Neue Masche beim Betrug mit EC-Karten
Die EC-Karte geklaut, das Konto geplündert - das ist für viele Menschen ein Horrorszenario. Banken und Sparkassen lehnen die Erstattung des Schadens meist ab, wenn die Abhebung mit der richtigen Geheimnummer (PIN) erfolgt ist. Das EC- beziehungsweise Girokartensystem sei sicher, ein Auslesen der PIN von einer gestohlenen Karte nicht möglich, argumentieren die Banken.
Die angeblich einzige Möglichkeit, wie Karten-Diebe an die PIN kommen könnten, sei ein fahrlässiger Umgang des Diebstahl-Opfers mit der PIN, etwa wenn der beklaute Kunde die Karte zusammen mit seiner Geheimnummer aufbewahrt oder sogar die Nummer auf der EC-Karte notiert hat.
Neue Masche beim Betrug mit EC-Karten
Banken und Sparkassen betonen, das Bezahlen mit EC-Karten sei sicher. Kriminelle wenden aber immer ausgefeiltere Methoden an, um EC-Karten und die zugehörige Geheimnummer zu erbeuten.
Experten decken kritische Sicherheitslücken auf
In den vergangenen Jahren bewiesen IT-Sicherheitsforscher und Hacker allerdings schon mehrfach, dass das angeblich so sichere EC-Kartensystem nicht so sicher ist, wie die deutschen Banken behaupten. 2012 gelang es IT-Experten der Firma Security Research Labs Berlin, das damals im deutschen Einzelhandel am weitesten verbreitete EC-Kartenbezahlterminal des Herstellers Verifone so zu manipulieren, dass sie Kartendaten und die PIN ausspionieren konnten - ohne dass Händler, Kunden oder Banken eine Chance hätten, die Manipulation und das Ausspähen zu bemerken. Im schlimmsten Szenario, so die IT-Sicherheitsforscher, könnten Angreifer Hunderte Kartenbezahlterminals unter ihre Kontrolle bringen und dann alle dort eingesetzten EC-Karten und deren PIN-Nummern mitschneiden.
Perfide Masche: PIN ausspähen und EC-Karte klauen
Mit den Kartendaten und PINs allein lässt sich jedoch in Deutschland kaum etwas anfangen. Um an deutschen Bankautomaten Geld abzuheben, ist die originale EC-Karte nötig. Doch wie gelingt es den Kriminellen, bei geklauten Karten an die richtige PIN zu kommen? Recherchen von Markt zeigen, dass sich kriminelle Banden eine perfide Masche überlegt haben. Die Banden arbeiten auf lokal begrenztem Gebiet, konzentrieren sich auf jeweils eine Stadt. An Tankstellen, Kiosken oder in Restaurants - also überall dort, wo häufig mit EC-Karten bezahlt wird - versuchen Bandenmitglieder, die PIN-Eingaben zu beobachten. Tagein, tagaus werden so zahllose Geheimnummern gesammelt und an ein Bandenmitglied gemeldet, das sie in einer Liste speichert. Parallel sind sogenannte Läufer unterwegs, die dann in der Stadt EC-Karten klauen. Sobald die Läufer eine EC-Karte haben, rufen sie das Bandenmitglied mit der Liste an. Gibt es zu der Karte eine PIN, wird das Konto geplündert.
60 Fälle pro Tag
Bislang beharren die Banken im Missbrauchsfall auf ihrer einfachen Argumentation der Fahrlässigkeit, viele Kunden schrecken dann vermutlich vor einer juristischen Auseinandersetzung mit ihrer Bank zurück. Dem Bundeskriminalamt wurden für das Jahr 2017 rund 22.000 Betrugsfälle mit EC-Karten gemeldet, bei denen die Kriminellen die korrekte Geheimnummer eingesetzt hatten. Statistisch gesehen entspricht das etwa 60 Fällen pro Tag. Zahlen darüber, wie oft Bankkunden auf ihrem Schaden sitzen geblieben sind, liegen nicht vor.
Nicht zu schnell abwimmeln lassen
Betroffene Kunden sollten sich nicht zu schnell abwimmeln lassen, denn schon jetzt sind bestohlene Kartenbesitzer nicht völlig machtlos, um sich gegen den Verdacht der Fahrlässigkeit zu wehren. Eine Möglichkeit ist nachzuweisen, dass sie kurz vor dem Kartenklau ihre Karte beim Bezahlen oder am Bankautomaten benutzt haben. Dann besteht die Möglichkeit, dass die Diebe die Geheimnummer ausgespäht und danach gezielt die Karte etwa beim Verlassen des Geschäfts gestohlen haben.
Auf Transaktionsprotokolle bestehen
Bestohlenen Bankkunden haben einen gesetzlichen Auskunftsanspruch, von der Bank die genaue Dokumentation über die missbräuchliche Abhebung zu erhalten. So müssen die Geldinstitute nachweisen, dass eine Authentifizierung erfolgt und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, richtig verbucht sowie nicht durch eine Störung beeinträchtigt worden ist. Betroffene Kunden sollten also darauf bestehen, dass die Bank vollständige Transaktionsprotokolle vorlegt. Erfahrene Anwälte können auf Basis dieser Protokolle zum Teil Unstimmigkeiten feststellen.
