So funktioniert Skimming

  • Der Datendieb präpariert den Geldautomaten mit der Ablese-Hardware oder einer kleinen Kamera.

  • Der Kunde bezieht Geld. Die Daten des Magnetstreifens und der PIN-Code werden dabei geskimmt (englisch für «abgeschöpft»).

  • Der Datendieb entfernt nach einiger Zeit die Ablese-Hardware wieder.

  • Die gestohlenen Daten werden via E-Mail nach Übersee geschickt.

  • Das Konto des Opfers wird aus den USA, der Dominikanischen Republik oder aus Brasilien mit einer Kopie der Karte leer geräumt.

Der Grossangriff auf die Bankkonten verläuft so: Professionelle Banden, vornehmlich aus Rumänien und Bulgarien, bringen am Bancomaten oder am Zahlungsterminal eine Vorrichtung an, die den Magnetstreifen der EC-Karte kopiert. Eine heimlich angebrachte Kamera oder ein täuschend echter Tastaturaufsatz späht den PIN-Code aus (siehe Grafik). Mit den geraubten Daten räumen Komplizen von Übersee aus die Bankkonten leer. Der Kunde hat den Ärger, die Bank den Schaden. Denn im Fall von Skimming, so heisst die Masche der Gangster, haftet immer sie.

Die Datendiebe gehen immer raffinierter vor und spüren immer neue Schwachstellen auf, um an die Daten zu kommen. Im Gegenzug rüsten Banken, SBB und Detailhändler ihre Automaten ständig auf. «Es ist wie ein Wettlauf gegen die Zeit», sagt ein Sicherheitsexperte.

Und die Zahl der Betrugsfälle in der Schweiz steigt sprunghaft an. Bis Mitte April mussten 22'000 Bankkarten vorsorglich gesperrt werden, doppelt so viele wie in beiden Vorjahren zusammen. 225 Automaten waren manipuliert worden. Die Schadenssumme habe die Zwei-Millionen-Dollar-Grenze deutlich überschritten, bestätigt Sindy Schmiegel von Six Card Solutions.

Seit Jahren sucht eine Arbeitsgruppe unter Führung der Bankiervereinigung intensiv nach Lösungen. Neu dabei sind die Detailhändler, die SBB und Postfinance, weil sie immer häufiger Skimming-Attacken ausgesetzt sind. Rebeca Garcia, Sprecherin der Bankiervereinigung, hält sich bedeckt, was den Inhalt der Beratungen betrifft: «Zusätzliche Sicherheitsmassnahmen werden ständig geprüft.» Mehr will sie – «aus Sicherheitsgründen» – nicht sagen.

Für die Nummer zwei im Schweizer Kartengeschäft, Viseca, ist Skimming dagegen angeblich kein Problem. «Wir verfügen über ausgeklügelte Präventionssysteme, die zuverlässig Betrugsversuche erkennen und präventiv unterbinden», erzählt Sprecher Marco Vara. Dennoch werden in der Schweiz täglich drei Skimming-Attacken verzeichnet.

Banken und Kartenfirmen erklären zwar, ihre Sicherheitssoftware entdecke auffällige Zahlungsbewegungen problemlos, der Schaden sei deshalb gering. Dieser Schutz ist jedoch überraschend löchrig, wie sich jüngst im Zürcher Oberland zeigte. Während ein ZKB-Kunde mit der Maestro-Karte in einem Migros-Restaurant zahlte, konnte ein Gauner mit einer kopierten Karte in New York 1800 Dollar beziehen.

Bezugslimite für Übersee auf null gesetzt

Absurd am teuren Abwehrkampf der Banken ist: Es gäbe eine einfache Gegenstrategie. Man müsste nur den Magnetstreifen der EC-Karte löschen. Genau das fordern Sicherheitsprofis wie der Chef des deutschen Bundeskriminalamts (BKA), Jörg Ziercke. Das wäre problemlos möglich. Denn in Europa verwenden die Automaten schon seit Mitte der neunziger Jahre ausschliesslich jene Daten, die auf dem sogenannten EVM-Mikrochip gespeichert sind. Vom Magnetstreifen wird nur noch der vorderste Teil verwendet. Darauf ist die Information gespeichert, dass es sich um eine personalisierte Bankkarte handelt. Ohne sie würde der Bancomat die Karte gar nicht in den Schlitz einziehen.

Doch auf den Vorschlag von BKA-Chef Ziercke reagieren die Banken und Kartenhersteller äusserst reserviert. Solange in Amerika, Afrika und Asien die Daten vom Magnetstreifen abgelesen werden, könne man auf den Streifen nicht verzichten. Und Zweitkarten eigens für Reisen in diese Länder auszugeben sei zu kompliziert. Und wäre den Banken wohl zu teuer.

Es gibt aber noch eine zweite Lösung für das Problem, die genauso einfach ist und seit vergangenem Herbst von der Deutschen Bank angewendet wird: Auf den Karten wird die Bezugslimite für nichteuropäische Länder automatisch auf null gesetzt. Für Reisen nach Übersee kann man die Bezugsgrenze unbefristet oder auf Zeit auf den gewünschten Betrag erhöhen. Ein Anruf bei der Bank genügt. Hat man das vergessen, kann man über eine Hotline die Karte jederzeit von jedem Ort der Welt aus freischalten lassen. Das geschieht innerhalb von Sekunden.

Das System funktioniere einwandfrei, Reklamationen gebe es kaum, sagt Deutsche-Bank-Sprecher Michael Lermer: «Wir hatten sehr vereinzelte Beschwerden von Kunden, die meinten, ihre Karte funktioniere nicht mehr. Das wars dann aber schon.» Zudem sei das System erst noch äusserst «kosteneffizient».

So gelangen Betrüger an den PIN-Code

Die Tricks der Kartenbetrüger werden immer raffinierter. Die geschickten Manipulationen an den Bancomaten sind selbst für Fachleute kaum mehr zu erkennen.

Quelle: Stadtpolizei Zürich
ZKB prüft «Geoblocking»

In der Schweiz aber rüsten die Banken ihre Automaten weiter auf und rühmen sich ungezählter Sicherheitsmassnahmen. So sagt etwa UBS-Sprecher Serge Steiner: «Wir hatten in den letzten Monaten praktisch keinen Fall von Skimming mehr an einem unserer Bancomaten.» Und seine Kollegin bei der Credit Suisse, Daniela Häsler, meint: «Die Zahl der Übergriffe auf unsere Automaten ist eher rückläufig.» Ihren Kunden nützt das aber nichts, wenn sie Geld an Automaten anderer Banken beziehen.

Doch jetzt dämmert es den Schweizer Banken. Sie wollen das System der Deutschen Bank übernehmen. «Es gibt gewisse Aktivitäten in diese Richtung», sagt ein Insider. Technisch sei es «überhaupt kein Problem», Bezugslimiten für einzelne Weltregionen auf null zu setzen. Ob das System eingeführt wird, entscheide aber jede Bank selber.

Die Credit Suisse bestätigt auf Nachfrage: «Es handelt sich um einen von mehreren Lösungsansätzen, die wir aktuell prüfen.» Die UBS äussert sich ähnlich, will sich aber nicht tiefer in die Karten blicken lassen. Bei der ZKB hat das System intern bereits den Namen «Geoblocking». Es sei «durchaus eine Option», sagt Sprecher Igor Moser. «Eine allfällige Einführung wäre frühestens im Spätherbst 2011 möglich.»