Skimming-Attacken und mögliche Gegenmaßnahmen

Aus Winfwiki

Wechseln zu: Navigation, Suche
Name des Autors / der Autoren: Maik Staack
Titel der Arbeit: Skimming-Attacken und mögliche Gegenmaßnahmen
Hochschule und Studienort: Fachhochschule für Oekonomie & Management - Essen


Inhaltsverzeichnis


1 Abkürzungsverzeichnis

AbkürzungBedeutung
DESData Encryption Standard
ECElectronic Cash
GAAGeldautomat
HiCoHigh Coercitivity
ITInformationstechnik
LoCoLow Coercitivity
MeCoMedium Coercitivity
OEOersted
PINPersonal Identification Number
ZDSZentralen Debit-Schadensbekämpfung

2 Abbildungsverzeichnis

Abb.-Nr.Abbildung
1EC-Karte und ihre Sicherheitsmerkmale
2Der Geldautomat
3Bankvorraum mit Geldautomaten und manipulierten Lesegeräten
4Bankvorraum mit Geldautomaten
5Skimming-Plan
6Arbeitsteilung beim organisierten Skimming
7Rechtslage Skimming

3 Einleitung

Der Begriff "Skimming" (engl. Abschöpfen oder Absahnen)[1] beschreibt das kriminelle Ausspähen von EC-Kartendaten mit Hilfe von IT Hard- und Software. Im weiteren Verlauf wird erläutert, wie es Kriminellen gelingt an EC-Daten zu gelangen um diese für Ihren Zweck zu mißbrauchen. In dieser Hausarbeit werden aber auch mögliche Präventivmaßnahmen zum Schutz dieser sensiblen Daten aufgezeigt um Kunden besser vor Betrug zu schützen. Aufgrund zunehmender Betrugszahlen und somit aus aktuellem Anlass, behandelt diese Hausarbeit das Thema Skimming sowie mögliche Schutzmaßnahmen.

4 Die EC-Karte

Abb.1 EC-Karte und ihre Sicherheitsmerkmale
Abb.1 EC-Karte und ihre Sicherheitsmerkmale

Unter EC-Karte (Electronic cash-Karte) mit Magnetstreifen versteht man bargeld- und bargeldlosen Zahlungsverkehr direkt am Verkaufsort.[2]

Sie hat einen Chip und auf der Rückseite einen Magnetstreifen, der auf drei Magnetspuren sensitive Benutzerdaten speichert. Dazu gehören der Benutzername und dessen Kontonummer, die Kartennummer und die Gültigkeitsdauer. Die EC Karte ist mit einem Chip ausgerüstet auf dem ein Mikroprozessor sitzt, wodurch sie für den Karteninhaber auch als Geldkarte zur Verfügung steht.[3] Die EC-Karte wurde 2002 von der Maestro Karte abgelöst. Das Electronic-cash-System ist durch das weltumspannende Maestro-System ausgedehnt. Es ist weltweit möglich Abhebungen an Geldautomaten und Zahlungen an elektronischen Kassen zu tätigen.[4]


Bei der Benutzung der EC-Karte wird diese in ein Kartenlesegerät eingeschoben, welches sich am Geldautomaten befindet. Über das Kartenlesegerät wird dann die Verbindung zum Bankrechner hergestellt. Zur Verifizierung vergleicht der Geldautomat die eingegebene PIN (Personal Identification Number) mit einer auf der EC-Karte eingetragenen, verschlüsselten Nummer aus dem Datenfeld Card Security Number, das sich auf der dritten Magnetspur befindet. Als Verschlüsselungsverfahren wird der DES-Algorithmus verwendet. Bei Data Encryption Standard (DES) werden Daten in 64 Bits großen Blöcken mit Hilfe eines 56-Bit-Schlüssels codiert. Der Algorithmus formt 64-Bit-Eingaben (plaintext) in mehreren Schritten in eine 64-Bit-Ausgabe (ciphertext) um. DES ist ein symmetrischer Algorithmus, d.h. Ver- und Entschlüsselung benutzen den gleichen Algorithmus und den gleichen Schlüssel (abgesehen von kleineren Unterschieden in der Verwendung des Schlüssels). Die eigentliche Transaktion wird durch die PIN gesichert. Das Kreditinstitut räumt den Kunden, dem eine persönliche Geheimzahl bekannt gegeben wurde, einen Verfügungsrahmen für Abhebungen an Geldautomaten und Elektronic-cash-Terminals ein.[5]




Der Magnetstreifen ist gegenwärtig das wichtigste und gebräuchlichste Merkmal für die Betrüger. Auf die dort gespeicherten Daten sehen es die Skimmer ab.

Im Allgemeinen ist der Magnetstreifen ein schmales oder breiteres flexibles Band mit magnetisierbarer Beschichtung. Er dient der Speicherung von Anwender-, Kunden-, Zulassungs-, Zeiterfassungs-, Autorisierungsdaten und Kontenstände.[6] Der Magnetstreifen von Magnetstreifenkarten ist mit Partikeln aus Eisenoxyd (Fe2O3) oder Chromdioxyd (CrO2) beschichtet, kurz Ferrite genannt. Die Beschichtung wird durch einen Magnetkopf magnetisiert, wodurch es möglich wird die Daten mit Hilfe eines Lesekopfes auszulesen. Auf dem Magnetstreifen können sich bis zu drei Spuren mit unterschiedlicher Aufzeichnungsdichte befinden, die mit Anwender- und Identifikationsdaten und mit den letzten Transaktionen beschrieben werden können. Die Aufzeichnungsdichte wird auch als Bitdichte bezeichnet und wird in Bit pro Fläche oder Bit pro Länge angegeben und ist abhängig von der Speicherdichte des Speichermediums. Die Speicherung erfolgt mit 6 Datenbits und einem Paritätsbit, welches Datenübertragungsfehler überprüft. Die Daten werden auf drei Spuren gespeichert. Die erste Spur beinhaltet bis zu 79 alphanumerische Zeichen. Auf Spur 2 können 40 Ziffern gespeichert werden. Die Speicherung erfolgt mit 4 Bit und einem Paritätsbit. Und Spur 3 bietet Platz für 107 Ziffern, ebenfalls gespeichert mit 4 Bit und Paritätsbit Magnetstreifen gibt es in mehreren Varianten, die sich in der Koerzitivkraft der Ferrite unterscheiden. Die Koerzitivkraft ist ein Maß für die magnetische Feldstärke. Beschichtungen mit niedriger Koerzitivkraft werden als Low Coercitivity (LoCo) bezeichnet. Sie haben eine magnetische Feldstärke von 300 Oersted (Oe). Wobei anzumerken ist, dass die Einheit Oersted selten verwendet wird. Die mit Medium Coercitivity (MeCo) oder häufig auch als High Coercitivity (HiCo) bezeichneten Magnetstreifen haben 2.750 Oe und die HiCo-Streifen mit 4.000 Oe. Die magnetischen Feldstärken sind bei den HiCo-Versionen bewusst hoch angesetzt, damit ein versehentliches Löschen ausgeschlossen wird. Sie können auch im industriellen Umfeld eingesetzt werden. Während Magnetstreifen mit der niedrigen Koerzitivkraft braun sind, sind die mit hoher Koerzitivkraft schwarz.

5 Der Geldautomat

Abb.2 Der Geldautomat
Abb.2 Der Geldautomat

Erstmals wurde im Jahre 1968 ein Geldautomat in Deutschland eingesetzt.[7]


In Deutschland werden ca. 55.000 Geldautomaten von deutschen Kreditinstituten betrieben. In Europa sind der Zeit ca.400.000 Geldautomaten installiert.

Es bedarf einer Genehmigung des Zentralen Kreditausschusses um einen Geldautomaten betreiben zu dürfen.

Um möglichst flächendeckend Geldautomaten anbieten zu können, haben sich die Banken und Finanzinstitute zu Gruppen zusammengeschlossen.

Die bedeutendsten Gruppen sind die Cash Group, die Cash Pool Gruppe und die Gruppe der Sparkassen und Genossenschaftsbanken. Zu welcher Gruppe der Geldautomat jeweils gehört, ist an dem Geldautomaten angebrachten Logo ersichtlich.


Funktionsweise


1. Um Geld abzuheben, wird die EC-Karte in den Kartenschlitz des Geldautomaten geführt. Das Kartenlesegerät liest nun Kontonummer, Name des Bankkunden und des Kreditinstituts sowie einen verschlüsselten Code vom Magnetstreifen der Karte ab.

2. Ein im Terminal befindlicher Computer sendet die auf der Karte gespeicherten Informationen über eine spezielle Leitung an das Rechenzentrum der Bank, welches die Geheimzahl anfordert.

3. Nun wird die Geheimzahl abgefragt, welche über das Bedienfeld des Terminals eingegeben wird. Die PIN wird sofort verschlüsselt an das Rechenzentrum gesendet. Hier wird überprüft, ob die eingegebene und die tatsächliche Geheimzahl zueinander passen.

4. Bei korrekter Eingabe der PIN, darf der Kunde durch berühren des Touchscreenfeldes auswählen, wie viel Geld er abheben möchte.

5. Aus drei im Geldautomaten befindlichen Geldkassetten, die mit unterschiedlichen Scheinen befüllt sind, wird der angeforderte Betrag entnommen und über Transportbänder nach oben befördert. Zur Sicherheit wir zunächst die Karte ausgegeben und erst danach der gewünschte Betrag.

6. In einer vierten Geldkassette gelangen Scheine, die beispielsweise aneinander kleben oder durch den Kunden nicht innerhalb einer festgelegten Zeitspanne entnommen worden.



In den vorangegangen Kapitel wurde ein kurzer Überblick über den heutigen Standard des bargeld- und bargeldlosen Zahlungsverkehrs gegeben, wodurch sich besser aufzeigen lässt, wie Betrüger bei einer Skimming-Attacke vorgehen. Im weiteren Verlauf der Hausarbeit wird die Vorgehensweise und das eingesetzte Skimming-Equipment beschrieben.

6 Unbefugtes beschaffen von Personendaten

Abbildung 3: Bankvorraum mit Geldautomaten und manipulierten Lesegeräten
Abbildung 3: Bankvorraum mit Geldautomaten und manipulierten Lesegeräten
Abbildung 4: Bankvorraum mit Geldautomaten
Abbildung 4: Bankvorraum mit Geldautomaten


Um Geld vom Konto abzuheben, sind wie in den oberen Kapiteln beschrieben, zwei Informationen notwendig: Zum einen die Daten der EC-Karte (auf dem Magnetstreifen) und zum anderen die PIN.[8] Die Daten werden folgendermaßen ausgespäht. Die Täter bringen ein täuschend echt aussehendes Kartenlesegerät am Automaten an, welches über dem eigentlichen Kartenschlitz befestigt wird. Sobald eine EC-Karte in das Kartenlesegerät eingeführt wird, werden die auf dem Magnetstreifen gespeicherten Daten ausgelesen und gespeichert. Mittlerweile hat sich noch eine andere Technik bei den Tätern bewährt. Sie gehen verstärkt dazu über die Daten bereits an Eingangstüren von Kreditinstituten abzugreifen, da hier das manipulieren des Kartenlesegeräts nicht erwartet wird und somit die Manipulation noch schwieriger zu erkennen ist. Zusätzlich verfügen die Kreditinstitute zwar über ein visuelles Überwachungssystem, jedoch üblicher Weise nicht im Außenbereich der Filialen.



Das Ausspähen der PIN geschieht entweder durch eine Mini-Kamera oder durch ein aufgelegtes Tastenfeld. Bei der Kamera-Methode installieren die Betrüger eine Videoüberwachung im Bereich des Geldautomaten, welches das Eingabefeld aufzeichnet und somit die PIN Eingabe filmt. So wurden schon Kameras in Leisten eingebaut, die äußerlich der Farbe des Geldautomaten entsprechen und am Geldautomaten oberhalb des Tastenfeldes angeklebt werden. Auch werden Kameras in handelsübliche Rauchmelder eingebaut, die von den Tätern an der Decke über den Geldautomaten befestigt werden. Es sind auch Fälle bekannt, in denen Kameras in Bilderrahmen oder Wanduhren versteckt und so aufgehängt wurden, dass die PIN-Eingabe gefilmt werden konnte.



Bei der Tastatur-Methode wird eine falsche Tastatur bzw. eine hauchdünne Folie über die Originaltastatur platziert, wodurch es möglich wird die Eingabe der PIN über Sensoren abzugreifen und auf Chips, die sich an der Attrappe befinden, zu speichern. Dabei handelt es sich um sehr dünne Tastaturen, die auf das Eingabefeld montiert werden. Hier kann der Kunde sich nicht schützen.


Diese Grafik zeigt sukzessive die Vorgehensweise von Betrügern

Abb.5 Skimming-Plan
Abb.5 Skimming-Plan




























Abbildung 6: Arbeitsteilung beim organisierten Skimming
Abbildung 6: Arbeitsteilung beim organisierten Skimming


6.1 Vorgehensweise nach einem Skimming-Angriff

Die nach dem Skimming-Angriff gesammelten Daten werden innerhalb kurzer Zeit an Mittelsmännern im Ausland übertragen. Die Mittelsmänner erstellen Duplikate mit Hilfe sogenannte White Plastic Karten. Diese Karten-Rohlinge, die ebenfalls über einen Magnetstreifen verfügen werden mit den relevanten Daten beschrieben. Nach der Datenübertragung auf die Duplikate werden von den Tätern Geldautomaten im Ausland aufgesucht und mit Hilfe der ausgespähten PIN wird Geld von dem Konto des Geschädigten abgebucht. Dieser Vorgang wird so lange wiederholt bis der Verfügungsrahmen des Opfers ausgeschöpft ist.[9]

6.2 Wer steckt hinter den Skimming-Angriffen?

Die Täter sind organisierte Banden, meist aus dem osteuropäischen Raum, die sich auf das "Abschöpfen" bzw. "Absahnen" spezialisiert haben. Die Betrüger reisen gezielt in Deutschland und anderen EU-Ländern ein, um diese Art von Straftaten zu begehen.[10]

6.3 Strafrecht

Da die Täter gegen eine Vielzahl von Gesetzen verstoßen, werden hier die Straftatbestände in Form einer Tabelle verdeutlicht.

Bei Verwendung der geskimmten Daten und das Überschreiben auf eine Dublette bzw. der Einsatz von Dubletten oder überschriebenen Fremdkarten ist ein Computerbetrug. Die Verbreitung, der Erwerb und der Gebrauch von gefälschten Zahlungskarten werden mit einer Freiheitsstrafe bis zu 5 Jahren geahndet. Die Täter beim Skimming handeln meistens in der Gruppe, so dass sie wegen jeder einzelnen Tat mit einer Freiheitsstrafe zwischen 6 Monaten und 10 Jahren bestraft werden können.[11]


Die Tabelle fasst die Tathandlungen und ihre Strafbarkeit zusammen, die mit Abbildung 5 verglichen werden kann.

Abb.7 Rechtslage Skimming
Abb.7 Rechtslage Skimming



























Genaue Zahlenangaben über Strafdelikte sind schwer zu erhalten, da es in diesem Bereich keine zentrale Erfassung gibt. Meistens landet die Anzeige eines Skimming-Vorfalls bei der Polizeidienststelle um die Ecke, die das Delikt statistikfeindlich als Zahlungskarten- Kriminalität verbucht.[12] Indes liefert die von der EURO Kartensysteme GmbH betriebene Zentrale Debit-Schadensbekämpfung (ZDS) aussagekräftige Zahlen, die sie jedoch nur an die Kreditinstitute weiterleiten.


Im vergangenen Jahr kam es in Deutschland zu einem massiven Anstieg der Manipulation von Geldautomaten. Insgesamt 809 verschiedene Automaten wurden von Betrügern heimgesucht, im Vergleich zum Vorjahr sind das fast doppelt so viele.[13]


Bei Skimming-Attacken bekommen die Opfer ihr Geld von der Bank ersetzt, sofern nachgewiesen werden kann, dass es sich um einen Skimming-Angriff gehandelt hat.[14] Dabei ist es ganz egal, bei welchen Kreditinstitut man Kunde ist und an welchem Automaten man ausgespäht wurde. Wie schnell das Kreditinstitut den Schaden ersetzt, ist allerdings von Institution zu Institution unterschiedlich.

7 Schutz vor Skimming-Attacken

Solange die Kreditinstitute nicht handeln, müssen sich die Kunden selbst schützen. Die Täter gehen mittlerweile sehr professionell vor, daher ist es schwierig Manipulationen zu erkennen. Es empfiehlt sich an den Kartenschlitz bzw. Aufsatzgeräten zu ziehen und zu rütteln. Aufgesetzte Apparaturen würden sich dann lösen. Darüber hinaus ist es erforderlich, die Eingabe der Geheimzahl zu verdecken, indem man die Hand oder Geldbörse als Sichtschutz dicht über die Tastatur hält, um mögliche PIN -Ausspähungen mit Hilfe einer Kamera zu vermeiden.[15] Problematischer ist die Manipulation von Kartenlesegeräten an Eingangstüren. Diese sind in der Regel gar nicht zu erkennen, denn in diesen Fällen haben die Täter das gesamte „elektronische Innenleben“ ausgetauscht. Es ist ratsam, etwa den Türöffner eines Kreditinstituts nicht mit der Karte zu betätigen, mit der man anschließend die Transaktion am Geldautomaten durchführen möchte. Stattdessen sollte man eine andere Karte verwenden, beispielsweise die Kreditkarte.[16] Ferner ist es möglich, den Dispositionskredit sowie den Geldbetrag, der am Tag maximal ausgezahlt werden darf, zu minimieren – damit wird den Tätern die Möglichkeit genommen, das Konto auf einen Schlag leerzuräumen und zu überziehen. Vor allem aber sollten Kontoauszüge regelmäßig kontrolliert werden.


Sollte man trotz allen Schutzmaßnahmen, Opfer von einem Skimming-Angriff geworden sein, ist es erforderlich umgehend die Bank zu informieren und die Karte sperren zu lassen. Somit kann der Täter auch mit der Karten-Dublette keine Abhebungen mehr tätigen. Danach sollte der Fall bei der Polizei angezeigt werden.

7.1 Maßnahmen der Banken

Die Kreditinstitute haben einige Möglichkeiten, die Gefahr eines Skimming-Angriffs zu minimieren. Seit einigen Jahren ist die sogenannte Anti-Skimming-Technik auf dem Markt. Mit Anti-Skimming-Modulen ließe sich der Datenklau an sich verhindern. Sie sitzen im Kartenschlitz und greifen beim illegalen kopieren ein. Wenn der Täter dort den Magnetstreifenleser montiert und die Daten abgreift, wird der Empfang gestört und er erhält nur Hieroglyphen, mit denen er nichts anfangen kann. Dennoch scheuen die Kreditinstitute bislang den Aufwand, auf ein besseres System. In Deutschland müssten rund 53.000 Automaten damit ausgestattet werden, was wiederum mit Kosten verbunden ist.[17] Offenbar ist der Leidensdruck angesichts der Schadenssumme bislang noch nicht so hoch, um an dem bisherigen System etwas zu ändern.

Die Kreditinstitute sehen in Anti-Skimming-Modulen keinen Handlungsbedarf und setzen vermehrt auf den EMV-Chip, der 2010 europaweit den Magnetstreifen auf allen EC- und Kreditkarten ersetzen soll. EMV ist ein neuartiger Sicherheitsstandard für die Kommunikation zwischen Chipkarte und Terminal zur Abwicklung von elektronischen Transaktionen im Finanzbereich.[18] Die Anfangsbuchstaben EMV stehen für Europay, MasterCard und VISA, die gemeinsam den Sicherheitsstandard entwickelt, haben und betreiben. Geldautomaten bzw. Kartenlesegeräte werden zukünftig nicht mehr den Magnetstreifen, sondern den EMV-Chip lesen.

Der Chip ermöglicht es, die im Chip gespeicherten Daten gegen Verfälschung und gegen Kopieren zu schützen, somit kann kein Duplikat wie beim Skimming erzeugt werden. Bei EC- und Kreditkarten kann der Chip zur Authentifizierung genutzt werden. Dabei wird die Echtheit der Karte überprüft. Der Geldautomat sendet der Karte eine Zufallszahl, die anhand eines geheimen Schlüssels, der auf dem Chip gespeichert ist, verschlüsselt an den Geldautomaten zurückgeschickt wird. Wenn das erwartete Ergebnis herauskommt, ist die Karte authentifiziert.

Neben dem EMV-Chip verbleibt zunächst auch der Magnetstreifen, um weiterhin allerorts die Akzeptanz der EC-Karte sicherzustellen. Genutzt wird der Magnetstreifen aber nur dann, wenn ein Terminal noch nicht chipfähig ist. Hat die Bank es verpasst, die Karten mit einem Chip auszustatten oder neue Geldautomaten zu installieren, dann haftet sie für möglicherweise entstehenden Schaden.

Bis Ende 2009 sollen alle EC-Karten innerhalb der EU den fälschungssicheren sogenannten EMV-Chip erhalten. Absolute Sicherheit bringt der auch nicht, denn der leicht auslesbare Magnetstreifen bleibt, bis alle Länder ihre Karten mit dem Chip ausgestattet haben. In den USA wird der EMV Standard gar nicht angewendet.[19]


Grundsätzlich sollten folgende Präventivmaßnahmen von Kreditinstituten beachtet werden.


Die Grundvoraussetzung für die Beachtung der Präventivmaßnahmen ist das ordnungemäße Aufstellen der GAA. Dazu zählt, dass in den GAA aktuelle elektronische Skimming-Module eingebaut sind und dass eine tägliche visuelle Kontrolle der GAA durch die Mitarbeiter auf Veränderungen oder Manipulation durchgeführt werden. Im Allgemeinen heißt das, dass eine regelmäßige Funktionsüberprüfung stattfinden soll, damit bei einer Manipulation direkt eine Gegenmaßnahme eingeleitet werden kann. Eine Kameraüberwachung der GAA ist nötig, um so den laufenden Betrieb, auch außerhalb der Geschäftsöffnungszeiten, zu kontrollieren und protokollieren zu können. Die Kamera zeichnet die Bilder auf und speichert diese. Bei der Anbringung der Kamera ist das Datenschutzgesetz zu beachten. Damit ein Täter später identifiziert werden kann, ist es wichtig, dass die Bilder der Kamera eine hohe Auflösung haben.

7.2 Maßnahmen der Polizei

Die Polizei spielt bei Skimming-Attacken eine große Rolle. Ihre Aufgabe ist es, die bekannt gewordenen Fälle zu erfassen sowie die Täterverhaltensweisen auszuwerten. Die Fälle werden durch die betroffenen Skimmingopfer bei der Polizei bekanntgeben, da diese eine Anzeige gegen Unbekannt stellen. Die Anzeige wird von den Opfern bei seinem Kreditinstitut vorgelegt, damit das Opfer den Schaden ersetzt bekommt. Anhand der Videoaufzeichnungen und der gespeicherten Bilder oder durch Zeugenaussagen erstellt die Polizei ein Täterprofil. Dabei werden Tathandlungen, Tatort und Opferprofil begutachtet, um Rückschlüsse auf die Lebensgewohnheiten und die Persönlichkeit des Täters zu erzielen. Daraus erschließt sich das Verhalten des Täters in der Vergangenheit und in der Zukunft. Eine weitere Maßnahme der Polizei ist die Aufklärungsarbeit. Sie richtet sich zum einen an die Bevölkerung bzw. an die Nutzer von Zahlungskarten und zum anderen an die Kreditinstitute und Herstellern von GAA.[20]

8 Ausblick

In einigen Ländern wie z.B. Japan sind bereits neue Sicherheitsstandards entwickelt worden. Die Kreditinstitute in Japan benutzen zur Identifizierung der Kartenkunden biometrisches Venenscanner. Die eingesetzten Geräte analysieren die Blutbahnen der Kunden in den Handflächen oder in einem Finger der Kunde und zahlen erst Geld aus, wenn das System die Person anhand des Venenmusters eindeutig erkannt hat. Das Verfahren hat gute Erkennungsraten bei niedrigen Fehlerquoten, da eine Lichtquelle am Scanner infrarotnahe Strahlen auf den Finger aussendet, wodurch der Verlauf der Venen durch die Lichtabsorption des Hämoglobins im Blut sichtbar wird. Eine in den Scanner integrierte Kamera nimmt diese Venenmuster auf, das System extrahiert das bei jedem Menschen eindeutige Muster und erstellt daraus ein Template für die spätere Authentifizierung. Diese erfolgt innerhalb sehr kurzer Zeit.

Andere japanische Kreditinstitute verwenden ebenfalls den Vergleich biometrischer Merkmale, um den Zugang zum Konto der Kunden sicherer zu machen, etwa Fingerabdrücke. Das System der Biometrie ist einfach: Das jeweilige Merkmal wird aufgenommen und digital im Chip auf der Bankkarte hinterlegt. Will nun ein Kunde Geld abheben, weist er sich mit seinem Merkmal aus. Im Hintergrund läuft dann eine Software ab, die beide Merkmale miteinander vergleicht. Der Nachteil ist, dass bei biometrischen Sicherheitssystemen nicht auszuschließen ist, dass Fehler auftreten, da sich die Merkmale ändern können. Schon eine feuchte Hand kann dazu führen, dass die Person anhand ihres Fingerabdrucks nicht identifiziert wird. Die Wahrscheinlichkeit dafür ist zwar gering, doch bei deutschen Kreditinstituten besteht die Befürchtung, dass die Fehlerraten zu hoch und die Kunden verärgert sind, wenn sie zurückgewiesen werden und kein Bargeld bekommen.[21]

Gegenüber der herkömmlichen Fingerabdruckerkennung hat die Venenerkennung den Vorteil, dass sich die erforderlichen Informationen nicht wie Fingerabdrücke von jedem Gegenstand abnehmen und so potenziell fälschen lassen.

Die Lesegeräte für biometrische Venenerkennung sind ab sofort auch auf europäischen Märkten erhältlich.


In den USA ist bereits ein weiteres Verfahren getestet worden. Das System der Iriserkennung. Die Augeniris ändert sich ab dem zweiten Lebensjahr nicht mehr. Aus diesem Grund wurden die Iris der Kartenbesitzer fotografiert und gespeichert. Wenn der Kunde seine Karte in den GAA einführt, prüft der Automat die Iris. Die Augenbewegungen werden erfasst und so kann die PIN eingegeben werden ohne überhaupt eine Tastatur zu berühren.

9 Fazit

Im ersten Teil der Hausarbeit wird ein Überblick über den heutigen Standard des bargeld- und bargeldlosen Zahlungsverkehrs gegeben, wodurch sich besser aufzeigen lässt, wie Betrüger bei einer Skimming-Attacke vorgehen. Die anschließende Betrachtung des eingesetzten Skimming-Equipment verdeutlicht die professionelle Vorgehensweise der Täter. Hieraus wird ersichtlich, wie leicht es den Betrügern gemacht wird, Gelautomaten zu manipulieren. Im letzten Teil wird ausführlich auf die Präventivmaßnahmen eingegangen.

In diesen Kapitel wird zum einen gezeigt, wie Karteninhaber sich vor Skimming-Attacken schützen können und zum anderen, welche Maßnahmen die Kreditinstitute ergreifen. Abschließend lässt sich sagen, dass einige Länder, wie z.B. Japan neue Sicherheitsstandards entwickelt haben und diese auch zeigen, wie Skimming-Angriffe minimiert bzw. ganz ausgeschaltet werden können.

10 Fußnoten

  1. Vgl. Nds. Ministerium für Inneres, Sport und Integration (2008)
  2. Vgl. Allgemeine Wirtschaftslehre für Auszubildende in Banken und Sparkassen (2001) S.30f
  3. Vgl. Allgemeine Wirtschaftslehre für Auszubildende in Banken und Sparkassen (2001) S.43f
  4. Vgl.Kompaktwissen: Bankbetriebslehre (2001) S.34ff
  5. Vgl. Allgemeine Wirtschaftslehre für Auszubildende in Banken und Sparkassen (2001) S.45ff
  6. Vgl.Betriebslehre der Banken und Sparkassen (2001) S.33f
  7. Vgl.Betriebslehre der Banken und Sparkassen (2001) S.49f
  8. Vgl.o.V.: Homepage der Kartensicherheit, Deutschland: Geldautomaten-Manipulation
  9. Vgl.Iskander, Katharina: Geld abheben mit Bedacht (2008)
  10. Vgl.Iskander, Katharina: Geld abheben mit Bedacht (2008)
  11. Vgl.Kochheim, Dieter: arbeitsteiliges Skimming (2008)
  12. Vgl. Kochheim, Dieter: Strafdrohungen
  13. Vgl. o.V.: Homepage der Heise Online, Deutschland,Massiver Anstieg bei Manipulationen von Geldautomaten (2009)
  14. Vgl. Enders, Ralf: Moderne Plünderer (2009)
  15. Vgl. Polizeiliche Kriminalprävention der Länder und des Bundes
  16. Vgl. Rischmüller, Thomas: Skimming – Tatort Geldautomat (2008) S.23
  17. Vgl.Enders, Ralf: Moderne Plünderer
  18. Vgl. o.V.: Homepage der Kartensicherheit, Deutschland: EMV-Chip
  19. Vgl.Fechner, Torsten: Europol hebt internationales Skimming-Netzwerk aus (2008)
  20. Vgl. Polizeiliche Kriminalprävention der Länder und des Bundes
  21. Vgl. IIG, Peter: Wie EC-Karten sicherer werden (2008)

11 Literatur- und Quellenverzeichnis

Monographien

Richard, Willi / Hartmann, B. Gernot / Mühlmeyer, Jürgen: Allgemeine Wirtschaftslehre für Auszubildende in Banken und Sparkassen:
3. Auflage, Merkur Verlag Rinteln, Rinteln 2001
Richard, Willi / Wefers, Guido / Mühlmeyer, Jürgen / Bergmann, Bernhard: Betriebslehre der Banken und Sparkassen:
25. Auflage, Merkur Verlag Rinteln, Rinteln 2001
Wurm, Gregor / Wolff, Karl / Ettmann, Bernd: Kompaktwissen: Bankbetriebslehre: 9. Auflage, Verlag H. Stam GmbH, Köln 2001


Internet-Quellen

Enders, Ralf
Moderne Plünderer, 30.09.2009,
http://www.op-online.de/politik-lokal/moderne-pluenderer-480326.html (30.12.2009, 11:59)
Fechner, Torsten
Europol hebt internationales Skimming-Netzwerk aus, 24.11.2008,
http://www.torsten-fechner.de/Europol___Skimming-Netzwerk.pdf (02.01.2009, 12:48)
IIG, Peter
Wie EC-Karten sicherer werden, 15.08.2008,
http://www.stern.de/wissen/technik/bankgeschaefte-wie-ec-karten-sicherer-werden-633972.html (28.12.2009, 13:29)
Iskander, Katharina
Geld abheben mit Bedacht, 08.10.2008,
http://www.faz.net/s/RubBEFA4EA6A59441D98AC2EC17C392932A/Doc~ECDFFEE80931547C9A044D43304B7803F~ATpl~Ecommon~Scontent.html (30.12.2009, 08:47)
Kochheim, Dieter
arbeitsteiliges Skimming, 15.05.2008,
http://www.cyberfahnder.de/nav/them/phish/skimming.htm (24.01.2010, 9:20)
Kochheim, Dieter
Strafdrohungen, http://www.cyberfahnder.de/doc/Skimming.pdf (23.01.2010, 16:10)
Nds. Ministerium für Inneres, Sport und Integration
Skimming: Kreditinstitute müssen technische Abwehrmöglichkeiten ausschöpfen, 25.08.2008,
http://www.niedersachsen.de/master/C49287268_L20_D0_I522_h1.html (24.01.2010, 08:43)
Polizeiliche Kriminalprävention der Länder und des Bundes,
So schützen Sie sich vor ec- und Kreditkarten-Betrug,
http://www.polizei-beratung.de/vorbeugung/betrug/ec_und_kreditkartenbetrug/tipps_und_verhaltenshinweise/ (28.12.2009, 10:19)
Rischmüller, Thomas
Skimming – Tatort Geldautomat, 24.01.2008,

http://www.sicherheitspartnerschaft-mv.de/download/Vortrag%20Skimming%20Rischmueller.pdf (29.01.2010, 09:15)

o.V.: Homepage der Heise Online, Deutschland,
Massiver Anstieg bei Manipulationen von Geldautomaten, 22.01.2009,
http://www.heise.de/newsticker/meldung/Massiver-Anstieg-bei-Manipulationen-von-Geldautomaten-200839.html (27.12.2009, 15:11)
o.V.: Homepage der Kartensicherheit, Deutschland,
EMV-Chip, https://www.kartensicherheit.de/ww/de/pub/oeffentlich/sicherheitsprodukte/emv_chip.php (23.01.2010, 13:05)
o.V.: Homepage der Kartensicherheit, Deutschland,
Geldautomaten-Manipulation,
https://www.kartensicherheit.de/ww/de/pub/oeffentlich/abhebung_am_geldautomaten/geldautomaten_manipulation.php (23.01.2010, 13:33)
Von „http://winfwiki.wi-fom.de/index.php/Skimming-Attacken_und_m%C3%B6gliche_Gegenma%C3%9Fnahmen
Persönliche Werkzeuge