Welche Trends gibt es beim Thema Kartenkriminalität?
Seit 1. Juli 2006 werden alle Schadensfälle der Banken und Sparkassen mit ver lorenen und gestohlenen Karten sowie mit Kartenfälschungsdelikten an das EKS Net von Euro Kartensysteme gemeldet. Im Gesamtjahr 2006 waren das insgesamt 20 854 Fälle, im ersten Halbjahr 2007 bereits 11 989 Fälle.
Zugenommen haben vor allem die Kartenfälschungen. Die Angriffe auf Geldautomaten haben sich in starkem Maße er höht. Wir hatten im letzten Jahr insgesamt 308 manipulierte Geldautomaten. Im ersten Halbjahr 2007 waren es 204 manipulierte Geräte. Der Anteil der Attacken ist sogar noch höher, da die Tätergruppen heute tendenziell einen Automaten mehr mals über einen kürzeren Zeitraum manipulieren, sodass es im Nachhinein sehr schwierig ist, den Zeitraum der Kompromittierung genau festzulegen.
Sobald wir einen Point of Compromise (Ort des Datenabgriffs) identifiziert haben, lassen wir uns die Geldautomatenjournale kommen und können über EKS Net alle Banken und Sparkassen schnell informieren, sodass Karten, die zum fraglichen Zeitraum an dem betroffenen Automaten eingesetzt wurden, präventiv gesperrt wer den können.
2006 wurden von den Banken 35 000 potenziell von Kartenfälschungen betroffene Karten präventiv gesperrt. Im ersten Halbjahr 2007 waren es bereits ebenso viele.
Sollte EMV nicht das Risiko der Kartenfälschungen stark herabsetzen?
Wenn wir in Europa mit EMV "die Schotten dicht" machen, bleibt immer noch der Magnetstreifen auf den Karten, damit diese auch international einsetzbar sind. Und solange der Magnetsteifen auf der Karte ist, können die Daten ausgelesen und Dubletten im außereuropäischen Ausland eingesetzt werden.
Generell sehen wir eine zunehmende Internationalisierung der organisierten Kriminalität, indem beispielsweise Tätergruppen aus Osteuropa mit solchen aus Asien kooperieren. Weil die europäischen Banken enorm in die EMV-Infrastruktur investiert haben, macht Europa aber zunehmend Druck in internationalen Gremien, um etwa auch die USA für EMV zu gewinnen.
Wie wirkt sich der Liability Shift aus? Zurzeit haben wir eine Rückbelastungsquote von 65 Prozent der Betrugstransaktionen durch Kartenfälschung mit EMV - Karten. Diese Schäden bleiben dann im europäischen Ausland.
Investitionen in die Sicherheit zahlen sich noch in anderer Hinsicht aus: Deutschland ist ein beliebtes Land für den Datenabgriff, aber nicht für den Einsatz von Kartenfälschungen, weil wir schon Anfang der achtziger Jahre das MM -Modul eingeführt haben, mit dem die Kartenechtheit am Geldautomaten geprüft wird. Leider haben unsere europäischen Nachbarn dies aus Kostengründen nicht übernommen. Es führt aber immerhin dazu, dass Dubletten von deutschen Karten in Deutschland nicht eingesetzt werden können.
Welche Länder sind Schwerpunkte für den Einsatz von Dubletten deutscher Karten?
Im Ausland werden deutsche ec-Karteninhaber zurzeit vor allem in Südafrika von Datenabgriffen betroffen. 2003 und 2004 war es die Türkei, auf die rund 30 Prozent des Gesamtbetruges entfielen. Hier wurden zum einen in großem Stil an Händlerterminals Daten abgegriffen. Zum anderen wurden von sogenannten "Wechselstuben" überhöhte Gebühren berechnet. In Zusammenarbeit mit dem BKA konnte hier eine Tätergruppe von 20 Personen festgenommen werden, sodass die Türkei heute kein Problemland mehr ist. Jetzt richtet sich unser Augenmerk auf Südafrika. Zurzeit haben wir zum Risk Manager der dortigen Mastercard-Dependance Kontakt aufgenommen und versuchen - neben der Zusammenarbeit mit den südafrikanischen Behörden - über Mastercard die dortigen Banken über Methoden zur Betrugsprävention aufzuklären.
Welche Kanäle zur internationalen Zusammenarbeit bei der Missbrauchsbekämpfung gibt es?
Wir sind sowohl reaktiv tätig, um Schwer punkte der Kriminalität zu bekämpfen, als auch bei der Betrugsprävention. Mit EAST (European ATM Security Team) gibt es eine von Europol ins Leben gerufene Gruppierung, in der Vertreter fast aller europäischen Länder ein Netz von Ansprechpartnern für den Fall des Falles aufbauen. Die Kommunikation läuft aber vielfach nach dem Prinzip "kreativer Ungehorsam". Denn die gesetzlichen Rahmenbedingungen stimmen heute noch nicht. So dürfen beispielsweise in Deutschland Polizisten erst nach schriftlicher Genehmigung Auslandstelefonate führen. Das führt dazu, dass wir vielfach für die Polizei solche Aufgaben übernehmen. Von der Serviceleistung her ist dies kein Business Case. Nur so können wir aber sicher stellen, dass wir auch im Ausland die notwendige Unterstützung bekommen.
Doch innerhalb Europas klafft die Rechtsprechung zu Kartendelikten noch immer weit auseinander. Ein Jurist in München setzt sich dafür ein, dass zumindest das Strafmaß für Kartendelikte in Europa ver einheitlicht wird. Bis vor kurzem stand die Zahlungskartenkriminalität in einigen Ländern noch nicht einmal unter Strafe.
Wie werden manipulierte Geldautomaten erkannt?
Zum einen werden Manipulationen teilweise von Bankmitarbeitern, Geldautomatenbestückern oder Kunden erkannt. Zum anderen überwachen wir alle grenzüber schreitenden Transaktionen. Wenn wir sehen, dass eine große Anzahl von Karten mit der gleichen Bankleitzahl am gleichen Ort benutzt werden, kann dies ein Indiz dafür sein, dass es sich dabei um Kartenfälschungen handelt. Aus den Datenbeständen wird dann der gemeinsame Einsatzort dieser Karten ermittelt - und das ist dann der "Point of Compromise".
Gibt es einen Trend zur Nachrüstung älterer Geldautomaten mit moderner Sicherheitstechnik?
Wir hatten in Deutschland im ersten Halbjahr 2007 rund 400 Attacken an Geldautomaten. Fast die Hälfte davon konnte abgewehrt werden. Daraus wird ersichtlich, dass erhebliche Maßnahmen getroffen werden. Bei rund 53 000 Geldautomaten in Deutschland erfordert das aber eine gewaltige Investition von den Banken. Altgeräte, die sich nicht mehr auf EMV umrüsten lassen, müssen bis 2010 ausgetauscht werden. Andere Geräte können durch mechanische Eingriffe aufgerüstet werden, was etwa 2 000 bis 3 000 Euro kostet. Und die jüngeren Modelle können für einige hundert Euro per Software-Update umgestellt werden.
Insbesondere Institute, deren Automaten bereits attackiert wurden, haben ihre Geräte zudem mit Anti-Skimming-Modulen für den Karteneinzugsschlitz ausgestattet. Auch diese sind allerdings nur bedingt sicher, weil man bereits im Internet Anleitungen herunterladen kann, wie sich diese Vorrichtungen entfernen lassen. Sicherer sind Magnetstörsender, die beim Auslesen des Magnetstreifens die Daten so zerstückeln, dass damit nichts anzufangen ist.
Abgesehen von der Aufrüstung der Automaten zur Verhinderung von Angriffen richtet sich unser Augenmerk auch auf die Karteninhaber. Hier gilt es, die Kunden verstärkt aufzuklären und zu sensibilisieren. Wird zum Beispiel bei der PIN-Eingabe die Hand darübergelegt, kann die von den Tätergruppen angebrachte Kamera die PIN nicht ausspähen, und dann nützen auch ausgelesene Kartendaten nichts.
Gibt es Fortschritte bei der Ver brauchererziehung?
Das Sicherheitsbewusstsein beim Karteninhaber muss man sicher noch ein bisschen schüren. Aber ich denke, dass wir schon ganz schön weit gekommen sind. Dass wird auch daran deutlich, dass im Inland der Missbrauch mit verlorenen und gestohlenen Karten zurückgeht. Noch immer gibt es natürlich Karteninhaber, die eine am Freitag verlorene Karte erst montags melden. Deshalb ist es wichtig, dass wir die Sperrnotrufnummer verbreiten.
Könnte sich daraus ein Trend ergeben, sicherheitsbewussten Kunden Karten ohne Magnetsteifen anzubieten, die dann eben nur in Europa einsetzbar wären?
Es könnte ein Trend werden. Es gibt sicherlich Kundengruppen, die das gut fänden. Momentan kann ich einen solchen Trend aber noch nicht erkennen.
Wie wird die Arbeit von Euro Kartensysteme in Sachen Sicherheit finanziert?
Gemäß der Geldautomatenvereinbarung des ZKA werden Angriffe auf das System, die einen Schaden nach sich ziehen, gemeinschaftlich getragen. Jede Bank und Sparkasse zahlt jedes Jahr pro Karte und Jahr die Debit Royalty. Daraus werden unsere Arbeit und der Debitschadenspool, aus dem wir Schäden erstatten, finanziert. Aufgrund der hohen Rückbelas tungsquote von Schäden, die mit EMV -Karten verursacht wurden, ist die Debit Royalty für Nicht-EMV-Karten höher.