Computerviren im Automaten klauen Daten bei Kartenzahlung!

Bislang haben Kriminelle täuschend echt wirkende Aufsätze an Geldautomaten montiert, um Karten zu kopieren. Ihre neueste Masche ist äußerlich gar nicht mehr zu entlarven: Sie infiz
ieren Automaten und Lesegeräte mit Computerviren.

Seit Jahren erregen Fälle von Skimming Aufsehen, in denen Kriminelle Geldautomaten manipulieren.
Sie ersetzen oder überdecken den grünen, froschmaulartigen Karteneinschub oder gleich die ganze Automatenfront mit einem täuschend echt aussenhenden Replikat. Darin verbirgt sich Technik, welche die Kartendaten ausliest und kopiert. Sind diese Aufsätze aufmerksamen Kunden noch gelegentlich aufgefallen, haben die Betrüger nun einen Weg gefunden, ins Innere der Geldautomaten und Kartenleser vorzudringen: Computerviren.
Online-Handel mit Trojanern für Geldautomaten

Die Schadsoftware, ein sogenanntes trojanisches Pferd, wird in die Geräte eingeschleust. In der Regel ist dafür direkter Zugang zum Gerät erforderlich, laut dem Geldautomatenhersteler ATMIA können aber auch Sicherheitslecks im Geldautomaten-Netzwerk entsprechend ausgenutzt werden. Mit einem infizierten Automaten oder Zahlungsterminal ist zum Klau der Kartendaten kein zusätzliches Gerät mehr erforderlich. Kein nachgebauter Karteneinschub, keine aufwendig gebaute Automatenfront - der Geldautomat selbst wird vor den kriminellen Karren gespannt, um an Kartendaten zu kommen.

Hinweise auf diese Art des Skimmings haben Ermittler in ganz Europa gefunden. Neben Geldautomaten sind die Kartenlesegeräte, die sich mittlerweile an jeder Supermarkt- und Tankstellenkasse finden, die sogenannten Point of Sale Terminals (POS), betroffen.

LKA geht von organisierter Kriminalität aus.
In Internetforen, wo die EC- und Kreditkartenmafia sich trifft, ist ARD-Plusminus-Reporterin Sabina Wolf auf Spuren des Handels mit solchen Programmen gestoßen. Mutmaßliche Betrüger tauschen sich dort über technische Spezifikationen eines "ATM Trojan" (engl. ATM = Automatic Teller Machine - das englische Wort für Geldautomat) aus. Beim bayerischen Landeskriminalamt (LKA) geht man von "organisierter Kriminalität" aus, sagt Günter Seibold, Leiter der Abteilung Zahlungsmittelfälschung.

"Die neueste Technik wird gekauft, studiert, die Software angeschaut, was bestehen da für Möglichkeiten, das zu manipulieren?"
Günter Seibold, Abteilung Zahlungsmittelfälschung, Bayer. LKA

Um genau nachzuvollziehen, was im Geldautomaten passiert, hat Sergei Skorobogatov vom Computerlabor der Universität in Cambridge eine Zahlungskarte mit Chip präpariert - mit einem eingebauten Minicomputer. Damit lässt sich die Kommunikation zwischen Karte und Gerät mitschneiden. Mit der Karte geht es an einen Geldautomaten zum Abheben. Läuft alles korrekt ab, werden die Kartendaten in einem Datenpaket verschlüsselt. Dabei wird eine Reihe von Zufallszahlen zur Verschlüsselung verwendet, sogenannte Unpredictable Numbers (UN) - eines der zentralen Sicherheitsprinzipien des EMV-Chip-und PIN-Systems.

Die Auswertung der Daten, die der Microcomputer in der Karte gesammelt hat, offenbart Schockierendes: "Diese Spalte besteht immer aus Nullen. Das ist nicht das, was wir erwarten würden", sagt Kryptologe Steven Murdoch. Die unvorhersagbaren Zufallszahlen sind also gar nicht so zufällig. In der europaweiten Studie "PIN and Skim" von den Wissenschaftlern aus Cambridge heißt es, häufig würden sogar einfach fortlaufende Nummern oder ein Zeitstempel verwendet, um die UN zu generieren. Der Verband der deutschen Kreditwirtschaft teilt in einer Stellungnahme an ARD Plusminus allerdings mit, "im Geldautomatensystem der Deutschen Kreditwirtschaft (...) trifft dies nicht zu". Mastercard antwortete auf eine entsprechende Anfrage nur mit allgemeinen Statements, etwa dass die Sicherheit des Kunden "höchste Priorität" genieße, ging aber in keinem Wort auf die konkreten Fragen zur "Unvorhersagbarkeit" der UN ein.
Der Fehler muss nicht beim Kunden liegen

Ob nun in Deutschland oder im Ausland - Zufallszahlen, die eigentlich keine sind, können schlimme Folgen haben: Wenn Kriminelle die UN aufgrund einer Computermanipulation kennen und damit über einen per Schadsoftware manipulierten Automaten an die Kartendaten inklusive PIN kommen, können sie eine Kartenkopie erstellen. Eine weitere Variante, die die Wissenschaftler in ihrer Studie nennen, ist die Manipulation der Generierung der UN selbst durch Schadsoftware.

Das alles ist nicht nur finanziell, sondern auch juristisch von Belang. So kann man als EC- oder Kreditkartenkunde Betrugsopfer werden, auch wenn man sich völlig korrekt verhalten hat. Korrekt verhalten heißt in diesem Fall, dass man seine Zahlungskarte nicht zusammen mit der zugehörigen PIN-Nummer aufbewahrt. Denn kann zum Beispiel nachgewiesen werden, dass ein geschädigter Bankkunde seine PIN auf einem Zettel im selben Geldbeutel wie die geklaute EC-Karte mit sich herumgetragen hat, gilt das als fahrlässig und die Bank muss nicht haften.
Verbraucherschützer appelliert an die Justiz

Verbraucherschützer Frank-Christian Pauli von der Verbraucherzentrale Bundesverband (VZBV) appelliert daher an die Justiz, "dass sie nicht zu viel Vertrauen in die Aussagen setzen darf, dass die Verfahren völlig sicher seien". Denn häufig weigern sich Banken, durch Skimming entstandenen Schaden zu ersetzen - und das, obwohl das Bundesverfassungsgericht schon im November 2011 klar im Sinne der Kunden entschieden hat: Im Fall einer missbräuchlichen Abhebung muss das Kreditinstitut nachweisen, dass die Originalkarte und keine Kopie verwendet wurde. Nur dann haftet in jedem Fall der Kunde. Dazu hat die Bank die Sorgfaltspflicht, sicherzustellen, "dass die personalisierten Sicherheitsmerkmale des Zahlungsauthentifizierungsinstruments" - also die Kartendaten - "nur der zur Nutzung berechtigten Person zugänglich sind", heißt es im § 675m BGB.

In den Ergebnissen der Studie der Wissenschaftler aus Cambridge, die Sicherheitslücken in den IT-Systemen der Zahlungs-Anbieter aufdeckt, sieht Verbraucherschützer Pauli nun ein weiteres gewichtiges Argument für die Gerichte, stärker im Sinne der Bank- und Kreditkartenkunden zu entscheiden.

"Wir Verbraucher müssen nicht mehr diejenigen sein, die da Mist gebaut haben, es können auch die Anbieter selber sein, weil irgendwelche Lücken in ihren Sicherheitssystemen zum Tragen gekommen sind."

Quelle: Frank-Christian Pauli, VZBV