EC-Karten sind in deutschen Haushalten längst zum gängigen Zahlungsinstrument geworden. Einfach an der Kasse zur Karte greifen und ohne Bargeld bezahlen. Was gerade junge Haushalte als selbstverständlich empfinden, war vor 30 oder 40 Jahren kaum vorstellbar. Das Zahlen per EC-Karte (das EC steht für Electronic Cash) hat nicht nur den Zahlungsverkehr und Umgang mit Geld im Alltag verändert – durch das Plastikgeld haben sich neue Gefahren eingeschlichen.

Anders als Bargeld, das im Alltag nur begrenzt zur Verfügung steht und dessen Verlust ärgerlich aber selten bedrohlich ist, kann EC-Kartenbetrug deutlich weiter gehen. Das Problem: Mit einer – beispielsweise gestohlenen – EC-Karte und dem zugehörigen Authentifizierungscode (PIN) kann das Girokonto bis auf den letzten Cent bzw. bis in den Dispokredit hinein geplündert werden.

Dabei muss Kriminellen nicht einmal der direkte Zugriff auf die Karte gelingen. Wirklich interessant sind einzig und allein die auf der Karte gespeicherten Daten sowie die an den Inhaber vergebene Persönliche Identifikationsnummer.

Wie sieht EC-Kartenbetrug heute aus?

Grundsätzlich erlaubt die Kartenzahlung einen schnellen und unkomplizierten Zugriff auf das eigene Konto. Gespeichert wurden alle hierfür notwendigen Informationen auf der EC-Karte – genauer gesagt über den Magnetstreifen. Alternativ hat sich in den letzten Jahren – gerade in Europa – der EMV-Chip zum gängigen Sicherheitsmerkmal der Zahlungskarten entwickelt, da dessen Einsatz als deutlich sicherer gilt.

Das Problem: Auf dem Magnetstreifen einer EC-Karte festgehaltene Informationen lassen sich – legal und illegal – auf eine andere Karte übertragen. Damit ist ein wesentliches Element beim EC-Kartenbetrug klar: Es geht um ein Abgreifen der Kartendaten. In Verbindung mit der PIN können diese Daten – aufgespielt auf einen Kartenrohling – zum Kartenbetrug benutzt werden.

Eine der wesentlichen Betrugsmaschen, die hier in den letzten Jahren eine Rolle gespielt haben, ist das sogenannte „Skimming“. Aus dem Englischen mit Abschöpfen oder Absahnen übersetzt, gehen Kriminelle beim Skimming immer nach dem gleichen Muster vor: Die Kartendaten werden abgeschöpft und kopiert, die zugehörige PIN ausgespäht und gemeinsam mit den – auf eine „White Plastic“ (Kartenrohling) kopierten – Daten im Ausland benutzt. Dass die Kartenbetrüger kopierte EC-Karten nur außerhalb der EU benutzen, hat einen simplen Grund. Während in der Europäischen Union Abhebungen ohne EMV-Chip nicht möglich sind, kann zum Beispiel in den USA oder in Asien nur mittels Magnetstreifen auf das Konto der Betrugsopfer zugegriffen werden.

Skimming ist aber nur eine Variante, wie Verbraucher durch die Nutzung der EC-Karte durch Dritte geschädigt werden können. Denkbar wäre in diesem Zusammenhang folgender Ablauf: Einer oder mehrere Kriminelle beobachten ihr Opfer beim Geldabheben und spähen die Geheimzahl aus. Anschließend wird die Karte entwendet und das Konto leergeräumt. Der Nachteil dieser Methode aus Sicht der Geschädigten: Da die Originalkarte mit einem Chip ausgestattet ist, funktioniert diese Form des Kartenbetrugs auch innerhalb der EU.

Kartenbetrug kann aber noch ganz andere Formen annehmen. Anders als beim Skimming, das im Allgemeinen verdeckt erfolgt, setzen Kriminelle mitunter weniger subtile Methoden ein. Medienberichten zufolge können hier beispielsweise sogenannte K.-O.-Tropfen eine Rolle spielen.

Ebenfalls regelmäßig in Zeitungsberichten tauchen Fahndungsaufrufe der Polizei nach EC-Kartenbetrügern auf, die scheinbar mit der Post verschickte Karten abfangen. Allerdings ist – sofern der Betrüger die PIN nicht kennt – deren Einsatz nur eingeschränkt möglich. Hier wäre einzig die Verwendung im Lastschriftverfahren denkbar. Diese Form des Kartenbetrugs wird vor allem durch den Umstand begünstigt, dass im Tagesgeschäft eine Unterschriftenprüfung nur eingeschränkt stattfindet.

2006
2007
2008
2009
2010
2011
2012
Betrug im Lastschriftverfahren
41.561
28.936
21.820
18.759
13.785
13.589
15.471
Debitkarten mit PIN
27.347
25.348
23.689
23.163
23.612
24.923
23.210
Kreditkartenbetrug
8.932
9.271
7.940
8.971
8.974
8.886
8.182
Daten von Zahlungskarten
3.646
4.939
10.124
17.072
19.100
16.061
19.652

Entwicklung der Betrugsdelikte im Zusammenhang mit Debit- und Kreditkarten für den Zeitraum von 2006 bis 2012 (Quelle: Polizeiliche Kriminalstatistiken der betreffenden Jahre)

Kredit-Karten-Betrug

Skimming – nicht nur Geldautomaten sind betroffen

[contentblock id=1] Betrachtet man den Bereich des EC-Kartenbetrugs, haben es Kriminelle – im Vergleich zum Kreditkartenbetrug – hier scheinbar deutlich schwerer. Einerseits lassen sich Bankkarten nicht zum Onlineshopping nutzen (Betrüger können keine fingierten Onlineshops zum Abgreifen der Zahlungsinformationen nutzen) und auf der anderen Seite ist häufig die PIN zur Autorisierung einer Abbuchung notwendig.

Wie Erfahrungen der Vergangenheit aber zeigen, hat gerade das Skimming inzwischen subtile Formen angenommen. Hintergrund: Zunehmend mehr Bankkunden sind für dieses Thema sensibilisiert und achten beim Abheben von Geld auf entsprechende Anzeichen. Die Manipulation von Geldautomaten durch speziell präparierte Tastenfelder oder vor den Karteneinschub montierte Lesegeräte haben Kriminelle längst durch raffinierte Tricks ersetzt. Ermittler und Experten mussten in den letzten Jahren feststellen, dass sogenannte PoS-Lesegeräte stärker in den Mittelpunkt des Kartenbetrugs rücken.

Dabei werden die Geräte an der Ladenkasse durch Kriminelle manipuliert. Beim PoS-Skimming kommt es zuerst zur Manipulation der Lesegeräte, sodass die Daten der eingelesenen Karten gespeichert werden. Nach einigen Tagen erfolgt das Auslesen der Daten. Hierzu kommt entweder zusätzliche Hardware zum Einsatz – oder kriminelle Banden tauschen einfach das Gerät aus. Der große Vorteil für Kriminelle: Anders als Geldautomaten sind manipulierte Lesegeräte nicht von ungefährlichen PoS-Terminals zu unterscheiden. Es kommt aber noch ein zweiter Punkt hinzu. PoS-Terminals sind im Vergleich zum Geldautomaten weitaus ergiebiger. Nach dem „Ernten“ (also einem Auslesen des Speicherchips) können die Kundendaten auf „White Plastics“ kopiert und diese wieder im Ausland eingesetzt werden.

Betroffene Kunden bemerken den Zugriff auf ihr Konto erst dann, wenn die neuen Kontoauszüge vorliegen – oder Banken wegen Überschreitungen des Dispo-Limits aktiv werden. In solchen Fällen ist es zum Handeln allerdings zu spät.

EC-Kartenbetrug – wie kann man sich schützen?

Skimming als Betrugsmasche beim bargeldlosen Zahlen ist mittlerweile in der Bevölkerung relativ bekannt. Trotzdem ist ein wirksamer Schutz schwierig. Dies gilt gerade für Fälle, bei denen PoS-Geräte manipuliert und durch kriminelle Banden in Umlauf gebracht werden. Hinzu kommt ein weiteres Problem: Die Hintermänner solcher Aktionen sitzen im Regelfall im Ausland.

Schutz gegen EC-Kartenbetrug gibt es nur dann, wenn sich jeder Bankkunde bzw. Kartenbesitzer der eigenen Verantwortung bewusst ist. Es reicht nicht, das Vorgehen beim Skimming oder anderen Betrugsmaschen zu kennen. Jeder Verbraucher muss sich aktiv um einen besseren Schutz seiner Bankkarte und der PIN bemühen.

Wie sehen die Schutzmaßnahmen im Einzelnen aus? Grundsätzlich bietet das Onlinebanking heute die bequeme Möglichkeit zur Kontoüberwachung. Verfügungen mit der EC-Karte sind inzwischen mitunter bereits nach wenigen Stunden über das Onlinebanking sichtbar. Wer hier ungewöhnliche Aktivitäten bemerkt, muss umgehend handeln – und kann sein Guthaben so schneller schützen. Noch ausgefeilter wird der Schutz allerdings durch eine Sperrung der Karte für den Einsatz im Ausland. Diese Auslandskartensperre (gilt in der Regel für den Raum außerhalb der EU) ist inzwischen bei vielen Banken gängige Praxis und wird mitunter automatisch vorgenommen.

Wer als Bankkunde zu diesem Mittel greift, ist im Allgemeinen auf der sicheren Seite. Da innerhalb Europas ein Karteneinsatz ohne EMV-Chip weitgehend nicht mehr möglich ist und die Karte außerhalb Europas durch die Sperrung nicht mehr funktioniert, sind Kriminellen so die Hände gebunden. Der Vorteil: Die Auslandskartensperre lässt sich bei diversen Banken wieder aufheben, wenn der Inhaber wirklich im Ausland unterwegs ist.

Hinweis:
Leider – zumindest aus Kundensicht – greifen einige Institute beim Thema Auslandskartensperre relativ rigoros durch. Neue Bankkarten werden mit technischen Standards ausgerüstet, die außerhalb Europas nicht funktionieren, was deren Verwendungsmöglichkeiten einschränkt. Ein Beispiel für diese Praxis ist die Einführung das V-Pay-Standards.
Ebenfalls ein wichtiger Schritt hin zu mehr Sicherheit beim Umgang mit der Bankkarte ist eine Deckelung der maximal verfügbaren Summe. Ist der tägliche Verfügungsrahmen ausgeschöpft, kann die Karte nicht mehr weiter benutzt werden. Dieses Mittel bietet sich beispielsweise für Bankkunden an, die vor einer konsequenten Auslandssperre für ihre Karte zurückschrecken, Risiken aber dennoch minimieren wollen. Die bis hierher genannten Schutzmechanismen beruhen im Wesentlichen auf der Kartentechnik. Inhaber einer Bankkarte können aber selbst einen Teil zur Sicherheit beitragen.
Grundsätzlich sollte:
  • die PIN nur verdeckt eingegeben werden
  • eine EC-Karte nie unbeaufsichtigt bleiben
  • Karte und PIN niemals gemeinsam aufbewahrt werden
  • die PIN nie in E-Mails oder bei Anrufen preisgegeben werden.

Gerade der letztere Punkt hat in den vergangenen Jahren an Bedeutung gewonnen, da im Rahmen des Phishing Kriminelle nach Mitteln und Wegen suchen, um Bankdaten in ihren Besitz zu bringen.

Tipp:
Verbraucher sind aufgerufen, beim Benutzen eines Geldautomaten die Augen offen zuhalten. Fällt etwas Ungewöhnliches an der „Hardware“ auf, ist die Bank umgehend zu verständigen. Bankkunden sollten also nicht nur ein Auge für das Terminal, sondern auch die Beschaffenheit des Geldautomaten haben. In unserer News Rubrik veröffentlichen wir regelmässig aktuelle Warnhinweise.

Interview zum EC Kartenbetrug mit der Verbraucherzentrale:

Fr. Dr. Oelmann, Finanzexpertin der Verbraucherzentrale NRW, stand uns in einem Interview „Rede und Antwort“ zum Thema „EC-Kartenbetrug“.

Girokontovergleich.org: In Deutschland sind allein mehr als 105 Millionen EC-Karten in Umlauf. Im Verhältnis dazu wirken mehrere zehntausend polizeilich erfasste Betrugsfälle verschwindend gering. Ist die Berichterstattung rund um den EC-Kartenbetrug aus Ihrer Sicht Panikmache oder doch gerechtfertigt?

Dr. Annabel Oelmann: An deutschen Geldautomaten reduzieren sich die Skimming-Fälle. Seit der Einführung des EMV-Chips ist die Benutzung von Bankkarten an Automaten deutlich sicherer geworden.

Beim Bezahlen im Handel greift der Schutz durch die neue Technik (EMV-Chip auf den Karten) aber noch nicht. Deshalb stellen wir fest, dass die Täter auf andere Systemkomponenten ausweichen, die (noch) nicht diesen hohen Standard bieten. So mehren sich die Fälle, in denen Skimming sich von der Bank auf den Handel verlagert. Dort sind wiederholt Bezahlterminals im Geschäft („Point-Of-Sale“, POS) manipuliert worden. Kriminelle manipulieren also inzwischen Kartenlesegeräte im Handel und spähen so die Daten von Geldkarten aus. Dann stellen sie Kopien der Karten her und verwenden diese an Geldautomaten im Ausland, um das Konto zu plündern.

Girokontovergleich.org: In den letzten Jahren hat das Thema Skimming an Geldautomaten hohe Wellen geschlagen. Woran lässt sich aus Ihrer Erfahrung ein manipulierter Geldautomat erkennen? Und wie sollten Bankkunden reagieren, denen Anzeichen für Manipulationen auffallen?

Dr. Annabel Oelmann: Bei den als „Skimming“ bezeichneten Straftaten manipulieren Kriminelle die Geldautomaten, beispielsweise indem sie einen Plastikaufsatz auf dem Karteneinzugsschlitz anbringen. Steckt der ahnungslose Kunde seine Karte in den Einzug, wird der Magnetstreifen der Maestro- oder Kreditkarte kopiert und aufgezeichnet. Durch eine heimlich installierte Minikamera über dem Automaten oder einer manipulierten Tastatur spähen die Täter dann die Geheimzahlen ihrer Opfer aus. Später stellen sie mit den geklauten Daten Kartenkopien her und plündern – in der Regel an ausländischen Automaten – das Konto. Inzwischen haben Banken die Geräte mit besseren Sicherheitsfunktionen wie zum Beispiel Anti-Skimming-Modulen nachgerüstet. Außerdem sprechen moderne Automaten inzwischen ausschließlich den EVM-Chip an. Deshalb nutzt es den Kriminellen inzwischen nichts mehr, den Magnetstreifen zu kopieren. In den typischen Skimmingfällen, wo viele Verbraucher an einem Geldautomaten betroffen sind, ersetzen die Kreditinstitute i.d.R. umgehend den entstandenen Schaden. Einige Kreditinstitute  haben jedoch in den Allgemeinen Geschäftsbedingungen eine Klausel, die eine unverschuldete Haftung bei Kartenschäden bis zu einer Höhe von 150 € zulässt. Hier kommt es auf die Kulanz der jeweiligen Bank an.

Ist am Karteneinzug ein wackliger Vorbau angebracht oder die Tastatur merkwürdig beschriftet, sollte der Geldautomat nicht benutzt werden und stattdessen Bank und/oder Polizei informiert werden. Kunden sollten Bankautomaten im Außenbereich ebenso meiden wie Geldautomaten, bei denen zum Betreten des eigentlichen Schalterraums die Karte in einen Türöffner gesteckt werden muss. Die Eingabe der PIN sollte immer verdeckt erfolgen und erst, nachdem man sich sicher ist, nicht von Dritten beobachtet zu werden. Wenn Ihnen am Geldautomaten etwas komisch vorkommt, brechen Sie bitte Ihr Abhebevorgang ab und informieren Sie Ihre Bank.

Girokontovergleich.org: Bankkarten kommen nicht nur am Geldautomaten zum Einsatz, sie werden auch als Zahlungsmittel genutzt. Für Kriminelle rückt dieser Fokus scheinbar stärker in den Mittelpunkt. Was können Sie Verbrauchern im Umgang mit der EC-Karte vor diesem Hintergrund raten?

Dr. Annabel Oelmann: Der beste Schutz ist die nötige Portion an Misstrauen und Aufmerksamkeit. Gerade beim Bezahlen mit der Karte ist es wichtig, bei der [contentblock id=1] Eingabe der PIN genau aufzupassen, dass Sie nicht von Dritten beobachtet werden können. Im Geschäft müssen Kunden auch nicht ständig mit der Girokarte bezahlen und sich damit der Gefahr aussetzen, irgendwann an ein manipuliertes Gerät zu geraten. Gerade bei kleineren Beträgen empfiehlt sich die gute alte Barzahlung. Wer nicht verreist, sollte zumindest die Girokarte für das Ausland sperren. Dann können Kriminelle mit den Kartendaten nichts anfangen. Vor einem Urlaub kann man die Sperrung zeitlich befristet bei seiner Bank wieder aufheben lassen.
Und nicht zuletzt gilt: Kontrollieren Sie regelmäßig Ihre Kontoauszüge und beanstanden Sie umgehend unberechtigte Buchungen.

Girokontovergleich.org: Plötzlich tauchen fremde Verfügungen auf dem Kontoauszug auf. Welche Schritte werden jetzt besonders wichtig, um das eigene Konto und Guthaben vor weiteren Unannehmlichkeiten zu schützen?

Dr. Annabel Oelmann: Wer verdächtige Abbuchungen von seinem Konto bemerkt, sollte

  1. sofort über die Notrufnummer 116 116 seine Geldkarten sperren lassen
  2. seine Bank kontaktieren und
  3. Anzeige bei der Polizei erstatten.

Girokontovergleich.org: Banken haben in der Vergangenheit mitunter „verhalten“ reagiert, wenn es um die Regulierung eines Schadens durch EC-Kartenbetrug ging. Wie sollten sich Verbraucher Ihrer Meinung nach verhalten, wenn die Bank plötzlich den Vorwurf der groben Fahrlässigkeit in den Raum stellt?Dr. Annabel Oelmann: Im Schadensfall muss für die Frage, wer den Schaden tragen muss, differenziert werden. Erfolgte die Abhebung mit PIN und Originalkarte, gilt in der Regel der sogenannte Anscheinsbeweis. Die Rechtsprechung vermutet hier, dass der Kunde Karte und PIN zusammen aufbewahrt hat. Der Kunde muss  seinen Schaden selbst tragen.

Erfolgte die Abhebung dagegen mit PIN und einer Kartenkopie, kann das gemeinsame Aufbewahren nicht einfach vermutet werden. Grundlage für den Betrug könnte beispielsweise das sogenannte Skimming sein. In dem Fall könnte der Kunde nichts für das Ausspähen der PIN. Wichtig: Wenn die Bank sich auf den Anscheinsbeweis stützen will, muss sie nachweisen, dass die Abhebung mit der Originalkarte erfolgt ist.

Girokontovergleich.org: Vielen Dank Frau Dr. Annabel Oelmann, dass Sie uns so umfassend Rede und Antwort gestanden haben. Und weiterhin viel Erfolg bei Ihrer Arbeit für den Verbraucherschutz.

Über Dr. Annabel Oelmann (Wirtschaftsjuristin)

dr-annabel-oelmann-fotoFrau Dr. Annabel Oelmann – Wirtschaftsjuristin – hat sich voll und ganz dem Verbraucherschutz verschrieben und ist seit 2009 Leiterin der Gruppe Finanzdienstleistungen derVerbraucherzentrale Nordrhein-Westfalen. Zu den Themenschwerpunkten ihres täglichen Engagements für den Verbraucherschutz gehören der Zahlungsverkehr, Geldanlagen, die Altersvorsorge sowie Immobilienfinanzierung und Versicherungen. Zugute kommen ihr dabei auch praktische Erfahrungen, die Frau Dr. Oelmann während ihrer Zeit als Bankkauffrau gesammelt hat. Durch die verschiedenen Stationen ihres beruflichen Werdegangs, über die FH Osnabrück und das Forschungsinstitut in Nürnberg bis zur Promotion über Direktinvestitionen der deutschen Automobil- und Maschinenbauindustrie, ist Frau Dr. Oelmann zu einer Finanzexpertin geworden, die in den Medien immer wieder für den Verbraucherschutz eintritt.