Datendiebstahl So tickt der Schwarzmarkt

Von

2. Teil: Kreditkartenhändler und Co-Falle Internet


Mit manchen Datensätzen kann man direkt einkaufen: In diesem Jahr kamen einem deutschen Ticketverkäufer über 66.000 Kreditkarten-Infosätze seiner Kunden abhanden und landeten in Abzockerhänden. Im konkreten Fall wurde das bemerkt und das Schlimmste verhindert. Wie hoch der Schaden für betroffene Kunden am Ende war, ist nicht bekannt. Meistens aber fallen solche Kreditkarten-Abfischereien gar nicht weiter auf, weil nur einzelne Kunden betroffen scheinen - allerdings sehr, sehr viele einzelne Kunden.

Glaubt man den Datenschützern, dann sind von gut jedem vierten Deutschen vollständige Datensätze inklusive Kontodaten in Umlauf. Gehandelt wird grundsätzlich mit den Daten jedes einzelnen Deutschen, die Branche setzt mit Datensatzgeschäften Schätzungen zufolge elf Milliarden Euro um.

Ein satter Batzen davon entfällt auf die legal operierenden Inkasso-Unternehmen, auf Finanzabwickler, auf Data-Mining-Firmen. Standarddatensätze aus Namen, Anschrift, Geburtsjahr und Beruf darf jeder zu Werbezwecken kaufen und verkaufen, solche Daten sind billig. Die "Wirtschaftswoche" sollte für ihre 21 Millionen Datensätze zwölf Millionen berappen, weil die Pakete mehr als das enthielten. Kein Sonderangebot - aber auch kein sonderbares.

Denn auf dem internationalen Markt sind die Daten billiger zu haben. In Deutschland, weiß das Bundeskriminalamt, kosten Kreditkartendatensätze zwischen sechs und zehn Euro. Im Web gibt es Rabatt und Schnäppchen. Hier ein Auszug aus einer aktuellen Preisliste eines illegalen Datenhändlers:

  • US-Visa-Karte: 3 Dollar
  • US-Mastercard: 4 Dollar
  • britische Kreditkarte, sortenunabhängig: 8 Dollar
  • Goldkarte, auf Gültigkeit geprüft: 40 Dollar
  • Software, die angeblich den CVV-Sicherheitscode von Karten auf Gültigkeit prüft: 100 Dollar

Erwischt werden die Windhunde nur selten. Spektakuläre Fälle von Zugriffen machen international Schlagzeilen, das Gros des Geschäftes aber läuft klammheimlich. Selbst ein vielfacher Erfolg fällt kaum auf, weil sich die Opfer in der Regel weltweit verteilen.

Denn dass CDs mit Millionen Datensätzen auf den Markt kommen, ist die Ausnahme. Die Regel ist, dass die Datensätze nicht aus einzelnen, relativ leicht zu identifizierenden Quellen kommen wie im Fall Telekom, sondern aus dem Web abgefischt werden. Früher durch das bekannte Phishing per E-Mail und gefälschter Bank-Login-Seite, heute zunehmend über spezialisierte Trojaner und Keylogger. Das ist tatsächlich einer der stärksten Trends auf dem Schadsoftware-Markt der letzten zwei Jahre: Viren und Trojaner stören und zerstören nicht mehr, sondern verhalten sich einfach still und sammeln Informationen.

Und sie sind damit erfolgreicher, als man denkt. Schon 2007 wurden allein in Deutschland Internet-Nutzer um rund 16,8 Millionen Euro erleichtert, indem man einfach Geld von ihrem Konto abhob. Dazu kommen die dokumentierten Schadensfälle, die sich an Kredit- und EC-Karten festmachen. Hier unterscheidet die Statistik bisher leider nicht zwischen Automatenmanipulationen, Kartendiebstählen oder Kreditkartenabzügen über das Internet. Zur Anzeige kamen 2007 jedenfalls über 72.000 Fälle.

Was man beachten sollte, um nicht zum Opfer zu werden:

  • Computer grundsätzlich gut absichern, wenn es ins Internet geht. Dazu gehört das permanente Viren-Update, regelmäßige Checks auf Trojaner und Ad-Ware, eine funktionierende, aktuell gehaltene Firewall.
  • Sicherheits-Updates von Internetprogrammen (Browser) immer installieren!
  • Einkauf vorzugsweise per Rechnung oder Nachnahme.
  • Wenn Zahlungsabwicklung, dann nur über gesicherte Server. Blick ins Adressfeld: Ist man noch dort, wo man glaubt zu sein? Steht von dem "www" ein "https"? Zeigt der Browser Verschlüsselungs- oder Sicherheitssymbole an?
  • Nie persönliche Daten/Kreditkarteninfos per E-Mail oder Web-Formular weitergeben, wenn man das Gegenüber nicht kennt.

Zurück zur Übersicht



© SPIEGEL ONLINE 2008
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.