Sicherheit an Geldautomaten - ein wichtiges Thema! Nicht nur, weil die in diesem Zusammenhang entstehenden Schäden von den Banken und Sparkassen direkt oder indirekt getragen werden müssen. Sondern auch und insbesondere, weil in jedem einzelnen Fall unmittelbar der Kunde betroffen ist und sich, selbst wenn er im Ergebnis keinen eigenen wirtschaftlichen Schaden erleidet, damit sofort die Frage des Vertrauens in die Sicherheit der gesamten bargeldlosen (Karten-) Zahlungssysteme, egal ob Kredit oder Debit, stellt. Und die gesamte Bankenwelt lebt nun einmal generell in hohem Maße vom Vertrauen, das die Kunden in sie setzt und das unter den verschiedenen, meist selbst verursachten Krisen auch der jüngeren Vergangenheit ohnehin erheblich gelitten hat.
Die Banken und Sparkassen sind aber bereit, für dieses Vertrauen etwas zu tun. Und so ist es auch nicht überraschend, dass die deutsche Kreditwirtschaft mit der jeweils neuesten Technologie Schritt hält und dafür über die Jahre hinweg - sowohl durch die Ausgabe jeweils neuer, sicherer Zahlungskarten als auch durch Um- und Nachrüstung der Geldautomaten - Investitionen in Höhe von mehreren hundert Millionen Euro getätigt hat.
Manipulation am Geldautomaten - ein kurzer Blick auf die Historie
Das deutsche Geldautomatensystem gehört seit jeher zu den sichersten weltweit. Doch schon seitdem es eine nennenswerte Anzahl von Geldausgabeautomaten, wie sie damals noch hießen, gibt, waren das System beziehungsweise die Automaten auch Gegenstand und Ziel krimineller Aktivitäten. Dementsprechend wurde die Sicherheit des Geldautomaten-Systems seit der Massentauglichkeit der Geräte und der verbreiteten Ausgabe von Zahlungskarten auf Magnetstreifenbasis in den achtziger Jahren kontinuierlich den jeweils aktuellen Sicherheitsstandards angepasst.
Was 1979 mit der Kartenechtheitsprüfung über das MM-Merkmal ("moduliertes Merkmal") begann, setzte sich mit der Einführung des electronic-cash-Systems 1991, kontinuierlich verbesserten Verschlüsselungsmechanismen bis hin zur Ergänzung des electronic-cash-Verfahrens durch die EMV-Technologie ab dem Jahr 2000 fort. Seit Anfang dieses Jahres sind sämtliche der über 55 000 deutschen Geldautomaten auf EMV umgestellt und entsprechen damit den höchsten Sicherheitsanforderungen.
Leider wurden auch die Kriminellen im Laufe der Jahre immer "professioneller". Und so überrascht es auch nicht, dass die Delikte mit Kartenfälschungen im Ausland, denen das missbräuchliche Ausspähen von Magnetstreifendaten und Geheimzahlen (Skimming) zur Herstellung von Kar tendubletten vorangegangen war, im Jahr 2001 erstmals die Millionengrenze übersprangen. Manipulationen von elf Geldautomaten und sieben Angriffe auf Türzugangssysteme innerhalb Deutschlands sowie 48 Geldautomaten-Manipulationen im Ausland verursachten damals eine Schadenshöhe von 1,4 Millionen Euro.
Quasi zum Hauptgeschäftsfeld der Kartenkriminellen mutiert, professionalisierten die zunehmend international und arbeitsteilig agierenden Tätergruppen in den Folgejahren nicht nur ihre Vorgehensweise, auch die Manipulationsgeräte für Skimming-Attacken wurden immer ausgefeilter und entsprachen im Laufe der Jahre höchsten Technologiestandards: Auch für Experten nur sehr schwer zu erkennende Manipulationen an Karteneinzugsschlitzen und Türzugangsystemen oder zusätzliche, von originalgetreuen Varianten nicht zu unterscheidende Aufsatzgeräte kopieren beim Skimming einerseits die Magnetstreifendaten. Meist mit Hilfe unauffälliger Mini-Kameras, die beispielsweise an Leisten und Prospekthaltern, selbst innerhalb von Rauchmeldern oder Sichtschutzblenden, angebracht sind, seltener jedoch auch täuschend echt aussehender Zweit-Tastaturen, werden dann die Geheimzahlen der Karteninhaber ausgespäht.
Anschließend werden beide Datensätze oftmals per E-Mail oder Funk - schnellstmöglich an Hintermänner und Komplizen übermittelt, die hieraus Kartenfälschungen (Dubletten) anfertigen und diese innerhalb weniger Stunden im Ausland einsetzen. Da die Kunden von Banken und Sparkassen nur wenig Chancen haben, sich vor dieser Art von Angriffen zu schützen, hat die deutsche Kreditwirtschaft die entstandenen Schäden den Karteninhabern richtigerweise jedoch immer erstattet.
Als Folge des zunehmenden technischen Know-hows durch die seit der politischen Öffnung des Westens in Richtung Osteuropa vornehmlich osteuropäischen Tätergruppen nahmen die Missbrauchsschäden stark zu. Allein innerhalb Deutschlands stieg die Anzahl der Skimming-Angriffe auf Geldautomaten von 308 im Jahr 2006 auf 1729 im Jahr 2010 an, die Einzelattacken legten von 436 auf 3183 zu. Hinzu kam, dass auch die Manipulationen von Türzugangssystemen zwischen 2006 und 2008 überproportional zunahmen.
Damit einher ging ein starker Anstieg der Schäden mit Kartenfälschungen. So schlug im Jahr 2006 im Deliktsbereich Kartenfälschungen mit etwas über zehn Millionen Euro erstmals ein zweistelliger Millionenbetrag zu Buche. Im Jahr 2010 kam es zu einer Zunahme der Geldautomaten-Manipulationen auf 1729 bei 3183 Einzelattacken, woraus ein Bruttoschaden in Höhe von rund 55 Millionen Euro resultierte.
Das Vertrauen der Bankkunden in die Kartenzahlung erhalten
Obwohl von den knapp 94 Millionen deutschen Debitkarten lediglich 0,03 Prozent von Skimming betroffen waren und der Schadensanteil durch Kartenfälschungen - gemessen an der Gesamtsumme aller mit deutschen Debitkarten getätigten Umsätze - nur im unteren Promille-Bereich liegt, galt es dennoch, dieser Entwicklung Einhalt zu gebieten. Verbessert werden musste nicht nur der Schutz der Geldautomaten vor missbräuchlichen Angriffen, es war zudem wichtig, die Informationsübermittlung zu beschleunigen und die Erkennung der Schadensschwerpunkte im In- und Ausland sowie die Einleitung präventiver Maßnahmen maßgeblich zu optimieren. Denn nicht zuletzt musste das bereits eingangs er wähnte Vertrauen der Bankkunden in die Sicherheit der kartengestützten Zahlungssysteme aufrecht erhalten werden. Nachdem mit IRIS Debit bereits seit Mitte der neunziger Jahre ein Missbrauchsfrüherkennungssystem für Debitkarten-Transaktionen im grenzüberschreitenden Zahlungsverkehr im Einsatz war, erwies sich das Online-Erfassungssystem EKS-Net seit dem Start Mitte 2006 als schlagkräftiges Tool zur Bekämpfung des Kartenmissbrauchs, nicht nur von Diebstahls-, sondern vor allem auch von Kartenfälschungsschäden. Mittlerweile sind alle deutschen Banken und Sparkassen an das EKS-Net angeschlossen.
Neben zahlreichen weiteren Funktionen ermöglicht dieses innovative System die frühzeitige Einmeldung von Schäden und Schadensschwerpunkten (wie zum Beispiel Geldautomaten-Manipulationen und versuchter Angriffe), die Ableitung gezielter Präventivmaßnahmen sowie die Initiierung vorsorglicher Kartensperren durch die Institute. Zur Verhinderung von Schäden wurden im Jahr 2010 beispielsweise über 300000 vorsorgliche Kartensperren eingeleitet. Zudem wird mit EKS-Net auch die schnellere Einmeldung in die weltweite Zentraldatei für Betrugsschäden im Master-card-Verbund Safe und TC 40 Meldungen bei Visa für V-Pay Karten sichergestellt.
"Handauflegen hilft"
Aufgrund des drastischen Anstiegs der inländischen Geldautomaten-Manipulationen zwischen 2006 und 2010 verstärkten auch die deutschen Banken und Sparkassen parallel zur EMV-Migration ihre Sicherheitsmaßnahmen. Damit die Kunden an Geldautomaten nicht Opfer von Betrügern werden, setzt die deutsche Kreditwirtschaft inzwischen an vielen Geldautomaten erfolgreich Anti-Skimming-Module ein, die die Manipulationen wirksam verhindern: Card Protection Kits (CPK) legen beispielsweise magnetische Störfelder um den Karteneinzugsschlitz, die ein Auslesen der Magnetspurdaten im Klartext unmöglich machen. Die Betrüger erhalten somit keine nutzbaren Daten. Zusätzlich zu diesem magnetischen "Störfeuer" wird bei Erkennen einer Manipulation ein stiller Alarm ausgelöst, während der Geldautomat weiter in Betrieb bleibt. Die Bank oder Sparkasse und die Polizei können so schnell reagieren und die Täter möglichst auf frischer Tat ertappen.
Investiert wurde jedoch auch in zusätzliche Videoüberwachungssysteme und Aufklärungsmaßnahmen. Hinweise in Displays oder auf Aufklebern mit der Botschaft "Handauflegen hilft" - also die Aufforderung, das Eintippen der Geheimzahl mit der freien Hand zu verdecken haben sich in letzter Zeit rasant verbreitet und schützen effektiv vor dem Ausspähen der PIN-Nummer.
Eine zusätzliche Rolle beim Rückgang der Manipulationen im Inland spielten jedoch auch die Außerbetriebnahme von Zugangskontrolllesern zu Foyers sowie die gezielt verstärkten Überwachungs- und Kontrollmaßnahmen innerhalb der Banken und Sparkassen, auch außerhalb der Geschäftszeiten, durch entsprechende Sicherheitsunternehmen. Hierdurch konnten Geldautomaten-Angriffe schneller erkannt und Folgemaßnahmen, wie die Übersendung der Geldautomaten-Journale zu Auswertungszwecken und die Einleitung von Sperren potenziell gefährdeter Karten, zügig veranlasst werden.
Überdies leisteten die enge Vernetzung und die intensive Zusammenarbeit aller am Kartengeschäft Beteiligten unverzichtbare Dienste bei der oftmals grenzüberschreitenden Ermittlung und Verfolgung von Tätern und Tatverdächtigen. So konnten in den letzten Jahren zahlreiche Kartenkriminelle "in flagranti" ertappt, Hehler und Hintermänner erfolgreich ermittelt und festgenommen werden. Damit gelang es, ganze Organisationen von Kartenkriminellen auszuschalten. Nicht zuletzt stehen die Institute permanent in direktem Kontakt sowohl mit Geldautomatenherstellern als auch mit Ermittlungsbehörden und informieren sich fortlaufend über die neuesten Tricks der Kartenkriminellen, um effektive Bekämpfungsmaßnahmen zu entwickeln.
Hinzu kommt noch, dass mittlerweile selbst Karteninhaber bei Auffälligkeiten an Geldautomaten überaus sensibel reagieren, und auch die Eigenverantwortlichkeit steigt. So werden Geldautomaten-Manipulationen auch von Bankkunden schnell bei Instituten und Polizei gemeldet. Die Strafverfolgungsbehörden können so unverzüglich nach Feststellen der Straftat mit den Ermittlungen beginnen und nicht erst, wenn die Reklamation des Karteninhabers auf dem Tisch liegt. Effiziente Risikosteuerung in Nicht-EMV-Ländern
Ausgerüstet mit EMV-Technologie und Anti-Skimming-Lösungen entspricht das deutsche Geldautomaten-System höchsten Sicherheitsanforderungen und verhindert Kartenmissbrauch effektiv. Leider sind Kartenfälschungen von Originalkarten mit weltweit gültigen Zahlungssystemanwendungen jedoch nach wie vor in viel zu vielen Ländern außerhalb Europas einsetzbar. Dies liegt daran, dass die Kartenechtheit dort (noch) nicht geprüft wird - weder an Geldautomaten noch an PoS-Terminals.
Angesichts der Tatsache, dass 99,2 Prozent der mit deutschen Girocards getätigten Umsätze derzeit in sicheren EMV-Ländern erfolgen und lediglich 0,8 Prozent in (außereuropäischen) Nicht-EMV-Ländern, haben die deutschen Kartenemittenten bereits begonnen, diese Umsätze, die das höchste Risikopotenzial bergen, durch innovative Risikosteuerung zu begrenzen, zum Beispiel durch Maßnahmen im Rahmen der Umsatzautorisierung oder durch die Ausgabe alternativer Kartenprodukte. Erste Erfahrungen zeigen bereits große Erfolge. Allerdings ist hierbei entscheidend, dass die Kunden solche Risikosteuerungsmaßnahmen auch akzeptieren. Daher ist es besonders wichtig, die vorgenommenen Maßnahmen zeitnah zu kommunizieren oder die Karteninhaber gegebenenfalls sogar in die Entwicklung derartiger Maßnahmen einzubinden.
Insgesamt ist die deutsche Kreditwirtschaft, was die Eindämmung der Geldautomaten-Schäden angeht, also auf einem sehr guten Weg. Und es darf daher angenommen werden, dass diese Art der Kriminalität ihre Blütezeit inzwischen überschritten hat.