EC-Karten-Skimming - und was Banken dagegen tun

Alle Jahre wie­der: Zu Be­ginn der In­nen­mi­nis­ter­kon­fe­renz vor einer Woche wurde von den Po­li­zei­or­ga­ni­sa­tio­nen wie­der ein­mal die ra­sant stei­gen­den Zah­len beim EC-Kar­ten-Be­trug an­ge­pran­gert. Die An­zahl Vor­fäl­le nimmt ste­tig zu, eben­so die Raf­fi­nes­se der Be­trü­ger (siehe Be­rich­te aus den Nach­rich­ten von 2008, 2009 und die­sem Jahr). Die Ge­rät­schaf­ten (ver­steck­te Ka­me­ras, Tas­ta­tur­at­trap­pen, Kar­ten­le­ser, etc.) wer­den von or­ga­ni­sier­ten Krei­sen pro­fes­sio­nell her­ge­stellt, die Ma­ni­pu­la­tio­nen sind in vie­len Fäl­len selbst für Ex­per­ten nicht mehr zu er­ken­nen.

Die Po­li­zei klagt über die Flut an zu be­ar­bei­ten­den Fäl­len und die schwie­ri­ge in­ter­na­tio­na­le Zu­sam­men­ar­beit (ty­pi­sches Mus­ter: In Land A geskimmt, in Land B wird ab­ge­ho­ben - mit­un­ter be­reits we­ni­ge Stun­den nach dem Ab­grei­fen der Daten). Und der Kunde ist der Ge­lack­mei­er­te, denn er muß sich als ers­tes den Vor­wurf der Bank ge­fal­len las­sen, nicht sorg­sam genug mit sei­ner PIN um­ge­gan­gen zu sein - und somit seine Un­schuld selbst be­wei­sen.

An­fang des Jah­res soll­te ein Chip auf den EC-Kar­ten zu­sätz­li­che Si­cher­heit brin­gen - doch des­sen Ein­füh­rung wurde mas­sivst ver­geigt, Mil­lio­nen Kun­den konn­ten am Geld­au­to­mat ihrer Bank kein Geld ab­he­ben. Des­wei­te­ren ist der Si­cher­heits­ge­winn im Au­gen­blick noch frag­lich: Längst nicht alle Ban­ken haben ihren Kun­den EC-Kar­ten mit Chip aus­ge­lie­fert, und An­fang des Jah­res be­hal­fen sich viele ge­nerv­te Bank­kun­den damit, den Chip kur­zer­hand mit Te­sa­film ab­zu­kle­ben. Im Um­kehr­schluß be­deu­tet das: Of­fen­bar ist ein Down­gra­de-Agriff mög­lich, der Si­cher­heits­ge­winn ist damit gleich Null. Die Mi­se­re wurde da­durch ge­löst, daß der Chip bei Bank­be­su­chen in den kom­men­den Tagen ein Soft­ware­up­date bekam. Das be­deu­tet: Der Chip ist zu­min­dest teil­wei­se pro­gram­mier­bar, ich wage gar nicht daran zu den­ken, was man da unter Um­stän­den für Unfug an­stel­len kann (daß selbst vom BSI zer­ti­fi­zier­te Sys­te­me, die ei­gent­lich nur si­gnier­te Soft­ware­up­dates zu­las­sen soll­ten, sich mit­un­ter zum Ak­zep­tie­ren an­de­rer Soft­ware "über­re­den" las­sen, wurde heute erst bei einer Bau­rei­he der po­pu­lä­ren Chip­kar­ten­le­sern von Kobil unter Be­weis ge­stellt).

EC-Kar­ten, Kre­dit­kar­ten, Last­schrift und Über­wei­sun­gen: Die Ban­ken bie­ten mo­men­tan kein ein­zi­ges Zah­lungs­mit­tel, das mit zeit­ge­mä­ßen Si­cher­heits­fea­tures auf­war­ten kann - "com­ple­te­ly bro­ken" wäre ver­mut­lich ein tref­fen­de­rer Be­griff. Leid­tra­gen­de sind über­for­der­te Er­mitt­lungs­be­hör­den und die Kun­den.

Erst in die­sen Tagen hat der BGH fest­ge­stellt, daß jede Pri­vat­per­son für die ad­äqua­te Si­cher­heit sei­nes WLANs zu sor­gen hat - wer das nicht tut, haf­tet als Stö­rer. Ich frage mich, ob der Staat nicht ähn­li­che For­de­run­gen an die Ban­ken (wegen Ver­nach­läs­si­gung der Si­cher­heit) stel­len könn­te, als Aus­gleich für den von ihnen ver­ur­sach­ten Er­mitt­lungs­auf­wand...