Es ist ein teurer Wettlauf. Sichere Technik lassen sich Deutschlands Banken Milliarden kosten, doch Datendiebe finden immer wieder Lücken. In Niedersachsen beispielsweise ließen sich Unbekannte im Februar/März 2013 unbemerkt über Nacht in Baumärkten einschließen. Sie manipulierten die EC-Lesegeräte an den Kassen mit einem Chip für drahtlose Bluetooth-Übertragung und konnten am nächsten Tag Kartendaten und Geheimnummern (Pin) von mehr als 800 Kunden einfach per Handy abgreifen.

Abhebung im Ausland

Mit Kartendubletten wurde dann in Ecuador und Indien Geld abgehoben. Auch wenn das Ausspähen sensibler Daten von Bankkunden ("Skimming") in Deutschland zurückgeht: Der Finanzbranche entstehen nach wie vor Millionenschäden. Für die ersten sechs Monate 2013 beziffern Deutschlands Banken den Schaden durch "Skimming" auf rund acht Millionen Euro.

Immerhin ist das weniger als die Hälfte der 17 Millionen Euro Schaden, den Datenklau an heimischen Geldautomaten im Vorjahreszeitraum angerichtet hatte. Doch längst nicht alle Staaten ziehen bei der Modernisierung der inzwischen als veraltet geltenden Technik mit und rüsten Bezahlkarten statt mit Magnetstreifen mit moderner EMV-Sicherheitstechnik aus.

Moderne Sicherheitskarten

EMV-Karten haben eine Art Mini-Computer: Der Datensatz wird verschlüsselt, die Karte bei Gebrauch auf Echtheit geprüft. Zusätzlich gibt es eine Pin. Zwar passiert in Europa dank der EMV-Technik so gut wie nichts mehr mit Kartendubletten, wie Sicherheitsexpertin Margit Schneider von Euro Kartensysteme schon im vergangenen Jahr bilanzierte. Doch Kriminelle finden nach wie vor Länder, in denen sie Kartendubletten zu betrügerischen Zwecken nutzen können - ein Schwerpunkt: die USA. Was Deutschlands Banken Hoffnung macht: Zum 19. April diesen Jahres traten die USA der sogenannten EMV-Haftungsumkehr bei.

Abkommen zur Haftungsumkehr

Das heißt: Sollte der Einsatz von gefälschten Karten an nicht EMV-fähigen Geldautomaten und Terminals im Ausland Schäden verursachen, werden dafür die ausländischen Institute zur Kasse gebeten - und nicht die deutschen Banken, welche die Originalkarten ausgegeben haben. "Es wird davon ausgegangen, dass die ausländischen Geldautomaten- und Terminalbetreiber angesichts des Rückbelastungsrisikos ein hohes Interesse haben, die Endgeräte so schnell wie möglich mit der sicheren EMV-Technologie auszustatten, sodass die Echtheit der Karten dort ebenfalls geprüft und der Einsatz von Kartenfälschungen unterbunden werden kann", erklären die Experten von Euro Kartensysteme, die sich für die deutsche Kreditwirtschaft um das Sicherheitsmanagement für das Plastikgeld kümmern.

Die jüngsten Zahlen geben den EMV-Verfechtern recht. Zwar nutzen Kriminelle den deutschen Markt mit seinem engmaschigen Bankennetz nach wie vor, um Kartendaten und Pin abzugreifen. Doch die Zahl der manipulierten Geldautomaten hat sich von mehr als 1000 im Jahr 2010 in den vergangenen Jahren deutlich verringert.

In den ersten sechs Monaten 2013 lag die Zahl mit bundesweit 251 in etwa auf dem Niveau des Vorjahreszeitraums (253). Auch die Europäische Zentralbank (EZB) kam in einer im Juli 2012 veröffentlichten Studie für die Jahre 2007 bis einschließlich 2010 zu dem Schluss, vor allem die EMV-Technologie habe dazu beigetragen, den Missbrauch von Kredit- und EC-Karten zurückzudrängen.

Allerdings versuchten Kriminelle immer häufiger Daten bei Zahlungen abzugreifen, die über das Internet, per Mail oder Telefon abgewickelt werden.

Im Mai dieses Jahres machte ein spektakulärer Fall aus den USA Schlagzeilen: Eine Bande hatte sich Zugang zu Computersystemen von Banken verschafft, dort die Daten von Bankkarten manipuliert und dann binnen weniger Stunden an Geldautomaten in mehreren Ländern 45 Millionen US-Dollar abgehoben.

Norbert Pohlmann, geschäftsführender Direktor des Instituts für Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen, kommentierte den Fall in einem Interview damals so: "Es kann keine absolute Sicherheit geben, weil es immer Schwachstellen gibt. Intelligente Kriminelle nutzen das aus." Der Wettlauf geht also weiter.

Zum Thema:
Die Zahl der Manipulationenan Geldautomaten in der Lausitz ist gesunken. Im Frühjahr 2012 wurden allein in Cottbus an mindestens sieben Automaten Attrappen an Geldausgabeschlitzen befestigt (Cash-Tapping). Hingegen ist im ersten Halbjahr 2013 in Sachsen und Brandenburg je nur ein Manipulations-Fall bekannt. Das Risiko bei Transaktionen im Internet jedoch steigt. Im Freistaat hatten unbekannte Täter zum Jahresbeginn versucht, an das Geld von Online-Banking-Kunden zu kommen. Bei einer Bautzenerin wollten sie mehrere Tausend Euro widerrechtlich vom Konto abbuchen. Die 62-Jährige wollte eine Überweisung tätigen, als sie über die Internetpräsenz ihrer Bank aufgefordert wurde, einen Betrag von 4330 Euro als "Sicherheitsprüfungsgebühr" zu überweisen. Diese Forderung schien der Frau suspekt. Sie brach die Transaktion sofort ab. Die Bank teilte ihr mit, dass ein Internetbetrug versucht worden war. Vermutlich habe sich ein Trojaner auf ihrem Computer "eingenistet".