Fotostrecke

EC-Karten-Skimming: So sehen präparierte Automaten aus

Foto: Mikko H. Hypponen

EC-Karten-Skimming Überfall im Geldautomaten

Und schon waren 3000 Euro weg: SPIEGEL-ONLINE-Autor Felix Knoke wurden seine EC-Kartendaten geklaut. Damit ist er nicht allein: "Skimming" ist ein Riesengeschäft. Hunderte Millionen Euro werden jährlich über präparierte Geldautomaten ergaunert. Wir zeigen, wie man sich schützen kann.

Ich bin ein Skimming-Opfer. Übers Wochenende haben Betrüger mit einer Kopie meiner EC-Karte insgesamt 20-mal Geld an drei Automaten im Libanon abgehoben. Den Betrug bemerkte ich erst am Montag, da fehlten mir bereits über 3000 Euro. Die für den Diebstahl nötigen Daten - die Kopie des Magnetstreifens, meine geheime PIN-Nummer - beschafften sich die Betrüger mit Hilfe eines manipulierten Geldautomaten in Berlin. Trotz ausgefeilter Sicherheitsmaßnahmen und Aufklärungskampagnen ist diese Art von Kartenbetrug, das sogenannte Skimming, noch immer weit verbreitet (Schutzmaßnahmen finden sie im Infokasten in der linken Spalte).

Als ich den Betrug der Polizei meldete, das ist die Voraussetzung für eine Erstattung des Schadens, stöhnte der Beamte nur auf: "Wir bekommen solche Anzeigen im Dutzend."

So ein Skimming-Angriff verläuft fast immer gleich: Die Betrüger überkleben den Kartenschlitz eines Geldautomaten mit einer Plastikattrappe, in der ein winziges Lesegerät für Magnetstreifen untergebracht ist (siehe Fotostrecke oben). Die PIN-Eingabe filmt eine versteckte Mini-Kamera. Die anfallenden Daten werden auf Speicherkarten zwischengelagert und von den Kriminellen eingesammelt, oder gleich per Funk an einen Laptop in Automatennähe übertragen. Meist im Nicht-EU-Ausland stellen Komplizen mit diesen Daten Kartendubletten her und gehen auf Automaten-Tour, bis das Opfer die Karte sperren lässt.

Da mein Onlinebanking-Konto übers Wochenende nicht aktualisiert wird, bemerkte ich den Schaden erst drei Tage à 1000 Euro zu spät.

Rund 40 Millionen Euro Schaden im Jahr

Der automatische Alarm bei auffälligen Abbuchungen, den die Banken eingerichtet haben, schlug bei mir nicht an - obwohl ich am Nachmittag noch in Berlin mit der EC-Karte einkaufen ging und am Abend im libanesischen Tripoli etwa tausend Euro aus Automaten gezogen haben soll. Dass ich die Manipulation am Automaten hätte bemerken können, glaube ich längst nicht mehr. Wie geschickt die Betrüger die Automaten manipulieren, zeigt eine Skimming-Bildersammlung, die der IT- Sicherheitsexperte und Journalist Brian Krebs  SPIEGEL ONLINE zur Verfügung gestellt hat (siehe Bildstrecke oben).

Alles zum Thema Skimming und Kartenbetrug

18.000 Deutsche wurden im vergangenen Jahr Opfer eines solchen Kartenbetrugs, das sind 0,02 Prozent der 90 Millionen deutschen EC-Karten. Manipuliert wurden dafür laut dem Geldkarten-Dienstleister Euro Kartensysteme nur 809 Geldautomaten, 155 Kartenschlösser und drei EC-Terminals. Der Schaden beläuft sich auf rund 40 Millionen Euro pro Jahr. Europaweit gehen Sicherheitsexperten von circa 500 Millionen Euro aus . Skimming ist für die Täter äußerst lukrativ: Ein einziges Skimming-Modul kann an einem stark frequentierten Geldautomaten in kurzer Zeit Dutzende Kartendaten ausspähen.

Skimmer-Ersatz aus dem Webshop

Die dafür nötige Technik ist so billig, dass die Täter das Modul bei drohender Entdeckung einfach zurücklassen können. Skimmer-Ersatz gibt es sowohl in legalen Onlineshops in China als auch aus der eigenen Werkstatt. Die nötige Technik steckt zum Teil in jedem Handy. Letztlich ist die Chance, erwischt zu werden, sehr gering. Erfolgreiche Polizeiaktionen wie der Einsatz gegen eine rumänische  und eine bulgarische Skimmer-Gruppe  Anfang des Jahres sind selten.

Michael Schultz vom Landeskriminalamt Berlin geht trotzdem nur von einer "eng begrenzten Tätergemeinschaft" aus: gut organisierte Gruppen mit hohem technischen Sachverstand.

Über deren Struktur weiß man nur wenig. Zwar sind viele Osteuropäer unter den Festgenommenen, die erbeuteten Gelder fließen aber oft zurück nach Deutschland. Erwischt werden zudem meist nur die Fußtruppen - die Kleinkriminellen, die Skimming-Module anbringen.

Das Bundeskriminalamt hat SPIEGEL ONLINE ein Video zur Verfügung gestellt, das demonstriert, wie dreist die Täter vorgehen.

Die Banken schauen den Skimmern hilflos zu: Zwar versuchen Automatenhersteller mit Anti-Skimming-Vorrichtungen - etwa Magnetfeldstörsendern, Videoüberwachung und ruckelndem Karteneinzug - Angriffe abzuwehren. Doch die Täter weichen einfach aus, zum Beispiel auf die Kartenschlösser, mit denen viele Banken ihre Automatenräume abriegeln.

Angriff auf die deutsche Kreditwirtschaft

Erleichterung erhofft sich die deutsche Kreditwirtschaft von der Umstellung auf ein Geldkartensystem ohne Magnetstreifen. Zumindest innerhalb Deutschlands sollen bis Ende des Jahres alle Automaten auf den - durch die Jahreswechsel-Panne bekanntgewordenen - EMV-Chipbetrieb umstellt sein. Das Ende für den leicht zu fälschenden Magnetstreifen bedeutet das aber noch lange nicht: Solange sich der teure, fälschungssicherere EMV-Chip nicht weltweit durchgesetzt hat, wollen die Banken ihren Kunden nicht den bargeldlosen Zahlungsverkehr im Ausland verwehren - und nehmen Kartenmissbrauch kulant in Kauf.

Im Gespräch mit SPIEGEL ONLINE betonen Sprecher deutscher Banken und Bankenverbände deshalb immer wieder: Der Kunde bleibt nicht auf dem Schaden sitzen, wir machen bei Schadensmeldungen keine Mucken. "Gemessen an dem Gesamtumsatz mit EC-Karten," so eine Sprecherin etwa, "ist der Schadenausgleich in Skimming-Fällen doch recht gering."

Für mich war das nur wenig Trost: Mein Vertrauen in einen relativ sorglosen Umgang mit der EC-Karte ist erschüttert. Ein EC-Automat ist für mich nun eine Gefahr - die ich durch Aufmerksamkeit regulieren, nicht aber beherrschen kann. Aber ich habe eines gelernt: Meine beste Chance gegen zukünftige Skimming-Angriffe ist ein kompromisslos paranoider Umgang mit meinen PIN-Nummern - wie man sich einfach schützen kann, zeigt das Video unten. Gegen gefälschte PIN-Tastaturen hilft diese Methode zwar nicht, aber die kommen äußerst selten zum Einsatz. Nur in einem Prozent der Fälle, die von der Polizei untersucht werden, wurden Tastatur-Attrappen verwendet - (Handy-)Kameras sind einfach unschlagbar billig.

Die Wiedergabe wurde unterbrochen.