Manipulationen an Kartenterminals verunsichern Händler und Verbraucher. derhandel.de sprach mit Frank Wio, Sicherheitsexperte des Payment-Providers easycash, über Gegenmaßnahmen.

Herr Wio, easycash hat ein Sicherheitssiegel entwickelt, mit dem Terminalmanipulationen verhindert werden sollen. Wie funktioniert das Siegel?
Damit keine Missverständnisse entstehen: Unser neues Siegel verhindert Manipulationen nicht - es macht sie sichtbar. Um POS-Terminals zu manipulieren, müssen die Straftäter die Geräte öffnen. Unser Siegel ist so beschaffen, dass es, einmal aufgeklebt, nicht ohne Beschädigung entfernt werden kann. Beim Öffnen der Geräteschalen wird es zwangsläufig beschädigt; Manipulationen werden sichtbar, das Ausspähen der Kartendaten am POS - landläufig als "Skimming" bekannt" - wird erschwert. Fälschungssicherheit erreichen wir durch die Verwendung extrem hochwertigen Materials und einer Hologramm-Technologie. Außerdem ist jedes Siegel mit einer eindeutigen, individuellen Nummer und einem Unterschriftenfeld versehen. Durch die spezielle Vollflächen-Laminierung ist der Schutz des Siegels und der aufgebrachten Unterschrift langfristig gewährleistet. Das Siegel ist ab Februar 2009 verfügbar.

Also ist auch der Handel gefordert, Terminalmanipulationen zu verhindern?

Richtig. Ohne die Mitwirkung des Handels sind wir als Zahlungsverkehrsbranche weitgehend machtlos. Wie bisher können wir den Handel nur immer wieder auffordern, die Terminals täglicher Sichtkontrolle zu unterziehen. Dabei hilft das Siegel: Es macht Manipulationen noch einfacher sichtbar. Beim geringsten Verdacht sollten Netzbetreiber und Polizeibehörden informiert werden. Nur so können wir dem kriminellen Treiben wirksam begegnen.

Wie hoch ist das Risiko - einerseits für die Endkunden, andererseits die betroffenen Banken - aus Ihrer Sicht einzuschätzen?
Trotz anderslautender Presseberichte: Das Risiko für Konsumenten, Opfer von Skimming-Betrug zu werden, ist vergleichsweise gering. Bei 550.000 Kartengeräten verzeichneten wir 2007 bundesweit gerade mal 12 Fälle von POS-Terminalmanipulation. In konkreten Zahlen heißt das: Während der Schaden durch Falschgeld-Straftaten mit 3,8 Millionen Euro beziffert wird, verursachten Skimming-Fälle Schäden von 2,5 Millionen Euro. Das schließt den Betrug am Geldautomaten allerdings nicht ein. Die Polizei vermeldet überdies mittlerweile durchschlagende Erfolge. Zahlreiche Verhaftungen haben sich als Aderlass für die kriminellen Banden erwiesen. Was den finanziellen Schaden für die Kunden betrifft, so sind die Banken in der Haftung. Endkunden wird der Schaden ersetzt - im Gegensatz zu Falschgeldschäden. Und auch auf Seiten der deutschen Banken ist das Risiko überschaubar: Da die Abhebungen ausnahmslos im Ausland stattfinden, die Technologie deutscher Bankautomaten macht den Gebrauch von Dubletten unmöglich, haften auch hier die ausländischen Geldinstitute, deren Infrastruktur die Abhebungen erst ermöglichen.

Und wie sieht es mit den betroffenen Geschäften aus?
Für die betroffenen Geschäfte bedeutet es natürlich zunächst einmal einen Imageschaden.  In der Regel waren Filialen großer Fachmarktketten betroffen, da diese über identische Sicherheitsstrukturen und hohe Kassendurchsätze verfügen. Uns liegen jedoch keinerlei Informationen über nachhaltige Umsatzeinbußen vor, die mit den Manipulationsfällen in Verbindung stehen.

Die Manipulationen erfordern neben krimineller Energie auch eine Menge Know-how. Wie gehen die Täter vor?
Es handelt sich um hoch professionalisierte Tätergruppen. Wie auch die Festnahmen der Kripo beweisen, sind die Banden perfekt organisiert: Einbruchs- und IT-Experten sind spezialisiert auf diese Form der Straftaten. Das Vorgehen ist in verschiedene Phasen zu kategorisieren:

1. Ausspähen: Passende Märkte werden identifiziert und die Schwachstellen analysiert. Da es sich um Filialketten handelt, sind die Angriffspunkte von einem Markt auf andere leicht übertragbar.

2. Einbruch: Die Täter verschaffen sich nachts Zutritt zum Kassenbereich. In der Regel wurde nichts gestohlen, die Fälle wurden so rasch zu den Akten gelegt.
Hier ist gerade der Handel gefordert, bei Einbrüchen doppelt wachsam zu sein.

3. Manipulation der Terminals: Die Terminals werden geöffnet und mit entsprechenden Lesegeräten und Funk-Sendern versehen, die die Kartendaten übertragen können.

4. Auslesen der Daten: Per Funk werden die abgeschöpften - „geskimmten" - Daten ausgelesen.

5. Erstellung von Dubletten: Anhand der erbeuteten Kartendaten und PINs werden so genannte White Cards, Kartendubletten, hergestellt. Da diese von deutschen Geldautomaten erkannt werden können, setzen die Betrüger sie anschließend im Ausland ein, um Abhebungen zu tätigen.

Das Vorgehen ist also bekannt. Welche Sicherheitsmechanismen setzt die Zahlungsverkehrsbranche, mal abgesehen von Ihrem Siegel, dagegen?

Mittelfristig wird der so genannte EMV-Chip den Magnetstreifen auf Debitkarten ersetzen. Diese Chip-basierte Lösung gilt aus fälschungssicher. Zurzeit sind bereits 60 Prozent der im Umlauf befindlichen Karten damit ausgestattet, bis 2010 soll diese Funktionalität flächendeckend verfügbar sein. Darüber hinaus gibt es noch weitere Ansätze, die sich in verschiedenen Umsetzungsstadien befinden. Interessant ist sicher die Entwicklung von Überwachungssystemen, die verdächtige Vorgänge direkt in den Terminals identifizieren und so einen schnellen Eingriff ermöglichen. Wie gesagt ist der Handel aufgefordert, wachsam zu sein. Eine Sichtprüfung der Terminals ist unerlässlich; Verdachtsmomente müssen sofort dem Netzbertreiber gemeldet werden.

Welcher Lösungsansatz ist nach Ihrem Dafürhalten der vielversprechendste?
Am meistversprechenden ist die Kombination der verschiedenen Ansätze. Dabei spielt das holografische Sicherheitssiegel eine zentrale Rolle, da es als eine der ersten Maßnahmen flächendeckend verfügbar ist. Der Handel wird dahingehend informiert und ist meiner Meinung nach auch ausreichend für das Thema Skimming sensibilisiert. Unsere telefonische Sicherheitshotline ist bereits seit Mai 2007 geschaltet. Zusätzliche Sicherheit bietet die Umstellung des PIN-basierten Zahlverfahrens auf unser OLV-System. Sämtliche Zahlungen werden dabei mit unserer Sperrdatei abgeglichen. Mehr als 2,5 Millionen aktuelle Einträge machen sie zur aussagekräftigsten Blacklist und gewährleisten maximale Sicherheit zu minimalen Kosten. In Verbindung mit dem Forderungsankauf (Factoring) sind Zahlungsausfälle damit ausgeschlossen. Und da von Manipulationen nur PIN-basierte Verfahren betroffen sind, ist das Online Lastschriftverfahren mehr als eine Alternative.