1,4 Millionen Euro Schaden durch 84 manipulierte Geräte

Frankfurt. Manchmal trifft es sogar Profis. Ausgerechnet der damalige Chef des Bezahldienstes Paypal, David Marcus, berichtete im vergangenen Februar von einer Skimming-Attacke. Kriminelle hätten vermutlich in einem Hotel in Großbritannien seine Kreditkartendaten abgeschöpft, schrieb Marcus auf Twitter: „Sie vervielfältigen sie und gingen auf Einkaufstour.“

Täter, die an Geldautomaten in Deutschland Kartendaten und Geheimnummern (PIN) ausspähen, müssen inzwischen weit reisen, um daraus Gewinn zu schlagen. Dank milliardenschwerer Investitionen in die neue EMV-Technik mit einer Art Minicomputer in den Plastikkarten passiert in Europa so gut wie nichts mehr mit Kartendubletten – darauf verweisen Deutschlands Banken seit Jahren stolz. Mit einer speziellen Anti-Skimming-Technik wollen Automatenhersteller wie Wincor Nixdorf das Geldabheben für Verbraucher noch sicherer machen.

Doch weil längst nicht alle Staaten bei der Modernisierung mitziehen und Bezahlkarten statt mit Magnetstreifen mit EMV-Sicherheitstechnik ausrüsten, finden Kriminelle immer wieder Schlupflöcher. Vor allem in Brasilien, Sri Lanka, Indonesien, Indien und den USA konnten Betrüger im ersten Halbjahr 2014 geklaute Kartendaten zum Geldabheben und Einkaufen nutzen.

„Endgültige Entwarnung können wir noch nicht geben. Betrug am Geldautomaten verursacht nach wie vor beträchtliche Schäden“, sagt Andreas Mayer, Geschäftsführer der Polizeilichen Kriminalprävention der Länder und des Bundes, in Stuttgart. Für die ersten sechs Monate 2014 summierte sich der Schaden infolge des Ausspähens sensibler Daten von Bankkunden an Geldautomaten in Deutschland nach dpa-Informationen auf rund 1,4 Millionen Euro. Damit sank der Wert zuletzt auf ein Rekordtief, wie Branchenkenner berichten. Im Vorjahreszeitraum waren es noch 8,4 Millionen Euro Schaden gewesen. Nur noch 84 Geldautomaten wurden im ersten Halbjahr 2014 manipuliert statt 251 vor zwölf Monaten.

Da es am Geldautomaten immer schwieriger wird, Daten abzugreifen, suchen sich Kriminelle neue Ziele: „Täter weichen in Einzelfällen auf Fahrkartenautomaten der Bahn oder Registrierkassen im Discounter aus“, sagt Mayer. Im März verurteilte das Landgericht Hildesheim beispielsweise einen 32-Jährigen rechtskräftig zu vier Jahren Haft, weil er sich an Geld- und Fahrkartenautomaten die Daten von Hunderten Bankkunden verschafft hatte. Etwa 400 Datensätze wurden gegen Geld an Hintermänner in Slowenien weitergegeben, die dann mit Kartendubletten insgesamt mehr als 142.000 Euro von den Konten der betroffenen Bankkunden abbuchten.

Ex-Paypal-Chef David Marcus schlug aus seiner Erfahrung als Skimming-Opfer Kapital: „Es wäre nichts passiert, wenn der Händler Paypal genutzt hätte.“ Denn Bezahldienste wie Paypal übertragen bei Transaktionen keine Bank- oder Kreditkartendaten.