11.01.2005 · Verbraucherschützer wollen es wissen: Sind die Sicherheitsmaßnahmen der Banken wirklich so gut, daß nur ein Fehlverhalten der Kunden EC-Betrügern den Weg ebnen kann? Kryptologie-Experten bezweifeln das.
© picture-alliance / dpa
Mit allerlei Tricks ermitteln Betrüger die Geheimzahl
Die Zweifel an der Sicherheit von EC- und Kreditkarten reißen auch nach einem Urteil, mit dem der Bundesgerichtshof (BGH) die Klage einer geschädigten Bankkundin gegen Abbuchungen von ihrem Konto abgewiesen hat, nicht ab. "Die Fälle von unbefugten Bargeldabhebungen mit gestohlenen Karten, die uns geschildert werden, gehen quer durch alle Bevölkerungsschichten und Regionen", sagte Rechtsanwalt Hartmut Strube von der Verbraucherzentrale Nordrhein-Westfalen.
Die Verbraucherschützer haben aus mehr als 1000 Beschwerdebriefen eine Reihe von Musterklagen herausgefiltert. Der erste dieser Prozesse ist bereits in der Berufung vor dem Oberlandesgericht Düsseldorf angelangt, wie Strube sagt. In zwei weiteren Fällen beginne jetzt vor den Landgerichten Bonn und Düsseldorf eine Beweisaufnahme.
Manche Banken stellen Opfer als Kriminelle hin
Der BGH hatte die Klage einer Frau abgewiesen, der auf einem Stadtfest das Portemonnaie mit der EC-Karte gestohlen worden war. Kurz danach wurden mehrfach größere Beträge von ihrem Sparkassen-Konto abgehoben. Sie konnte zwar belegen, daß sie nicht selbst mit Hilfe eines Komplizen das Geld aus dem Automaten gezogen hatte. Die Richter unterstellten ihr aber nach dem "Beweis des ersten Anscheins", daß sie - entgegen ihren Beteuerungen - die Geheimzahl (PIN) auf einem ebenfalls entwendeten Zettel notiert haben müsse (Az.: XI ZR 210/03; F.A.Z. vom 6. Oktober 2004).
© picture-alliance / dpa
Betrug mit EC-Karten: Reichen die Sicherheitsvorkehrungen aus?
In Reaktion auf den Richterspruch wandte sich ein vereidigter Buchprüfer an diese Zeitung, nach dessen Erfahrungen das von den Geldinstituten für sicher erklärte PIN-System geknackt werden kann. Ihm sei aus seinem Auto die Plastikkarte entwendet worden, schrieb er; kurz darauf habe der Täter damit Geld abgehoben. Der Buchprüfer versichert, daß er die Geheimnummer nicht aufgeschrieben habe. Ausgeschlossen sei bei ihm zudem eine weitere Möglichkeit, die der BGH grundsätzlich anerkannt hatte: das vorherige Ausspähen der Geheimzahl beim Eintippen durch den Kontoinhaber. Weil ihm die EC-Karte nämlich kurz nach seinem Eintreffen in einer fremden Stadt gestohlen worden sei, könne der Autoaufbrecher nicht beobachtet haben, wie er zuvor irgendwo die Zahl eingegeben habe. Der vereidigte Buchprüfer legt Wert auf die Feststellung, daß er mit seiner Darstellung kein finanzielles Interesse verfolge - der entstandene Schaden sei ihm ohnehin ersetzt worden.
"Viele Leute ärgern sich, wenn sie von ihrer eigenen Bank nach unbefugten Abhebungen durch Kartendiebe plötzlich als Kriminelle hingestellt werden", berichtet Anwalt Strube. So sei es wenig plausibel, daß etwa ein mittelständischer Unternehmer, der seit Jahren ein Geschäftskonto führe, plötzlich einen Betrug gegenüber dem Geldinstitut durch falsche Angaben über den Tathergang begehen sollte - nur um ein paar hundert Euro einzustreichen. Etliche Fälle beträfen Urlauber, denen die Karte gezielt nach dem Eintreffen im Ausland - etwa durch Trickdiebe, die die Touristen zuvor abgelenkt hätten - entwendet worden sei. Auch dies nährt nach Ansicht der Verbraucherschützer den Verdacht, daß sich die technischen Sicherheitssperren überwinden und die Nummern entschlüsseln ließen.
Merkmal deutscher Karten im Ausland ungeprüft
Eine Schwachstelle gilt unter Fachleuten bereits als erwiesen: Deutsche Karten verfügen zwar über ein zusätzliches Echtheitsmerkmal, das nicht mit den anderen Daten auf dem Magnetstreifen gespeichert ist und auch nicht kopiert werden kann. Doch wird dieses "moduliert maschinenfähige Merkmal" (MM) von Geldausgabeautomaten im Ausland fast nie geprüft. Und auch im Inland wird es nach Angaben des Darmstädter Kryptologie-Sachverständigen Manfred Pausch manchmal abgeschaltet.
Denn bei Schwankungen von Temperatur und Luftfeuchtigkeit führt es zu Lesefehlern. Ausgelaufen ist dagegen die unzulängliche Verschlüsselung mit einer mathematischen Formel, die nur 64 Bit lang war. Weil nicht einmal jede Ziffer gleich häufig vergeben wurde, konnten Diebe die Geheimnummer mit einer gewissen Wahrscheinlichkeit sogar durch Erraten und bloßes Ausprobieren herausfinden. Erst im Jahr 1998 führten die Banken einen doppelt so komplizierten Schlüssel ein, der angeblich mit keinem Computer zu enträtseln ist.
System sicher, die Umsetzung auch?
Doch Verbraucherschützer vermuten, daß die Umsetzung dieser Technik in den einzelnen Geldinstituten Sicherheitslücken aufweist. Sogar das Bundesamt für Sicherheit in der Informationstechnologie (BSI), das in entsprechenden Schadensersatz- und Strafprozessen mehrfach Gutachter gestellt hat, durfte bisher noch in keinem Fall die konkrete Anwendung überprüfen. "Der Schlüssel selbst ist hochsicher", sagte BSI-Sprecher Michael Dickopf dieser Zeitung. "Doch es kommt auf die Implementierung an - und unser Problem ist, daß wir die bislang noch nie untersuchen durften." Verbraucherschützer Strube wirft den Banken deshalb "Geheimniskrämerei" vor.
Doch mit dieser Verweigerungshaltung könnte es vorbei sein, wenn der BGH den ersten Musterfall der Verbraucherzentrale auf den Tisch bekommt. Einen entsprechenden Fingerzeig hat er nämlich bereits in seinem jüngsten Urteil gegeben. Die bestohlene Frau habe zwar keinerlei Tatsachen dafür vorgetragen, sagten die Richter, daß der mathematische Institutsschlüssel "in kriminellen Kreisen bekannt geworden" sein könne. Doch könne ein Karteninhaber dem Anscheinsbeweis dafür, daß er den Mißbrauch seiner Karte durch eigene Fahrlässigkeit ermöglicht habe, "durch die konkrete Darlegung und gegebenenfalls den Nachweis der Möglichkeit eines atypischen Verlaufs" die Grundlage entziehen. Dann müsse das Kreditinstitut den vollen Beweis dafür erbringen, daß der Kontoinhaber selbst das Geld abgehoben oder den Mißbrauch durch einen Dritten ermöglicht habe. Und dabei könne es dann auch verpflichtet sein, "im Rahmen des Zumutbaren und gegebenenfalls in verallgemeinernder Weise" seine Sicherheitsvorkehrungen darzulegen.
Tricks am Geldautomaten
"Algerische Schlinge": Der Geldausgabeschacht wird mit einer Vorrichtung versehen, die die Rückgabe der Karte verhindert. Der Täter beobachtet zuvor den Kontoinhaber beim Eintippen der PIN-Nummer.
"Marlboro-Methode": Der Geldausgabeschacht wird verstopft, so daß der Täter nach dem Weggang des Kunden die Banknoten herausfischen kann.
Daktyloskopische Methoden: Nach dem Vorbild von Fingerabdruckspezialisten präparieren Kriminelle die Tastatur oder untersuchen eine Berührungsscheibe (Touch-Screen), um die Nummer zu ermitteln.
Vorsatzgeräte: Mit winzigen Videokameras wird die Eingabe der Zahlen gefilmt. Integriert sind diese Kameras in Vorsatzgeräte, die von den Betrügern vor den echten Kartenschlitz des Automaten gesetzt werden und schließlich auch die Karte kassieren.
Diebstahl: Ausgespäht werden kann die Nummer oft auch durch Spiegelungen in einer Scheibe, Ferngläser, Teleobjektive oder indem vermeintlich wartende Kunden dem Kontoinhaber über die Schulter blicken. Anschließend wird ihm die Karte durch einen Trickdieb oder Handtaschenräuber gestohlen.
"Mailand-Mall": Ein Automat wird komplett gestohlen, ausgeschlachtet und als bloße Attrappe wieder aufgebaut. Ahnungslose Kunden stecken die Karte hinein und geben ihre PIN ein. Diese wird von den Straftätern gespeichert, ausgelesen und auf Blankettkarten kopiert.
"Skimming": Doubletten können mit handelsüblichen Lesegeräten auch in Restaurants oder Einzelhandelsgeschäften erzeugt werden.
Post: Karten und PIN-Nummern werden beim Postversand abgefangen.
"Brute-Force-Attack": Bei einer "Innentäterattacke" könnten Mitarbeiter von Bank oder Rechenzentrum den Geheimschlüssel mißbrauchen.
"Smart Attack": Durch Näherungskurven wird der Schlüssel imitiert. (jja)
| Name | Kurs | Prozent |
|---|---|---|
| FAZ-INDEX | 1.379,75 | −1,03% |
| Dow Jones | 12.580,70 | +1,01% |
| EUR/USD | 1,2435 | −0,43% |
| Rohöl Brent Crude | 105,11 $ | −1,63% |
| Gold | 1.579,50 $ | 0,00% |
Anonym bewerben? Ist das gut?
