BKA registrierte 2010 wieder mehr "Skimming"-Angriffe in Deutschland

Keine gesetzgeberischen Maßnahmen zur Verbesserung der Sicherheit von EC- und Kreditkarten

(17.05.11) - Die Bundesregierung beabsichtigt derzeit keine gesetzgeberischen Maßnahmen zur Verbesserung der Sicherheit von EC- und Kreditkarten. Dies geht aus der Antwort der Regierung (17/5659) auf eine Kleine Anfrage der Fraktion Die Linke (17/5407) zum so genannten Skimming hervor, bei dem die Daten von EC- und Kreditkarten an Bankautomaten ausgespäht werden.

Danach hat das Bundeskriminalamt (BKA) im vergangenen Jahr im Inland 3.183 Fälle von so genannten Skimming-Angriffen registriert, von denen in Deutschland lebende Bürger betroffen waren. Im Jahr 2009 lag diese Zahl den Angaben zufolge noch bei 2.058 nach 2.397 im Jahr 2008 und 1.349 im Jahr 2007. Die Zahl entsprechender Skimming-Angriffe im Ausland stieg laut Vorlage von 332 im Jahr 2007 über 514 im Jahr 2008 auf 619 im Jahr 2009 und sank dann auf 533 im vergangenen Jahr.

In ihren Vorbemerkungen hatte die Fraktion Die Linke festgestellt:

"Am 2. Januar 2011 berichtete die "Frankfurter Allgemeine Sonntagszeitung" (FAS), dass das Bundeskriminalamt (BKA), als Maßnahme gegen das 2010 stark angestiegene Ausspähen der Daten von EC- und Kreditkarten an Geldautomaten (Skimming), eine flächendeckende Einführung magnetstreifenloser Debitkarten fordert.

Seit dem 1. Januar 2011 werden die Transaktionen zwischen Karte und Geldautomat im Euro-Raum von einem EMV-Chip abgewickelt, der die im Magnetstreifen enthaltenen Daten verschlüsselt speichert und das Fälschen von Karten unmöglich machen soll. Trotzdem haben die meisten EC- und Kreditkarten auch weiterhin zusätzlich einen Magnetstreifen, damit die Geldkarten auch außerhalb des einheitlichen Euro-Zahlungsraumes eingesetzt werden können.

In ihrer am 9. März 2011 vorgestellten Präsentation "Credit Card skimming and PIN harvesting in an EMV world" (http://dev.inversepath.com/download/emv/emv_2011.pdf) beschreiben vier Forscher, wie sich die Kommunikation zwischen Terminal und Chip durch eine flache Platine im Kartenschlitz belauschen und manipulieren lässt, um an eine PIN zu gelangen. Dabei sei es laut einem Bericht bei "heise online" vom 16. März 2011 "unerheblich, ob die Karte einen billigen Chip ohne eigene Kryptografiefunktion (SDA) oder einen teuren, bislang als sicher geltenden Chip mit Dynamic Data Authentication (DDA) enthält".

Der Bericht zitiert Daniele Bianco, einen der vier Forscher, mit folgender Aussage: "Das eigentliche Problem bei EMV ist, dass durch die scheinbare Sicherheit des Verfahrens die Beweislast auf den Kunden abgewälzt wird. Es wird ihm unterstellt, dass er fahrlässig mit seiner PIN umgegangen ist." Betroffen seien nach Daniele Biancos Ansicht alle EMV-Installationen, demnach auch die in der Bundesrepublik Deutschland. Von diesen grundsätzlichen Sicherheitsproblemen wissen Hersteller und Banken jedoch offenbar schon seit über fünf Jahren. Am 8. März 2006 berichtete das ARD-Fernsehmagazin "Plusminus" bereits über Schwachstellen von Kreditkarten, die mit der neuen Chiptechnologie ausgestattet sind. Damals demonstrierten Wissenschaftler der Universität Cambridge bereits in einem Skimming-Angriff auf SDA-Karten unter Laborbedingungen, wie sich die Kommunikation der Karte mit einem präparierten Chipkartenterminal abhören lässt. Vor rund einem Jahr zeigten dieselben britischen Forscher zudem einen Weg auf, mit dem sich das EMV-Verfahren bei EC- und Kreditkarten so aushebeln lässt, dass Karten scheinbar beliebige PIN akzeptieren. Diese Manipulation ließ sich allerdings im Nachhinein aufdecken, so dass, anders als bei den neuesten Skimming-Attacken, die Kunden nicht automatisch in Haftung wären (vgl. hierzu auch heise online vom 8. März 2011).

Laut FAS schlägt das BKA im Kampf gegen Skimming den Banken vor, standardmäßig EC- und Kreditkarten ohne Magnetstreifen auszugeben. Lediglich an Kunden, die ihre Karten auch im außereuropäischen Ausland einsetzen wollen, soll auf Antrag eine zweite Karte mit Magnetstreifen ausgehändigt werden, was jedoch nur 5 Prozent der Bankkunden betreffe (FAS vom 2. Januar 2011).

Schon im Juli 2010 hatte das BKA davor gewarnt, dass bei Skimming-Angriffen ein neuer Höchststand bevorstünde. Nach Angaben des BKA wurden bereits im ersten Halbjahr 2010 so viele Skimming-Fälle registriert wie im gesamten Vorjahr und dieser Trend hätte sich auch im zweiten Halbjahr fortgesetzt (vgl. FAS vom 2. Januar 2011)." (Deutscher Bundestag: ma)