrn im dunklen Anzug das Kuvert. Dieser ging schnurstracks zur Bank und hob Geld von ihren Konten ab.

Das sind die neuesten Maschen der Betrüger

Mit immer neuen Tricks versuchen Betrüger, Schutzmaßnahmen an Geldautomaten oder Zahlterminals zu knacken. Hier neue und immer wieder auftauchende Maschen sowie Tipps, was Verbraucher bei Missbrauch unternehmen können.

Da deutsche Geldautomaten nicht nur den Magnetstreifen lesen, sondern meist auch die Echtheit der Karte prüfen, übermitteln die Betrüger die Daten ins Ausland. Geldautomaten in anderen Ländern erkennen in der Regel nicht, ob es sich um eine Originalkarte handelt. Vor allem in Südafrika und in Amerika kommen Dubletten zum Einsatz. Die Bankkunden sollten möglichst häufig ihre Kontoauszüge überprüfen und Bewegungen mit der Kreditkarte kontrollieren.

Cashgrabbing: Neuerdings werden Geldausgabeschächte manipuliert. Eine zusätzliche Metallleiste verhindert die Auszahlung des Bargeldes, weil über dem Ausgabeschacht ein baugleicher Verschluss geklebt wurde. Auf diesem Verschluss befindet sich eine Klebefolie. Sie verhindert, dass der Automat das Geld wieder einziehen kann. Sobald der Kunde zur Schalterhalle geht, nehmen die Täter die Blende samt Geld an sich. Der Kunde sollte beim Automaten bleiben, die Bank und Polizei per Handy informieren oder Passanten darum bitten, Angestellte in der Schalterhalle zu informieren.

Die Spionagetechnik hat sich verfeinert, eine Minikamera zum Ausspähen der PIN ist nicht mehr nötig. Mit einer falschen Tastatur oder einer hauchdünnen Folie über der Originaltastatur wird die Eingabe der PIN über Sensoren abgegriffen, auf Chips gespeichert und sofort per Funk an die Geldabheber im Ausland versendet. Das Abmontieren der Aufsätze und Auslesen der Daten entfällt. Gegen die sehr dünnen Tastaturen, die aufs Eingabefeld montiert werden, ist bisher kein Schutz bekannt.

Der EMV-Chip hat die Sicherheit deutlich verbessert. Er ist aber nicht absolut sicher, solange der leicht auslesbare Magnetstreifen auf der Karte bleibt. Viele Banken und Sparkassen haben in jüngster Zeit ihre Karten auf V-Pay umgestellt. Sie können nur in Europa und in der Türkei eingesetzt werden. Wer in anderen Ländern Geld benötigt oder elektronisch bezahlen will, muss eine Kreditkarte mitnehmen. Einen anderen Weg geht die Deutsche Bank: Hier gilt ein Auslandslimit für Staaten, in denen ausschließlich auf den Magnetstreifen zugegriffen wird, also Amerika und Afrika.

Bei Missbrauch Karten sofort sperren lassen, entweder bei der Hausbank oder unter der zentralen Nummer 116 116 (innerhalb Deutschlands kostenfrei) oder 01805/ 021021 (14 Cent aus dem deutschen Festnetz). Banken und Sparkassen haften ab dem Zeitpunkt der Sperrung voll für finanzielle Schäden. Ausnahme: Der Karteninhaber hat grob fahrlässig gehandelt, etwa seine PIN zusammen mit der Karte als getarnte Telefonnummer aufbewahrt.