Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

AUS DEM SPIEGEL
Ausgabe 26/2008

Kriminalität: Online-Shops für Betrüger

Von Svea Eckert

Globale Banden haben das Geschäft mit gefälschten Kredit- und EC-Karten entdeckt. Alles, was sie dafür brauchen, gibt es im Internet zu kaufen - geheime Daten inklusive.

Die junge Asiatin stöckelt durch die geöffnete Glastür hinein in eine deutsche Luxusboutique. Kein langes Zaudern, kein umständliches Beratungsgespräch, schon rauscht ihre goldene Kreditkarte durch das Kartenlesegerät. Die Beute: ein Prada-Täschchen - 1487 Euro. Wenig später schwingt die nächste Tür auf, diesmal wird es eine goldene Uhr von Tag Heuer für den daheimgebliebenen Gatten sein - 2350 Euro. Die Kreditkarte ist im Dauereinsatz: glitzernde Brillantarmbänder - 4000 Euro, eine Digitalkamera Marke Lumix, fünf Handys.

Die zierliche Frau mit Pagenschnitt und cremefarbenem Rock ist unterwegs als "Marke reiche Touristin", so beschreibt sie ein Ermittler später. Mit ihrem falschen Pass und ihren 37 gefälschten goldenen Kreditkarten im Portemonnaie gibt sie an diesem Tag knapp 30.000 Euro aus, am Abend steigt sie in den Zug, um von Hamburg bis München weiter in deutschen Großstädten zu shoppen.

Die Asiatin ist Teil eines Gewerbes, das sich immer mehr ausbreitet: des Kreditkartenbetrugs in ganz großem Stil. Sie ist nicht allein unterwegs, gemeinsam mit weiteren Frauen flog sie Ende Mai nach Hamburg zum Abräumen. Immer im Hintergrund: ein Profikrimineller, als Aufpasser. Er überwacht die Einkäuferinnen und sackt die Waren ein. Zurück in Malaysia bringen sie auf dem Schwarzmarkt viel Geld.

Die Sicherheitsbehörden sind alarmiert. Den Ermittlern des Bayerischen Landeskriminalamts gehen fast wöchentlich Asiatinnen mit gefälschten Kreditkarten ins Netz. Das Bundeskriminalamt meldet rund 9000 Fälle für das vergangene Jahr, Tendenz steigend.

Die Hintermänner sitzen sicher im Ausland

Die Frauen haben immer Schulden in der Heimat und hoffen, sie auf diese Weise schnell zurückzahlen zu können. Ihre Hintermänner sind nicht zu fassen, sie sitzen sicher im Ausland. Dort beherrschen sie auch die Fälscherwerkstätten, in denen Pässe und Kreditkarten detailgetreu nachgebaut werden. Der Magnetstreifen macht es möglich: Die Karten sind zwar falsch, die Konten allerdings, von denen das Geld abgebucht wird, sind echt.

So echt, wie das Konto von Betrugsopfer Walter Späth aus Berlin. Vor wenigen Wochen erhielt der Rechtsanwalt einen Anruf seiner Bank: Ob er auf seine Kreditkarte einen Flug mit Caribbean Airlines gebucht hätte? Kosten: rund 1000 Euro. Und eine weitere Reise in ein südamerikanisches Land, Wert: insgesamt 1500 Euro. Späth wunderte sich. Er hatte mit seiner Kreditkarte einmal ein Fachbuch bei Amazon gekauft oder war mit Air Berlin geflogen, allerdings nicht nach Südamerika.

Die Kreditkartendaten von Walter Späth wurden ausgespäht, höchstwahrscheinlich weiterverkauft und schließlich missbraucht. Das geht ganz einfach: Die sensiblen Daten werden im Internet gehandelt. Und das nicht auf irgendwelchen Untergrund-Websites oder Hacker-Servern, sondern ganz offensichtlich und mühelos zu finden.

Einmal googeln, schon tauchen sie auf und Stunden später wieder ab, Web-Seiten wie dumps.co.nr, cc-info.biz oder cvvsell.com. Eine Nummer mit Gültigkeitsdatum und Sicherheitscode kostet fünf Dollar, eine amerikanische vier Dollar. Mindestbestellwert: 300 Dollar.

Unzählige hübsch und professionell gelayoutete Daten-Supermärkte werben im Netz mit Sätzen wie: "Eastern europe crew, on your service" oder "Our current special offers". Das "special offer", das Sonderangebot, in diesem Fall ein "Beginner Carder Pack". Es enthält ein Lese- und Schreibgerät für Magnetstreifenkarten, zehn Rohlinge, eine gefälschte Visa-Card-Dublette und fünf Datensätze zum Schnäppchenpreis von 300 Dollar. Auf das Beginner-Paket folgt das für Fortgeschrittene und schließlich das "Pro Carder Pack" für 2000 Dollar.

Je mehr Details desto teurer

Bei vielen Händlern kann sich der Kunde auch noch die Bank aussuchen, von der die Kreditkarte stammen soll. Je größer das Angebot, je detailreicher die Preislisten, desto teurer, aber auch qualitativ hochwertiger sind die Daten. Gleichzeitig werden oft auch die Zugangscodes von Online-Bankzugängen verkauft. Je nach Bank und Kontostand variieren die Preise. So geht beispielsweise der Zugang zu einem Citibank-Konto mit einem Guthaben von rund 12.000 Euro für 850 Euro weg. Die passende PIN und TAN werden mitgeliefert. Besonders professionelle Händler bieten eine 24-Stunden-Garantie. Funktioniert der Account nicht, wird er ausgetauscht.

Auch Komplettsätze, gefälschte Dubletten mit den geklauten Informationen auf dem Magnetstreifen, kommen per Post zum Käufer. Besonders beliebt sind dafür laut BKA die Packstationen der Deutschen Post. Hier werden Fächer unter falschem Namen eingerichtet, die heiße Ware kann zu jeder Uhrzeit anonym abgeholt werden.

Das volle Ausmaß des globalen Betrugs wird bei den Datenmassen deutlich, die den Tätern zur Verfügung stehen. Erst vor wenigen Wochen entdeckte eine amerikanische Computer-Sicherheitsfirma einen sogenannten Crimeserver: einen Rechner mit Standort in Malaysia, registriert auf einen Russen, gespickt mit 1,4 Giga-byte gehackten Daten aus der gesamten Netzwelt, darunter auch Versicherungsnummern, geschäftliche E-Mails und Kreditkartendaten.

Das Bayerische Landeskriminalamt berichtet vom gehackten Server einer Fluglinie, in Hamburg bearbeitet das Landeskriminalamt den Fall des geknackten Online-Shops der Firma Kartenhaus Ticketservice GmbH mit 65 992 gestohlenen Datensätzen. Wer ein Ticket der Fluglinie mit seiner Kreditkarte gekauft oder eine Konzertkarte bei Kartenhaus bestellt hat, muss fürchten, dass seine Daten im Netz zum Verkauf stehen.

Computer-Sicherheitsfirmen beobachten diese Bewegungen im Netz. 24 Stunden, sieben Tage in der Woche, auf drei Kontinenten durchsuchen sie das Internet nach neuem Spam, Viren oder Trojanern und entwickeln Schutzprogramme.

Geschäft mit dem Ausspähen von Daten wächst

Bei der Computer-Sicherheitsfirma Sophos ist gerade Schichtwechsel, von den USA wird an England übergeben: In Oxford sitzen 30 Experten - die eine Hälfte mit weißen Kitteln, die andere in Heavy- Metal-Shirts vor PCs. Sie sind die Wächter des Internet, sie scrollen, tippen, klicken, suchen nach Schädlingen. Alle fünf Sekunden finden sie eine infizierte Web-Seite, auf der Daten ausgespäht werden: Kreditkartennummer, das passende Verfallsdatum, die Prüfziffer. "Früher wurden Viren geschrieben, um den Computer abstürzen zu lassen, heute dienen sie fast ausschließlich dazu, Geld zu machen", sagt Vanja Svajcer, Virusexperte von Sophos. Besonders private Nutzer seien ein leichtes Ziel, das Geschäft mit dem Ausspähen von Daten wachse exponentiell.

Kürzlich verurteilten US-Gerichte 38 Personen mit Verbindungen zu einer global operierenden Bande. Sie agierten über Kontinente und Nationalitäten hinweg. Bandenmitglieder organisierten und sammelten die Datensätze der Kreditkarten, oftmals auch mit passender PIN, von Rumänien aus. Via Chat-Nachricht wurden sie anschließend in die USA an sogenannte Kassierer versandt. Mit der passenden Hardware war es dann ein Leichtes, die übermittelten Informationen auf Magnetstreifendubletten zu ziehen. "Läufer" testeten die gefälschten Kreditkarten. Taugten sie, wurde an ausgewählten Automaten mit den höchsten Limits Geld gezogen.

Und dieses Geschäft läuft nicht nur mit Kreditkarten. In Europa sind vor allem EC-Karten eine äußerst lukrative Beute. Die Polizei in Deutschland beschäftigt vor allem Datenabgriffe an Geldautomaten und Terminals von Supermärkten und Tankstellen. Mit täuschend echt aussehenden Aufsätzen und Kameraleisten oder eingebauten Chips werden die Daten samt PIN ausgespäht - eine Technik, die auch als "Skimming" bekannt ist. "Die Täter kommen so schnell an Cash. Bevor reagiert werden kann, ist das Konto bereits leergeräumt", sagt Eduard Liedgens, Leiter der Abteilung Zahlungsmittelfälschungen beim Bayerischen Landeskriminalamt.

"Ansprechpartner" in vielen deutschen Städten

Das Profi-Equipment können sich die Diebe mit wenigen Mausklicks auf einschlägigen Web-Seiten bestellen. Passende Kartenlese- und Schreibgeräte sowie eine Stanzmaschine sind legal im Handel erhältlich. "Effizienter kann man in diesem Bereich gar nicht mehr arbeiten", merkt Liedgens an.

In vielen deutschen Städten gibt es bereits "Statthalter" der Banden. Sie sind Ansprechpartner für anreisende Mitglieder. Hier bekommen die kartenfälschenden Rucksackgauner Informationen, wo es welche Bankautomaten, Hotels und Abendvergnügungen gibt. Allein in den ersten sechs Monaten seit Jahresbeginn wurden so viele Skimming-Fälle bekannt wie im gesamten Jahr 2007. Jeder Ermittler des Bayerischen Landeskriminalamts aus der Abteilung Zahlungsmittelfälschungen bearbeitet bis zu 200 aktuelle Verfahren.

Den Ärger hat erst einmal der ausgespähte Bankkunde. So wie Jens Reinhardt aus Paderborn. Über die Pfingstfeiertage wurde sein Konto geräumt: 15 Abbuchungen, vorgenommen an Geldautomaten in Sofia, insgesamt 3000 Euro, obwohl seine EC-Karte sicher im eigenen Portemonnaie steckte. "Man staunt schon nicht schlecht, wenn man von plus 1500 Euro auf minus 1500 abstürzt", sagt er.

Reinhardt wurde geskimmt, der Magnetstreifen seiner Karte kopiert, die PIN ausgespäht. Sein Geld bekam er vier Wochen später von der Bank zurück.

Gesamtsumme der Schäden unbekannt

Banken und Kreditkartenunternehmen sehen den zunehmenden Missbrauch immer in Relation zum Umsatz: Angesichts der Beträge, die mit Visa gemacht würden, liege der Betrug bei 0,05 Prozent, sagt Ottmar Bloching, Geschäftsführer bei Visa Deutschland. So wird bei Kreditkartenbetrug der Schaden in der Regel schnell und kommentarlos ersetzt. Meist wird das Konto gar nicht erst belastet.

Bei EC-Karten allerdings wird jeder Einzelfall geprüft. Aus einem gemeinschaftlichen Schadenspool wird bei Skimming meist binnen vier Wochen ausgezahlt.

Über die Gesamtsumme der Schäden allerdings oder die Anzahl der Betrugsversuche schweigen sich die betroffenen Unternehmen aufgrund von "Wettbewerbs- und Datensicherheitsgründen" aus. Schließlich könnte das saubere und sichere Image beschädigt werden.

Ganze Abteilungen bei Banken und Kreditkarteninstituten sind mittlerweile ausschließlich mit Realtime-Monitoring beschäftigt, beobachten also Kontenbewegungen. Weichen sie ab, wird der Kunde angerufen, die Karte umgehend gesperrt.

So kamen die Ermittler des Bayerischen Landeskriminalamts schließlich auch auf die Spur der Kreditkartenbetrügerin. Die junge Asiatin wurde in einer Luxusboutique in der Münchner Innenstadt auf frischer Tat geschnappt: in der Hand eine goldene Kreditkarte und ein Louis-Vuitton-Täschchen.

Diesen Artikel...

© DER SPIEGEL 26/2008
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Fotostrecke
Gefälschte Kreditkarten: Auf Shopping-Tour


Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: