EC-Karten-Skimming - und was Banken dagegen tun

Alle Jahre wieder: Zu Beginn der Innenministerkonferenz vor einer Woche wurde von den Polizeiorganisationen wieder einmal die rasant steigenden Zahlen beim EC-Karten-Betrug angeprangert. Die Anzahl Vorfälle nimmt stetig zu, ebenso die Raffinesse der Betrüger (siehe Berichte aus den Nachrichten von 2008, 2009 und diesem Jahr). Die Gerätschaften (versteckte Kameras, Tastaturattrappen, Kartenleser, etc.) werden von organisierten Kreisen professionell hergestellt, die Manipulationen sind in vielen Fällen selbst für Experten nicht mehr zu erkennen.

Die Polizei klagt über die Flut an zu bearbeitenden Fällen und die schwierige internationale Zusammenarbeit (typisches Muster: In Land A geskimmt, in Land B wird abgehoben - mitunter bereits wenige Stunden nach dem Abgreifen der Daten). Und der Kunde ist der Gelackmeierte, denn er muß sich als erstes den Vorwurf der Bank gefallen lassen, nicht sorgsam genug mit seiner PIN umgegangen zu sein - und somit seine Unschuld selbst beweisen.

Anfang des Jahres sollte ein Chip auf den EC-Karten zusätzliche Sicherheit bringen - doch dessen Einführung wurde massivst vergeigt, Millionen Kunden konnten am Geldautomat ihrer Bank kein Geld abheben. Desweiteren ist der Sicherheitsgewinn im Augenblick noch fraglich: Längst nicht alle Banken haben ihren Kunden EC-Karten mit Chip ausgeliefert, und Anfang des Jahres behalfen sich viele genervte Bankkunden damit, den Chip kurzerhand mit Tesafilm abzukleben. Im Umkehrschluß bedeutet das: Offenbar ist ein Downgrade-Agriff möglich, der Sicherheitsgewinn ist damit gleich Null. Die Misere wurde dadurch gelöst, daß der Chip bei Bankbesuchen in den kommenden Tagen ein Softwareupdate bekam. Das bedeutet: Der Chip ist zumindest teilweise programmierbar, ich wage gar nicht daran zu denken, was man da unter Umständen für Unfug anstellen kann (daß selbst vom BSI zertifizierte Systeme, die eigentlich nur signierte Softwareupdates zulassen sollten, sich mitunter zum Akzeptieren anderer Software "überreden" lassen, wurde heute erst bei einer Baureihe der populären Chipkartenlesern von Kobil unter Beweis gestellt).

EC-Karten, Kreditkarten, Lastschrift und Überweisungen: Die Banken bieten momentan kein einziges Zahlungsmittel, das mit zeitgemäßen Sicherheitsfeatures aufwarten kann - "completely broken" wäre vermutlich ein treffenderer Begriff. Leidtragende sind überforderte Ermittlungsbehörden und die Kunden.

Erst in diesen Tagen hat der BGH festgestellt, daß jede Privatperson für die adäquate Sicherheit seines WLANs zu sorgen hat - wer das nicht tut, haftet als Störer. Ich frage mich, ob der Staat nicht ähnliche Forderungen an die Banken (wegen Vernachlässigung der Sicherheit) stellen könnte, als Ausgleich für den von ihnen verursachten Ermittlungsaufwand...

comments powered by Disqus