Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

EC-Karten-Skimming: Überfall im Geldautomaten

Und schon waren 3000 Euro weg: SPIEGEL-ONLINE-Autor Felix Knoke wurden seine EC-Kartendaten geklaut. Damit ist er nicht allein: "Skimming" ist ein Riesengeschäft. Hunderte Millionen Euro werden jährlich über präparierte Geldautomaten ergaunert. Wir zeigen, wie man sich schützen kann.

EC-Karten-Skimming: So sehen präparierte Automaten aus Fotos
Mikko H. Hypponen

Ich bin ein Skimming-Opfer. Übers Wochenende haben Betrüger mit einer Kopie meiner EC-Karte insgesamt 20-mal Geld an drei Automaten im Libanon abgehoben. Den Betrug bemerkte ich erst am Montag, da fehlten mir bereits über 3000 Euro. Die für den Diebstahl nötigen Daten - die Kopie des Magnetstreifens, meine geheime PIN-Nummer - beschafften sich die Betrüger mit Hilfe eines manipulierten Geldautomaten in Berlin. Trotz ausgefeilter Sicherheitsmaßnahmen und Aufklärungskampagnen ist diese Art von Kartenbetrug, das sogenannte Skimming, noch immer weit verbreitet (Schutzmaßnahmen finden sie im Infokasten in der linken Spalte).

Als ich den Betrug der Polizei meldete, das ist die Voraussetzung für eine Erstattung des Schadens, stöhnte der Beamte nur auf: "Wir bekommen solche Anzeigen im Dutzend."

So ein Skimming-Angriff verläuft fast immer gleich: Die Betrüger überkleben den Kartenschlitz eines Geldautomaten mit einer Plastikattrappe, in der ein winziges Lesegerät für Magnetstreifen untergebracht ist (siehe Fotostrecke oben). Die PIN-Eingabe filmt eine versteckte Mini-Kamera. Die anfallenden Daten werden auf Speicherkarten zwischengelagert und von den Kriminellen eingesammelt, oder gleich per Funk an einen Laptop in Automatennähe übertragen. Meist im Nicht-EU-Ausland stellen Komplizen mit diesen Daten Kartendubletten her und gehen auf Automaten-Tour, bis das Opfer die Karte sperren lässt.

Da mein Onlinebanking-Konto übers Wochenende nicht aktualisiert wird, bemerkte ich den Schaden erst drei Tage à 1000 Euro zu spät.

Rund 40 Millionen Euro Schaden im Jahr

Der automatische Alarm bei auffälligen Abbuchungen, den die Banken eingerichtet haben, schlug bei mir nicht an - obwohl ich am Nachmittag noch in Berlin mit der EC-Karte einkaufen ging und am Abend im libanesischen Tripoli etwa tausend Euro aus Automaten gezogen haben soll. Dass ich die Manipulation am Automaten hätte bemerken können, glaube ich längst nicht mehr. Wie geschickt die Betrüger die Automaten manipulieren, zeigt eine Skimming-Bildersammlung, die der IT- Sicherheitsexperte und Journalist Brian Krebs SPIEGEL ONLINE zur Verfügung gestellt hat (siehe Bildstrecke oben).

Alles zum Thema Skimming und Kartenbetrug
Sie sind Skimming-Opfer geworden?

1. Benachrichtigen Sie sofort Ihre Bank, lassen Sie die betroffene Karte sperren.

2. Erstatten Sie Anzeige bei der Polizei - gehen Sie zur Wache, dort erhalten Sie im Gegensatz zur Online-Anzeige sofort ein Aktenzeichen, das Sie Ihrer Bank mitteilen können.

3. Beobachten Sie Ihr Konto, Abbuchungen aus dem Ausland können dort ein paar Tage verspätet auftauchen - aktualisieren Sie gegebenenfalls Ihre Anzeige, informieren Sie Ihre Bank.

4. Bei erfolgter Anzeige sollten Sie problemlos Ihr Geld wiederbekommen.

So schützen Sie sich vor Skimmern

1. Achten Sie auf Ihre PIN: Geben Sie die Nummer nur komplett verdeckt ein – nutzen Sie die freie Hand oder einen Geldbeutel. Eine versteckte Kamera im Automatendach könnte Ihre Finger beobachten. Ohne PIN sind Ihre Kartendaten für Skimmer wertlos.

2. Untersuchen Sie den Geldautomaten auf merkwürdige Anbauten, Erhebungen, Löchern und wackligen Bauteilen. Kontrollieren Sie besonders den Kartenschlitz. Leichtes Rütteln erlaubt. Nutzen Sie möglichst immer denselben Automaten. Fallen Ihnen Veränderungen auf, benachrichtigen Sie die Bank, bei Schalterschluss die Polizei.

3. Meiden Sie freistehende Automaten, nutzen Sie weniger frequentierte Automaten Ihrer Bank.

4. Benutzen Sie keine Geldautomaten, die mit spezieller Beschilderung oder ungewöhnlichen Warnungen versehen sind. Das könnte ein Ablenkmanöver sein.

5. Verwenden Sie zum Betreten der Filiale und zum Geldabheben, wenn möglich, verschiedene Karten.

6.Geben Sie die PIN nie an Türöffnern ein. Keine Bank oder Sparkasse verlangt dies.

7. Haben Sie einen Skimming-Verdacht? Benachrichtigen Sie sofort die Bank, bei Schalterschluss die Polizei.

8. Kontrollieren Sie regelmäßig Ihre Kontoauszüge, Ihren Umsatz mittels Onlinebanking. Kontaktieren Sie sofort Ihre Bank bei merkwürdigen Abbuchungen.

9. Beobachten Sie, was Personen, denen Sie Ihre EC-Karte geben mussten (etwa im Supermarkt) mit der Karte tun: vielleicht verstecken sie einen Skimming-Automaten unterm Tisch.

Hier sind Skimmer besonders aktiv

1. Achten Sie besonders bei Reisen in die Türkei, in den Libanon und nach Südafrika auf Ihre EC-Karte. Hier sind Skimmer besonders aktiv – und können direkt Geld abheben.

2. In Deutschland gibt es nach LKA-Angaben kein Skimming-Muster, generell gefährdet sind stark frequentierte Geldautomaten. Wo sich das Skimming lohnt, wird geskimmt.

3. Touristenzentren sind Skimming-Zentren.

4. Egal ob Stadt oder Land: Es herrscht Skimming-Gefahr.

Weitere Automaten-Betrugstechniken

1. In etwa einem Prozent der Skimming-Fälle greifen die Täter mit eigenen Tastenfeldern die PIN-Nummer ab. So ein Angriff ist äußerst schwer zu entdecken.

2. Skimmer tauschen bei einem Einbruch EC-Terminals in Supermärkten mit manipulierten Terminals aus - so ein Angriff ist sehr selten. 2007 erbeutete eine Bande so 4,5 Millionen Euro.

3. Die Täter verhindern die Kartenausgabe im Automaten, der Automat verweigert die Auszahlung - und gibt es dem nächsten Kunden das Geld zusätzlich aus. Ein Klassiker des Geldautomatenbetrugs.

4. Die Täter fangen mit einem Geldschaft-Aufsatz die Geldscheine ab und sammeln sie später ein.

5. Ein Täter beobachtet die PIN-Eingabe des Opfers, ein anderer lenkt es im Moment der Kartenausgabe ab und klaut die Karte. Am Automat nebenan heben die Täter sofort so viel Geld ab wie möglich.

Hier finden Sie weitere Informationen

1. Skimming auf Cyberfahnder.de: Hintergründe, juristische Handhabe, Erfahrungsberichte und ein Arbeitspapier zu den technischen, organisatorischen und rechtlichen Rahmenbedingungen des Skimming

2. "Setzen Sie nicht auf die falsche Karte" - Präventionsprogramm der Polizei

3. "Vorsicht Kartentricks" – Faltblatt der Polizei

4. Kartensicherheit.de - Portal zu "Aufklärung, Vernetzung, Information" der Banken- und Sparkassenverbände

18.000 Deutsche wurden im vergangenen Jahr Opfer eines solchen Kartenbetrugs, das sind 0,02 Prozent der 90 Millionen deutschen EC-Karten. Manipuliert wurden dafür laut dem Geldkarten-Dienstleister Euro Kartensysteme nur 809 Geldautomaten, 155 Kartenschlösser und drei EC-Terminals. Der Schaden beläuft sich auf rund 40 Millionen Euro pro Jahr. Europaweit gehen Sicherheitsexperten von circa 500 Millionen Euro aus. Skimming ist für die Täter äußerst lukrativ: Ein einziges Skimming-Modul kann an einem stark frequentierten Geldautomaten in kurzer Zeit Dutzende Kartendaten ausspähen.

Skimmer-Ersatz aus dem Webshop

Die dafür nötige Technik ist so billig, dass die Täter das Modul bei drohender Entdeckung einfach zurücklassen können. Skimmer-Ersatz gibt es sowohl in legalen Onlineshops in China als auch aus der eigenen Werkstatt. Die nötige Technik steckt zum Teil in jedem Handy. Letztlich ist die Chance, erwischt zu werden, sehr gering. Erfolgreiche Polizeiaktionen wie der Einsatz gegen eine rumänische und eine bulgarische Skimmer-Gruppe Anfang des Jahres sind selten.

Michael Schultz vom Landeskriminalamt Berlin geht trotzdem nur von einer "eng begrenzten Tätergemeinschaft" aus: gut organisierte Gruppen mit hohem technischen Sachverstand.

Über deren Struktur weiß man nur wenig. Zwar sind viele Osteuropäer unter den Festgenommenen, die erbeuteten Gelder fließen aber oft zurück nach Deutschland. Erwischt werden zudem meist nur die Fußtruppen - die Kleinkriminellen, die Skimming-Module anbringen.

Das Bundeskriminalamt hat SPIEGEL ONLINE ein Video zur Verfügung gestellt, das demonstriert, wie dreist die Täter vorgehen.

Überwachungsvideo: Geldautomat in 20 Sekunden präpariert
Foto: BKA
Die Banken schauen den Skimmern hilflos zu: Zwar versuchen Automatenhersteller mit Anti-Skimming-Vorrichtungen - etwa Magnetfeldstörsendern, Videoüberwachung und ruckelndem Karteneinzug - Angriffe abzuwehren. Doch die Täter weichen einfach aus, zum Beispiel auf die Kartenschlösser, mit denen viele Banken ihre Automatenräume abriegeln.

Angriff auf die deutsche Kreditwirtschaft

Erleichterung erhofft sich die deutsche Kreditwirtschaft von der Umstellung auf ein Geldkartensystem ohne Magnetstreifen. Zumindest innerhalb Deutschlands sollen bis Ende des Jahres alle Automaten auf den - durch die Jahreswechsel-Panne bekanntgewordenen - EMV-Chipbetrieb umstellt sein. Das Ende für den leicht zu fälschenden Magnetstreifen bedeutet das aber noch lange nicht: Solange sich der teure, fälschungssicherere EMV-Chip nicht weltweit durchgesetzt hat, wollen die Banken ihren Kunden nicht den bargeldlosen Zahlungsverkehr im Ausland verwehren - und nehmen Kartenmissbrauch kulant in Kauf.

Im Gespräch mit SPIEGEL ONLINE betonen Sprecher deutscher Banken und Bankenverbände deshalb immer wieder: Der Kunde bleibt nicht auf dem Schaden sitzen, wir machen bei Schadensmeldungen keine Mucken. "Gemessen an dem Gesamtumsatz mit EC-Karten," so eine Sprecherin etwa, "ist der Schadenausgleich in Skimming-Fällen doch recht gering."

Für mich war das nur wenig Trost: Mein Vertrauen in einen relativ sorglosen Umgang mit der EC-Karte ist erschüttert. Ein EC-Automat ist für mich nun eine Gefahr - die ich durch Aufmerksamkeit regulieren, nicht aber beherrschen kann. Aber ich habe eines gelernt: Meine beste Chance gegen zukünftige Skimming-Angriffe ist ein kompromisslos paranoider Umgang mit meinen PIN-Nummern - wie man sich einfach schützen kann, zeigt das Video unten. Gegen gefälschte PIN-Tastaturen hilft diese Methode zwar nicht, aber die kommen äußerst selten zum Einsatz. Nur in einem Prozent der Fälle, die von der Polizei untersucht werden, wurden Tastatur-Attrappen verwendet - (Handy-)Kameras sind einfach unschlagbar billig.

Einfacher Schutz gegen Späh-Attacken
Foto: BKA

Diesen Artikel...
Forum - Diskussion über diesen Artikel
insgesamt 69 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Einfache Lösungsvorschläge
nilshh 10.03.2010
Mir fallen da spontan zwei Lösungen ein: Man setzt vorraus dass die EC Karte erstmal nur in Deutschland und anderen ländern in dem das EMV Verfahren funktioniert eingesetzt werden kann. Dann gibt es zwei Möglichkeiten: 1. Möchte man verreisen muss man das betreffende Reiseland freischalten (über Onlinebanking z.B.) 2. Man gibt an Kunden eine zweite EC Karte für Auslandsreisen aus. Diese ist nicht in Deutschland verwendbar. Setzt man diese Karte in Deutschland ein wird sie automatisch gesperrt. So besteht keine Möglichkeit die Karte in Deutschland zu kopieren. Dies wäre eine günstige und einfache Lösung. Man sollte sich allerdings drüber im Klaren sein dass auch das Verfahren über den Chip nicht sicher ist...
2. Libanonyen
ghostrider950 10.03.2010
Hallo SPON, Tripolis liegt in Libyen, nicht im Libanon.
3. logische Folge
malocher7 10.03.2010
Diese Betrugs-Methode ist seit langem bekannt. Für die Betreiber der Geldautomaten sind die "Verluste" offensichtlich immer noch wirtschaftlicher als wirksame Maßnahmen dagegen. Es ist wohl zu teuer, z.B. die Automaten täglich mehrfach "händisch" auf Skimming-Angriffe zu überprüfen. Ein typisches Beispiel für ein "krankes" System. Die Dummen sind wir Normalos, die hilflos ermittelnde Polizei und im Grunde wahrscheinlich die Volkswirtschaft. Gewinner im System sind die Verbrecher und die Automatenbetreiber. Wie gesagt: Krank! Lasst es uns als Trans-Fair-Leistung ansehen. Sich aufzuregen bringt gar nichts.
4. Gute Vorschläge
baldfrei 10.03.2010
Zitat von nilshhMir fallen da spontan zwei Lösungen ein: Man setzt vorraus dass die EC Karte erstmal nur in Deutschland und anderen ländern in dem das EMV Verfahren funktioniert eingesetzt werden kann. Dann gibt es zwei Möglichkeiten: 1. Möchte man verreisen muss man das betreffende Reiseland freischalten (über Onlinebanking z.B.) 2. Man gibt an Kunden eine zweite EC Karte für Auslandsreisen aus. Diese ist nicht in Deutschland verwendbar. Setzt man diese Karte in Deutschland ein wird sie automatisch gesperrt. So besteht keine Möglichkeit die Karte in Deutschland zu kopieren. Dies wäre eine günstige und einfache Lösung. Man sollte sich allerdings drüber im Klaren sein dass auch das Verfahren über den Chip nicht sicher ist...
Beide Vorschläge sind gut. Ich persönlich nutze nie Automaten außerhalb von Bankräumen. Ich öffne keine Türen mit der EC-Karte. Meine Karte ist derzeit für das Ausland gesperrt. Hier muß ich allerdings Kritik anbringen. Die Sperre kostet 5 €; was soll das ? Eine Gebühr für das Entsperren ist ja sinnvoll. Damit kein Ping-Pong-Effekt entsteht. Aber die Sperre ist doch auch für Banken sinnvoll.
5. Zurück auf 500€
Peter Kunze 10.03.2010
Zitat von ghostrider950Hallo SPON, Tripolis liegt in Libyen, nicht im Libanon.
Tach, Da möchte ich mich gerne auch als Klugscheisser outen: Natürlich ist tripoli, die zweitgrösste Stadt des Landes, im Norden des Libanon gelegen. P.S.: Bezüglich Geldautomaten: Vor Benutzung ein paar mal kräftig am Kartenschlitz gerüttelt oder mit den Fäusten traktiert outet gerne einen aufgeklebten Fake.
Alle Kommentare öffnen
    Seite 1    
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
Felix Knoke schreibt von Berlin aus über elektronische Lebensaspekte und versucht sich vergeblich als Hitproduzent in seinem Wohnzimmerstudio.

EMV-Chips
Wofür steht EMV?
Geldkarten mit EMV-Technologie haben einen Prozessorchip. Die Abkürzung EMV setzt sich aus den Anfangsbuchstaben der drei Gesellschaften zusammen, die den internationalen Standard für Karten und Geräte wie Geldautomaten entwickelt haben: Europay International (heute MasterCard Europe), MasterCard und Visa.
dpa
Wozu dienen die Chips?
Der Chip ist eine Art Mini-Computer und soll gespeicherte Daten besser gegen Missbrauch schützen als der herkömmliche Magnetstreifen. Die Technologie soll das Kopieren und Fälschen von Geldkarten eindämmen. Der Datensatz wird sicher verschlüsselt, die Karte bei Gebrauch auf Echtheit geprüft. Außerdem ist eine PIN nötig. Durch seine Rechenleistung bietet der Chip die Möglichkeit für Zusatzfunktionen. Der EMV-Standard soll die Magnetstreifen- Technologie ablösen. Nach Angaben des Unternehmens EMVCo, das die Technologie entwickelt, waren 2008 weltweit mehr als 730 Millionen Geldkarten mit dem EMV-Standard ausgestattet.
dpa

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: