Wörtlich übersetzt bedeutet der Begriff Skimming so viel wie „abschöpfen oder absahnen“, womit hier die Daten von Kreditkarten oder anderen Geldkarten gemeint sind. Das Abschöpfen von Daten erfolgt, indem die Magnetstreifen einer Kreditkarte oder EC-Karte ausgelesen werden. Zusätzlich benötigt ein Betrüger die Geheimzahl, um an das Geld des Opfers zu gelangen.
Die Vorgehensweise beim Skimming besteht dabei in einem Austausch der Vorrichtung an einem Kartenlesegerät. So wird erreicht, dass der Magnetstreifen ausgelesen werden kann. Zusätzlich zu der mobilen Attrappe wird die Eingabe der Geheimzahl – meistens mithilfe einer Minikamera oder speziellen Tastaturmatten – aufgezeichnet. In diesem Beitrag erklären wir die genaue Vorgehensweise des Skimming-Betrugs. Wir beleuchten die Risiken des Skimmings für Kartenbesitzer, und haben Tipps zusammengestellt, wie man sich mit einfachen Maßnahmen gegen die Gefahr des Skimmings schützen kann:
Inhaltsverzeichnis | Thema Skimming
- Datenklau in drei Schritten
- Wo können Daten ausgespäht werden?
- Mögliche Orte für einen Skimming-Angriff
- Was passiert mit den Kartendaten?
EMV Technologie als Alternative zum Magnetstreifen
Woran erkenne ich einen Skimming Angriff?
Definition: Was ist Skimming?
Definitionsgemäß ist Skimming (engl. für „Abschöpfen“) Begriff für einen „Man-in-the-Middle-Angriff“, welcher illegal Daten von Kreditkarten oder Bankkarten für Betrugszwecke ausspäht.
Beim Skimming werden nach dem Ausspähen illegal Kartendaten abgegriffen, indem Daten des Magnetstreifens der Karte ausgelesen und auf gefälschte Karten kopiert werden. Mit diesen „geklonten Karten“ können anschließend Abhebungen oder Bezahlungen zulasten des rechtmäßigen Karteninhabers getätigt werden.
Wie funktioniert Skimming?
Jede Kreditkarte und auch die Girocard (EC-Karte) besitzt auf der Rückseite einen Magnetstreifen. Dieser Magnetstreifen enthält außer technischen Informationen auch die Nummer und das Ablaufdatum der Karte. Der Magnetstreifen wird beim Skimming mittels der von den Betrügern angebrachten Lesegeräte ausgelesen und die Informationen gespeichert beziehungsweise direkt an einen PC oder per SMS auf ein mobiles Endgerät weitergeleitet.
Die ausgespähten Daten werden daraufhin auf sogenannte „White Plastics“ kopiert. Diese „White Plastics“ sind Kartenrohlinge, die nach der Codierung mit den erbeuteten Informationen zu einer Art Klon der ursprünglichen Geldkarte werden. Zusammen mit der PIN, die ebenfalls ausgespäht werden muss, ist es möglich – auch im Ausland – Bargeld vom Konto des ursprünglichen Karteninhabers abzuheben oder online Transaktionen zu tätigen.
Datenklau in drei Schritten
Technisch gesehen funktioniert der Vorgang des Skimmings in drei Schritten:
Installation eines manipulierten Lesegerätes (in der Regel Bankautomaten, aber auch mobile Lesegeräte)
Speicherung der Daten und Kopieren auf „White Plastics“ oder direkte Übermittlung der Kartendaten
Ausspähung der PIN (beispielsweise durch versteckte Minikameras, spezielle Tastaturfolien oder illegaler PIN-Abfrage an Banktüren)
Wo können Karten ausgespäht werden?
Skimming-Betrüger manipulieren nicht nur stationäre Bankautomaten, sondern auch mobile Kartenlesegeräte z.B.in Supermärkten oder Tankstellen. Dies ist technisch noch ausgefeilter als das Skimming an Geldautomaten: Die Betrüger klauen die Lesegeräte, nach erfolgter Manipulation werden sie wieder am Einsatzort platziert.
Es können auch Terminals komplett nachgebaut werden, um an die Daten auf dem Magnetstreifen der Karte zu kommen oder die Tastatureingaben mitzulesen zu können. Letzteres geschieht in vielen Fällen durch Minikameras oder spezielle Folien – sogenannte Druckmatten – zwischen Tastatur und Gerät, welche den Druck aufzeichnet, so kann die PIN erspäht werden.
Liste möglicher Orte für einen Skimming-Angriff
Kartenschlitze des Geldautomaten (häufigste Variante)
Türen von Banken (zur Ausspähung der PIN)
Stationäre und mobile Lesegeräte (z.B. Supermarktkassen)
Zapfsäulen von Tankstellen. Speziell in den USA gab es viele Angriffe, bei denen Betrüger die Kartenlesegeräte an Selbstbedienungs-Tankstellen manipuliert haben. Diese sind schwer erkennbar. Mit illegal aufgesetzten Skimming-Geräten und in den Zapfsäulen versteckten Sendern konnten im Minutentakt Daten von sehr vielen Kunden abgegriffen werden.
Beim kontaktlosen Bezahlen mithilfe der NFC-Technik: Die meisten Kreditkarten heutzutage mit RFID-Chips ausgestattet. So ist das kontaktlose Bezahlen von Kleinbeträgen möglich.
Dies gilt inzwischen auch für die Bezahlung mit Smartphones. Diese Funktion können Kriminelle nutzen, um den Karten- oder Smartphonebesitzern die Daten „aus der Hosentasche“ zu ziehen: Allerdings müssen die Kriminellen zu diesem Zweck nah genug an das Opfer herankommen, da die Reichweite der modernen Technologie meist nur wenige Zentimeter beträgt. Dies ist mithilfe spezieller, illegaler Apps möglich.
Bezahlautomaten in Bussen, Straßenbahnen etc.
Was passiert mit den Kartendaten?
Wie beschrieben, werden die ausgespähten Kartendaten auf einen Rohling kopiert. Parallel dazu muss die PIN ausgespäht werden, dies geschieht entweder mithilfe von Minikameras oder Tastaturmatten.
Sind die Betrüger im Besitz aller notwendigen Daten und haben den Kartenrohling erstellt, können sie über das entsprechende Konto des Opfers frei verfügen.
Der Betrug ist nur so lange möglich, bis die Originalkarte des Opfers gesperrt wird. Da viele Kartenbesitzer die Kontobewegungen nicht regelmäßig überprüfen, können in vielen Fällen hohe Beträge abgehoben werden, bis der Betrug erkannt wird.
Abgesehen vom direkten Abheben von Bargeld mit der gefälschten Kontokarte ist eine weitere Missbrauchsmöglichkeit der Verkauf der Daten in Untergrundforen und -märkten sowie Warenkäufe im Internet.
EMV Technologie als Alternative zum Magnetstreifen
Was ist EMV Technologie?
Der Begriff EMV (Europay International, MasterCard und VISA) steht für einen technischen Standard, welcher die Kommunikation zwischen einem Geldautomaten oder einem anderen Kartenlesegerät und dem Chip auf der Girocard (EC-Karte) oder Kreditkarte steuert. Da dieser Chip auf der Karte nicht kopiert werden kann, ist die Karte vor Skimming geschützt.
Bei dem Chip handelt es sich um einen kleinen Computer mit eigenem Betriebssystem und Software. Für den Benutzer ist er nicht sichtbar. Dadurch werden die Daten geschützt, die auf dem Chip gespeichert sind. Kopieren und Verfälschungen der Kartendaten sind deshalb unmöglich.
Die Bezeichnung für die Definition des international gültigen EMV-Standards kommt von den drei namensgebenden Kreditkartenunternehmen: Europay, MasterCard und Visa.
Wo wird EMV angewandt?
Der EMV-Standard existiert faktisch schon sehr lange. Er wurde schon in der 1990er Jahren entwickelt. Seit 2011 ist er in Europa Pflicht.
Seit 2012 wurden alle bis dato 60.000 Geldautomaten und über 750.000 Terminals in Deutschland auf die EMV-Technik, also auf das Auslesen des Chips umgestellt. Außerdem wurden alle 93 Millionen deutsche Geldkarten mit Chips ausgerüstet, um mit den Automaten kompatibel zu sein.
Weil Geldautomaten und andere Kartenlesegeräte inzwischen beim Bezahl- oder Abhebevorgang nur noch auf den Chip zugreifen, ist der Magnetstreifen theoretisch überflüssig. Trotzdem sind Geldkarten ohne Magnetstreifen noch nicht möglich. Benötigt wird er immer noch an Geräten, die noch nicht auf EMV umgerüstet sind, z. B. an Fahrkartenschaltern oder Kontoauszugsdruckern.
Im Ausland kann man in den meisten Fällen ohne Magnetstreifen kein Geld abheben. Das bedeutet, das Risiko für Skimming ist trotzdem noch vorhanden. Außerdem werden in Deutschland Karten auf für den Nutzer unsichtbare Merkmale gecheckt. Diese spezifischen Merkmale können Kriminelle nicht auf die Blankokarten kopieren. Ausländische Bankautomaten haben dieses Hindernis nicht eingebaut.
Woran erkenne ich einen Skimming-Angriff?
Trotz aller Vorsichtsmaßnahmen kann jeder Kartenbesitzer Opfer eines Skimming-Angriffs werden. In diesem Fall gilt: Zeit ist Geld. Wichtig ist, den Betrug schnell zu erkennen und entsprechend zu handeln, um größeren Schaden zu vermeiden. Im folgenden erfahren Sie, woran Sie einen Skimming-Angriff erkennen können und wie Sie danach handeln sollten.
Kontoauszüge regelmäßig kontrollieren
Bei einem gewöhnlichen Diebstahl wird das Fehlen des Bargelds oder der Geldbörse in der Regel schnell bemerkt. Beim Skimming allerdings fehlt rein materiell nichts, die Originalkarte befindet sich auch nach dem Skimming noch beim Besitzer. Skimming Opfer bemerken in der Regel Angriff erst bei der Kontrolle der Kontoauszüge oder der Überprüfung von Transaktionen beim Onlinebanking. Aus diesem Grund ist es wichtig, engmaschig regelmäßig die Kontobewegungen zu kontrollieren!
Kartensperrung durch die Bank
Wird nach dem Skimming Angriff so viel Geld vom Konto des Opfers entwendet, dass der Rahmen für den Dispositionskredit überschritten wird, so meldet sich die Bank bzw. der Kreditkartenanbieter beim Kunden, oder aber die Karte wird durch den Anbieter automatisch gesperrt. Dadurch wird verhindert, dass weiteren Transaktionen illegal getätigt werden. Diese Variante ist besonders ärgerlich, wenn man beispielsweise erst beim Bezahlen der Restaurantrechnung oder nach dem Tanken bemerkt, dass die Karte nicht mehr gedeckt ist und man ein Opfer von Skimming geworden ist.
Wie handle ich nach einem Skimming-Angriff?
Schnelles Handeln ist wichtig
Sobald der Verdacht oder sogar die sichere Erkenntnis vorliegt, Opfer eines Skimming-Angriffs geworden zu sein, ist es wichtig, zeitnah zu handeln. Denn die Betrüger haben nach einem „erfolgreichen“ Skimming-Angriff dieselben Berechtigungen, auf das Konto zuzugreifen wie der eigentliche Kartenbesitzer. Dies kann extrem kostspielig werden, besonders, wenn sich eine große Summe Geld auf dem Konto befindet oder die Karte über einen hohen Kreditrahmen verfügt.
Betroffene Geldkarte sofort sperren
Sobald ein berechtigter Verdacht besteht, dass Geld unrechtmäßig vom Konto abgehoben wurde, ist es unumgänglich, unmittelbar die Girocard (EC-Karte) oder Kreditkarte sperren zu lassen. Dies kann über die gebührenfreie internationale Notrufnummer +49 116 116 geschehen – täglich, rund um die Uhr. Für Banken, die sich nicht am einheitlichen Notruf beteiligen, (Einzelfälle) gibt es unter 01805 / 021 021 eine kostenpflichtige Alternative.
Meldung und Anzeige bei der Polizei
Wer einem Skimming-Angriff zum Opfer gefallen ist, muss dies sofort zur Anzeige bringen. Nur so können Schadensersatzansprüche geltend gemacht werden. Durch die Sperrung der Karte ist die Bank bzw. das Kreditkarteninstitut informiert. Wichtig ist, gleichzeitig den Betrug bei der zuständigen Polizeibehörde zur Anzeige zu bringen. Auch wenn das Verfahren „Anzeige gegen unbekannt“ in den meisten Fällen nicht zur Überführung der Täter führt, ist es dennoch wichtig, jeden Fall zur Anzeige zu bringen.
Wer haftet im Schadensfall?
Für nicht autorisierte Zahlungsvorgänge – darunter fällt auch das Skimming – haftet die zuständige Bank bzw. der Kreditkartenanbieter. Das gestohlene Geld wird dem Opfer in den meisten Fällen erstattet. Voraussetzung ist aber, dass nicht fahrlässig gehandelt wurde.
Ausnahme: Wenn das Geldinstitut beweisen kann, dass Geld nicht mit einer illegalen Kartenkopie, sondern mit der Originalkarte und der passenden Geheimzahl abgehoben wurde, besteht kein Haftungsanspruch. Dann handelt es sich nicht um Skimming, sondern um Kartendiebstahl, welcher auf die grobe Fahrlässigkeit des Kunden zurückzuführen ist.
Was kann ich prophylaktisch gegen Skimming tun?
Während sich der Kunde relativ einfach gegen Kartendiebstahl schützen kann, ist ein wirksamer Schutz vor einem Skimming-Angriff nicht immer möglich. Zu raffiniert sind inzwischen die Betrüger. Trotzdem gibt es einige vorbeugende Möglichkeiten, die das Risiko eines Skimming-Angriffs minimieren:
Überprüfung des Kartenlesegerätes
Wird ein Geldautomat oder ein anderes Kartenlesegerät manipuliert, so gibt es gewisse Anzeichen – auffällige Kleinigkeiten, die man auch als Laie überprüfen kann.
Hier einige Beispiele:
Der Kartenschlitz ragt besonders weit heraus oder erscheint anders als sonst
Aufgrund illegal angebrachter Tastaturmatten kann es zu einem anderen Tippgefühl kommen
Blendleisten sind locker oder lassen sich bewegen
Klebespuren auf dem Kartenschlitz
Mit Folie abgedecktes Tastaturfeld
PIN Abfrage am Türöffner der Bank
Die Verkleidung des Terminals hat unterschiedliche Farbtöne
Besonders „versierte“ Betrüger sind so dreist, die gesamte Front eines Kartenterminals auszutauschen oder mobile Lesegeräte in Geschäften durch manipulierte Geräte zu ersetzen. In diesem Fall ist die Gefahr des Skimmings nicht erkennbar, ein Angriff ist nicht verhinderbar.
Sicherheitshinweise beachten
Sichere PIN-Eingabe
Die Eingabe der PIN an Geldautomaten, Kartenterminals oder auch mobilen Lesegeräten sollte stets verdeckt erfolgen. Ebenso ist es wichtig, darauf zu achten, dass sich in der unmittelbaren Umgebung des Terminals keine fremden Personen befinden, welche die Eingabe beobachten könnten. Betrüger versuchen oft, ihre Opfer beim Geldabheben abzulenken. Auch bei auftretenden Problemen während des Abhebevorgangs sollte man sich nicht von Fremden helfen lassen oder gar die Karte aus der Hand geben. Bei Problemen sollte umgehend das Bankpersonal informiert werden.
Die PIN kann nicht direkt am manipulierten Gerät vom Magnetstreifen der Geldkarte ausgelesen oder aus Kontoauszugsdaten errechnet werden. Die Betrüger platzieren zur PIN-Ausspähung oftmals eine Minikamera in der Nähe des Geldautomaten. Vor dem Geldabheben ist ein Rundumblick nach einer Kamera sinnvoll (nicht zu verwechseln mit der deutlich sichtbar angebrachten Überwachungskamera der Bank).
Wer beim Eingeben der PIN ein anderes Druckgefühl auf der Tastaturoberfläche spürt als sonst, sollte den Vorgang umgehend abbrechen. Es könnte sich um spezielle Tastaturfolien, sogenannte Druckmatten handeln, mit denen die Täter die PIN erspähen.
Eine weitere, beliebte Methode der PIN-Ausspähung ist die Installation einer PIN-Abfrage am Türöffner der Bank. Das bedeutet für den Karteninhaber: Niemals eine PIN beim Betreten von Räumlichkeiten eingeben.
Sperrnotrufnummer bereithalten
Wird ein Skimming-Angriff erkannt oder auch begründet vermutet, beginnt ein Wettlauf mit der Zeit. Je länger die Betrüger im Besitz der Kartendaten sind und freie Verfügung über das Konto des Opfers haben, desto größer ist das Risiko, große Summen zu verlieren. Deshalb hat die Kartensperrung oberste Priorität!
Der internationale Notruf für Kartensperrungen ist +49 116 116. Dieser Notruf ist täglich rund um die Uhr erreichbar. Außerdem hat jedes Kreditinstitut eine spezielle Hotline für Notfälle. Diese Nummern sollten entweder im Gedächtnis oder auf einem Zettel in der Geldbörse notiert sein.
Wichtig für die Kartensperrung ist auch die Kartennummer bzw. Kontonummer. Wer die Kartennummer nicht auswendig weiß, hat die Möglichkeit, diese an einem sicheren Ort mitzuführen, z. B. verschlüsselt als Kontakt auf dem Smartphone oder im Geheimfach des Geldbeutels.
Abhebungslimit mit der Bank vereinbaren
Je mehr Geld auf der Karte verfügbar ist, desto mehr kann im Falle eines Betrugs geklaut werden. Um sich vor größeren Verlusten zu schützen, macht es Sinn, ein Abhebungslimit mit der Bank zu vereinbaren.
Viele Banken und Kreditkarteninstitute bieten für offline und auch online getätigte Transaktionen eine Limit-Funktion an. Dadurch wird festgelegt, welche Summe innerhalb eines vereinbarten Zeitraums maximal transferiert oder abgehoben werden kann.
Abhebelimits sind flexibel. Sie können jederzeit nach Rücksprache mit der Bank geändert werden.
Regelmäßig Kontoauszüge kontrollieren
In vielen Fällen werden Skimming-Attacken erst festgestellt, wenn auf den Kontoauszügen nicht selbst getätigte Abhebungen oder Transaktionen festgestellt werden. Deshalb kann ein regelmäßiger Blick auf die Kontoübersicht im Notfall größeren Schaden verhindern.
Wer Unregelmäßigkeiten in der Kontobewegung feststellt, sollte unmittelbar die Karte sperren lassen und sich mit der Bank bzw. dem Karteninstitut in Verbindung setzen. Stellt sich der Verdacht als unbegründet heraus, so bieten die meisten Banken die Möglichkeit, die Karte innerhalb 24 Stunden wieder entsperren zu lassen, ohne eine neue Karte beantragen zu müssen.
Im Kartenvertrag ist festgelegt, welche Maßnahmen in welchem Zeitfenster initiiert werden müssen, um Schadensansprüche geltend machen zu können. Spezielle Fristen gelten für Rechnungsabschlüsse, welche sich rechtlich von Kontoauszügen unterscheiden und mindestens einmal pro Jahr getätigt werden müssen.
Auslandsbuchungen limitieren oder sperren
Skimming-Betrüger agieren in den meisten Fällen vom Ausland aus. Aus diesem Grund ist das Sperren oder das Limitieren der Kartennutzung im Ausland ein wirksamer Schutz.
Für geplante Reisen ins Ausland kann man trotzdem die betreffende Karte von der Bank für das Reiseland innerhalb eines vereinbarten Zeitraumes freischalten lassen.
Für Vielreisende bietet es sich an, speziell für die Auslandsaufenthalte eine kostenlose Reisekreditkarte zu beantragen und diese Karte auch nur im Ausland zu verwenden.
Die reguläre Kreditkarte kann dann komplett für den Gebrauch im Ausland gesperrt werden. So spart man sich den Aufwand, die Karte bei jeder Auslandsreise freischalten und danach wieder sperren lassen zu müssen. Diese Reisekreditkarten werden von verschiedenen Onlineinstituten angeboten. Es entstehen keine zusätzlichen Ausgaben, da diese Reisekreditkarten komplett kostenfrei sind, sowohl bei der Anschaffung als auch weltweit beim Geld abheben an autorisierten Geldautomaten und Kartenterminals.
Geldbeutel mit RFID Blocker
Ein wirksamer Schutz gegen das Auslesen der Kartendaten beim kontaktlosen Bezahlen mit der NFC-Technik sind Geldbörsen oder Taschen mit integriertem RFID-Blocker. Diese sind inzwischen in verschiedensten Varianten im Handel erhältlich.
Ist der Geldbeutel bzw. die Tasche verschlossen, werden alle im Inneren befindlichen RFID-Chips stark abgeschirmt, sodass Kartendaten kaum noch ausgelesen werden können.
Die Abschirmung lag bei Untersuchungen von Stiftung Warentest zwischen 50 und 60 dB, was eine Reduzierung von circa 99 % bedeutet. Der Schutz wirkt dabei doppelt: Sowohl das Signal, das von außen auf den Chip einwirken kann, wird gedämpft, aber auch das Antwortsignal des Chips wird geschwächt.
Immer noch sind in Deutschland Fälle registrierter Skimming-Attacken weitaus geringer als die Anzahl „klassischer Diebstähle“ von Geldkarten, Geldbeuteln oder Handtaschen. Trotzdem ist die Anzahl seit 2015 deutlich gestiegen.
Deshalb gilt: Vorsicht ist die Mutter der Porzellankiste!