Die Attacken der Verbrecher, die mit modernen Hilfsmitteln agieren, zielen vor allem auf den elektronischen Zahlungsverkehr und das beliebte Plastikgeld. Allein in Deutschland hat Kreditkartenbetrug in 2012 einen Schaden von etwa 100 Millionen Euro verursacht.
Stuttgart - In nur zehn Stunden waren die Täter um 40 Millionen US-Dollar reicher. So lange brauchte ein weltweites kriminelles Netzwerk, um Anfang Februar rund um den Globus in 24 Ländern mehr als 36 000-mal Bares an Geldautomaten abzuheben. Die nötigen Daten von Mastercard-Geldkarten, die von einer Bank aus Oman ausgegeben worden waren, hatten spezialisierte Hacker zuvor aus den Computersystemen des Kreditinstituts gestohlen.
Es ist einer der bisher größten Fälle organisierter Cyberkriminalität weltweit, den die US-Ermittlungsbehörden kürzlich aufgedeckt haben. Das Beispiel zeigt: kriminelle Netzwerke nutzen Sicherheitslücken beim Plastikgeld immer raffinierter und teilen sich die Arbeit auf. Global, digital, vernetzt – für Bankräuber des 21. Jahrhunderts ist der Computer zur wichtigsten Waffe geworden. Nach dem Raubzug durch die IT-Systeme wurden die Datensätze manipuliert, weltweit an Mittäter verteilt und Kartenkopien erstellt. Mit den manipulierten Magnetstreifenkarten konnte nun Geld in unbegrenzter Höhe abgehoben werden.
Allein in New York City zog eine kriminelle Zelle mit dem gefälschten Plastikgeld in wenigen Stunden rund 2,4 Millionen Dollar aus den Automaten. Sieben Tatverdächtige wurden verhaftet, der achte soll in der Dominikanischen Republik ermordet worden sein. Das teilte das US-Justizministerium mit. Wie viele Hintermänner es gibt, darüber rätseln die Ermittler noch. Klar aber ist, dass die Angriffe System haben. Schon Ende vorigen Jahres wurden bei einer ähnlichen Cyberattacke, bei der ebenfalls von einer arabischen Bank ausgegebene Mastercard-Karten gefälscht wurden, rund fünf Millionen Dollar erbeutet.
Nicht von den Attacken betroffen
Bei Mastercard, einem der weltweit größten Zahlungssysteme mit jährlich 21 Milliarden Transaktionen, wird auf Anfrage betont, dass eigene Computersysteme nicht von den Attacken betroffen waren. Man arbeite mit den Ermittlern bei der Aufklärung zusammen. „Kreditkarten sind ein sehr sicheres Zahlungsmittel“, betont ein Sprecher der deutschen Niederlassung. Ansonsten gibt sich die Finanzbranche wortkarg. Zahlen zum Umfang der Schäden durch Kreditkartenbetrug oder zur Zahl der Betrugsfälle sind offiziell von dort nicht zu erhalten.
Auch dem Bundeskriminalamt (BKA) in Wiesbaden liegen keine belastbaren Gesamtzahlen vor, wie die Behörde betont. Ein Großteil der Straftaten werde nämlich nicht angezeigt, da Banken und Kartenorganisationen die Schäden den Betroffenen in der Regel erstatteten, heißt es in einem Bericht zur Zahlungskarten-Kriminalität. Die Informationspolitik der Branche zu erlittenen Verlusten und dem Kartenmissbrauch sei „sehr restriktiv“, so die Ermittler.
Ein Anfrage bei Paysys in Frankfurt bringt mehr Erfolg. Geschäftsführer Hugo Godschalk lenkt eine der führenden Beratungsfirmen im Kartenmarkt und gilt als ausgezeichneter Branchenkenner. Man schätze den Missbrauchsschaden 2012 für die Banken, die Kreditkarten (Mastercard, Visa, American Express, Diners) herausgeben, auf 100 Millionen Euro, sagt der Experte. Man müsse das aber in Relation zum weit höheren Gesamtumsatz mit den Karten von etwa 82 Milliarden Euro sehen. Vor einigen Jahren sei die Missbrauchsquote noch wesentlich höher gewesen.
Erhebliche Dunkelziffer
Gleichwohl steigt die Cyberkriminalität auch in Deutschland, wie die Kriminalitätsstatistik der Bundesregierung zeigt. Straftaten, bei denen mit moderner Informations- und Kommunikationstechnik Daten ausgespäht, abgefangen und missbraucht werden, nahmen 2012 um fast acht Prozent auf beinahe 64 000 Fälle zu. Die Dunkelziffer weiterer Fälle gilt als erheblich. Innenminister Hans-Peter Friedrich warnt: „Die Bedrohungslagen werden vielfältiger, und die Schadenssummen steigen.“
Auch beim Kreditkartenbetrug wickelt die Finanzbranche viele Fälle in aller Stille ab, um den Ruf des Plastikgelds nicht zu ruinieren. Verbraucher bekommen davon wenig mit. Im besten Fall fällt eine fragwürdige Transaktion, zum Beispiel in fremder Währung oder aus Ländern mit hoher Gefährdungsstufe, schon den Sicherheitssystemen der IT-Dienstleister auf. Dann erhält der Karteninhaber eine kurze Nachfrage, ob er tatsächlich eine Rechnung in Dollar in Thailand per Kreditkarte bezahlt habe. Wenn nicht, wird die Buchung storniert, die Karte gesperrt und eine neue ausgegeben.
So schrieb der Dienstleister Atos Worldline, der zum IT-Konzern Atos gehört und unter anderem Karteninhaber der Sparda-Bank betreut, im April einen Kunden an und teilte ihm mit, dass man „Anfragen auf Ihrem Kreditkartenkonto aus dem Internet festgestellt“ habe. Es komme zurzeit „vermehrt zu Kreditkartenmissbrauch“ in diesem Bereich. Man bitte daher um Rückruf, um „sicherzustellen, dass diese Anfragen rechtmäßige Transaktionen sind“.
Vier Dollar-Bestellung
Auf Nachfrage erfuhr der Kunde, es gehe um eine angebliche Online-Bestellung für vier Dollar. Gerade mit solchen Kleinbeträgen testen Betrüger gerne, ob die ergaunerten Kartendaten stimmen. Die Chance ist hoch, dass solche geringen Summen weder dem Karteninhaber noch den Kartenfirmen auffallen. Im beschriebenen Fall hatten die Betrüger aber Pech – die Karte wurde gesperrt und ausgetauscht.
Der Pressesprecher von Atos Deutschland in Essen lehnt eine Stellungnahme zu sämtlichen Fragen nach Fällen von Kreditkartenbetrug ab. Weder zum Umfang möglicher Schäden noch zur Zahl der Betrugsfälle und gesperrten Karten bei Atos gibt es Antworten. Auch die Frage, ob Fälle wie der beschriebene bei der Polizei angezeigt werden und in die Kriminalstatistik eingehen, bleibt offen – ebenso wie die Frage, wer eigentlich entstandene Schäden trägt.
Weitere Sicherheitsmechanismen nötig
Branchenexperte Godschalk sieht die größten Betrugsrisiken beim „ungeschützten Einsatz“ von Kreditkarten im elektronischen Handel. Hier seien weitere Sicherungsmechanismen wie Passwörter oder PIN-Codes nötig, wie sie Mastercard oder Visa schon anbieten.
Als undichte Stelle erweisen sich aber auch immer wieder die Abrechnungs- und Zahlungssysteme von Dienstleistern. So erschütterte erst vor wenigen Wochen ein neuer Hackerskandal die Reise- und Finanzbranche in Deutschland. Kriminelle stahlen in großem Umfang die Kreditkartendaten von Zehntausenden Reisenden bei der Amadeus-Tochter Traveltainment, dem wichtigsten Dienstleiter der Tourismusbranche im digitalen Geschäft.
Bekannt wurde der Datenskandal erst durch eine Mail des Online-Reisebüros Opodo an betroffene Kunden. Dort heißt es, dass die Kriminellen komplette Kreditkartendatensätze von den Servern von Traveltainment kopiert haben sollen. Darunter seien Kreditkartentyp, Kreditkartennummer, CVV-Nummer, Ablaufdatum sowie Name, Adresse und E-Mail des Inhabers. Die Betroffenen müssten damit rechnen, dass Kriminelle mit ihrer Kreditkarte einkaufen gehen. Betroffene sollten ihre Kreditkarten womöglich sperren lassen.
Gut geschützt
Verbraucherschützer betonen jedoch, dass Karteninhaber in Europa gut geschützt sind. Wenn Plastikgeld gefälscht und missbraucht wird, haftet der Inhaber grundsätzlich nicht für die Schäden, sofern Verlust, Diebstahl oder Missbrauch unverzüglich der Bank gemeldet werden. Bei grober Fahrlässigkeit jedoch sieht die Sache anders aus. Wenn zum Beispiel die Geheimzahl auf der Karte notiert wird, macht das Kriminellen ihre Arbeit leicht – und dann muss der leichtsinnige Verbraucher den Schaden tragen.
Frank-Christian Pauli vom Bundesverband der Verbraucherzentralen rät daher, Kontoabrechnungen der Kreditkartenunternehmen und Banken immer zeitnah zu überprüfen und unklaren Abbuchungen sofort zu widersprechen. „100 Prozent Sicherheit kann es bei solch komplexer Technik nicht geben“, warnt der Experte.
Rechte und Pflichten von Karteninhabern
Vorsicht Verbraucherschützer raten grundsätzlich, mit persönlichen Daten vorsichtig und zurückhaltend umzugehen. Gerade im Internet und bei Onlinegeschäften ist das Missbrauchsrisiko hoch. Das gilt besonders für Bank- und Kreditkartendaten. Allerdings ist die bequeme Abwicklung zum Beispiel von Flug- und Reisebuchungen am heimischen Computer meist nur möglich, wenn man die Daten angibt.
Prüfung Deshalb sollten Verbraucher die Kontoabrechnungen der Kreditkartenunternehmen und Banken sorgfältig und zeitnah überprüfen. Das wird gerne vernachlässigt, weil immer mehr Belege nur noch online abrufbar sind. Einer unklaren Transaktion sollte sofort widersprochen werden. Nur wer seine Abrechnungen genau prüft, kann betrügerische Abbuchungen entdecken.
Banken Es ist die Aufgabe der Banken und Zahlungssysteme, für Sicherheit zu sorgen. Verbraucher sind deshalb vor Schäden gesetzlich gut geschützt, vor allem durch den Paragrafen 675h im BGB. Grundsätzlich gilt: Wenn die Karte sachgerecht gehandhabt wird, muss der Inhaber im Betrugsfall nicht haften. Banken müssen Verbraucher im Schadensfall so stellen, als hätte es den Betrug nie gegeben. Das bedeutet, dass auch Dispo- und Schuldzinsen erstattet werden müssen, falls das Konto durch einen Missbrauchsfall ins Minus rutscht.
Haftung Jeder Karteninhaber hat jedoch auch Pflichten, deren Missachtung sehr teuer werden kann, weil dann doch eine Haftung für Schäden droht. So muss ein Kartenverlust oder Diebstahl unverzüglich der Bank oder Sperrannahmestelle angezeigt werden. Die Kontaktdaten werden bei der Ausgabe der Karte dem Kunden genannt. Auch wenn der Karteninhaber selbst in betrügerischer Absicht, mit Vorsatz oder grob fahrlässig handelt, muss er selbst für die entstandenen Schäden aufkommen. Keinesfalls darf etwa die Geheimnummer auf der Karte notiert werden. Solche Streitfälle landen nicht selten vor Gericht.
Zeitverzug Wer missbräuchliche Transaktionen erst mit Zeitverzug auf seinen Kontobelegen entdeckt, hat trotzdem Ansprüche auf Regulierung. Erst nach 13 Monaten läuft die Frist für die Meldung bei der Bank ab.