Skimming

HANNOVER. Niedersachsens Innenminister Uwe Schünemann hat da-rauf hingewiesen, dass zur wirksameren Verhinderung von Skimming die Kreditinstitute alle bereits vorhandenen technischen Abwehrmöglichkeiten ausschöpfen müssen. Beim Skimming handelt es sich um ein Phänomen aus der Fälschungs- oder auch Zahlungskartenkriminalität. "An stark frequentierten Geldautomaten sollten Anti-Skimming-Vorrichtungen, und dann idealerweise mit Alarmaufschaltung zur Polizei, eingebaut werden. Positive Beispiele zeigen, dass durch den Einbau entsprechender Hard- und Software Manipulationsangriffe wirksam verhindert werden können", sagte der Innenminister am Montag in Hannover. Auch ein flächendeckender Einsatz von Raumüberwachungsanlagen wäre aus Sicht Schünemanns sinnvoll. Dazu zähle auch, dass die Banken noch stärker die Geldausgabeautomaten sowie Türöffner auf Veränderungen kontrollierten. "Die Geldinstitute als Betreiber von Geldausgabeautomaten können durch den Einsatz der neuesten Technik in Verbindung mit ständiger Gerätekontrolle Schäden durch Skimming wirkungsvoll verhindern. Die Banken dürfen dabei nicht nur wirtschaftliche Erwägungen heranziehen, sondern müssen auch einen möglichen Vertrauensverlust bei den Kunden berücksichtigen", so Schünemann. Vor diesem Hintergrund forderte der Innenminister den flächendeckenden Einsatz der modernsten Skimming-Abwehrtechnik. Schünemann kündigte an, Skimming auch auf die Tagesordnung der nächsten Innenministerkonferenz zu setzen.

Der englische Begriff Skimming bedeutet Abschöpfen oder Absahnen. Er steht für eine Methode, illegal die Daten von Kreditkarten oder Bankkarten und die PIN auszuspähen. Beim Skimming werden Kartendaten erlangt, indem Daten von Magnetstreifen illegal ausgelesen und auf Blanko-Karten kopiert werden. Ein typisches Angriffsmuster ist das gleichzeitige Ausspähen vom Magnetstreifeninhalt der Kredit- oder Girocard (früher EC-Karte) zusammen mit der PIN durch technische Manipulationen an oder/und in der Nähe von Geldausgabeautomaten (GAA).

Lage der Skimming – Kriminalität:

Im Jahr 2007 gab es in Deutschland insgesamt 1.349 Angriffe auf 459 GAA, eine Steigerung um fast 50 Prozent im Vergleich zum Vorjahr. In 70.000 Fällen entstand ein Schaden von insgesamt rund 21 Mio. Euro.

Niedersachsen nahm im Bundesvergleich 2007 den vierten Rang ein und hatte einen Anteil von 6,0 Prozent am Gesamt-Fallaufkommen. Im vergangenen Jahr stieg die Zahl der Orte an denen Daten an Geldausgabeautomaten manipuliert und abgegriffen wurden von 7 (2006) auf 32. Dabei wurden 98 (Attacken) Manipulationsangriffe auf die Geldautomaten registriert. Insbesondere Ballungsgebiete entlang der Autobahnen sind Schwerpunkte für die Skimming-Täter. Mit 15 verschiedenen Orten, an denen Geldausgabeautomaten manipuliert wurden, stellt Hannover den Straftatenschwerpunkt da. "Die Tendenz ist für das laufende Jahr insgesamt stark ansteigend", so Schünemann. Für Niedersachsen zeichnet sich eine Verdoppelung der Fallzahlen ab. Derzeit liegt der niedersächsische Anteil am bundesweiten Fallaufkommen bei rund 10 Prozent.

Es wurden im 1. Halbjahr 2008 für Niedersachsen 42 POC's (Orte des Datenabgriffs) und 143 Manipulationsangriffe (Attacken) bekannt.

Aktueller Stand vom 05.08.08:

	POC	Attacken
Bundesgebiet	508	1539
Niedersachsen	53	176
PD Hannover	16	74

Weitere niedersächsische Städte mit nennenswerter Fallbelastung:

Polizeiinspektion Braunschweig 7 / 27 (POC / Attacken)

Polizeiinspektion Salzgitter 5 / 22

Polizeiinspektion Osnabrück 4 / 9

Polizeiinspektion Hildesheim 2 / 8

Es werden Bankfilialen mit starker Kundenfrequentierung ausgesucht, offenbar insbesondere unter Berücksichtigung der aufgestellten GAA, für die die Täter die passenden Skimming-Vorsätze besitzen müssen. Nach bisherigen Erkenntnissen kommen die Täter aus dem ost-europäischen Raum. Ca. 75 Prozent stammen aus Rumänien. Sie verfügen über professionelles Equipment bis hin zu identisch aussehenden Automaten-Attrappen und Speichereinheiten teils mit Funkübertragung oder interner Speichermöglichkeit. Aktuell werden USB-Sticks oder MP3-Player als Speichereinheit und mitgebrachte Rauchmelder oder Wanduhren als Kameratarnung benutzt. Die benötigte Zeit für die Montage von Vorsatzgeräten liegt zwischen 20 und 60 Sekunden. Beim Abbau wird weniger Zeit benötigt.

"Wir haben in der strategischen Ausrichtung bei der Kriminalitätsbekämpfung seit einiger Zeit eine Schwerpunktsetzung bei Internet- und Computerkriminalität." Die Polizei ist in der Lage auch mit dieser dynamischen Kriminalitätsentwicklung Schritt zu halten. Dies wird an einigen spektakulären Festnahmen in der Vergangenheit deutlich.

Ausspähen von Kundendaten an Geldausgabeautomaten:

Eine Variante ist es, auf den Einzugsschacht direkt am GAA ein Lesegerät in Form eines kleinen Kunststoffrahmens aufzubringen. Die Karte wird dann einfach durch das zusätzliche illegale Lesegerät hindurch in den Automaten gezogen und dabei der Inhalt des Magnetsteifens ausgelesen. Ebenso kommen großflächige Vorsatzgerätschaften zum Einsatz, die denselben Effekt erzielen. Alternativ wurden auch Vorfälle berichtet, bei denen ein zusätzliches Lesegerät in den Türöffner der Filiale eingebaut wurde (häufig erfordert schon der Zutritt zum Vorraum mit dem GAA den Einsatz der Karte). Die Eingabe der PIN wird meist mit einer kleinen Kamera (Foto-Handy oder Minikamera) aufgenommen, die oft oberhalb der Tastatur in einer angeklebten Kunststoffleiste versteckt ist (sogenannte "Kameraleiste"). Aktuell werden die Minikameras aber auch in umgebauten Rauchmeldern unter der Decke oder in extra mitgebrachten Wanduhren versteckt. Immer wieder konnten Module für die drahtlose Funkübertragung festgestellt werden. Das ist insgesamt selbst für aufmerksame Benutzer kaum erkennbar.

Es kommen aber auch ganze Tastatur-Attrappen zum Einsatz, die über das originale Tastenfeld aufgesetzt werden und einfach die Tastendrücke speichern oder ersatzweise per Funk übertragen. Die Daten der Girocard werden dann typischerweise auf einen oder mehrere leere Kartenrohlinge (sog. "White-Plastics") übertragen, mit denen die Betrüger dann – zusammen mit der PIN – Bargeld an GAA im Ausland abheben können.

In Einzelfällen ist es auch bereits zu illegalen Manipulationen an Kartenlesegeräten an den Kassen im Einzelhandel gekommen.

Empfehlungen für den Kunden:

• Kunden sollten an einem montierten Türöffner schauen, ob sich dieser nicht durch einfaches Abziehen entfernen lässt. Ein Kartenleser am Eingang einer Bank verfügt niemals über ein Tastaturfeld. Er hat immer nur die Funktion des Türöffners und wird derzeit über eine Magnetspurkarte geöffnet (Kredit- oder Girokarte). Er soll in seiner Funktion lediglich ungebetene Gäste aus dem Foyer fernhalten. Ein Tastaturfeld am Eingang muss ein echtes K.O.-Kriterium für Kunden sein und diese davon abhalten, ihre Karte dort durch Einstecken zu benutzen.
  
• Der Kunde sollte sich am GAA vergewissern, dass zunächst einmal um ihn herum genügend Abstand zu umstehenden Personen besteht. Notfalls muss dieser eingefordert oder auf den Gebrauch eines Terminals, an dem eine PIN einzugeben ist, verzichtet werden. Der GAA sollt genau in Augenschein genommen werden, ob Einzugsschacht beziehungsweise die Tastatur lose sind oder andere Auffälligkeiten erkennen lassen.
  
• Die Eingabe der PIN sollte immer verdeckt erfolgen, ein entsprechendes Ausspähen durch Täter immer und überall erwartet werden. Daher ist die Hand oder eine andere Möglichkeiten zur Abdeckung zu nutzen, wenn man die PIN eintippt. Durch den Kunden kann auch so getan werden, als ob er Tasten betätigt, aber eben nicht mit dem eigentlich nötigen Druck. Man tippt fein über die verschiedenen Tasten ohne diese tatsächlich zu bedienen und fängt dann zwischendurch an, eine nach der anderen der korrekten Ziffern zu pressen. So wird es den Tätern bei einer unterstellten Aufzeichnung sehr erschwert, die PIN festzustellen.