bedeckt11°
DE | FR
burger
Digital
Schweiz

Neue Gefahr für Bank- und Kreditkarten-Nutzer: Das musst du über Deep Insert Skimming wissen

Kein verdächtig wackelnder Aufsatz, doch der Bankomat könnte trotzdem präpariert sein. 
Kein verdächtig wackelnder Aufsatz, doch der Bankomat könnte trotzdem präpariert sein. bild: shutterstock

Neue Gefahr für Bank- und Kreditkarten-Nutzer: Das musst du über Deep Insert Skimming wissen

Die Schweiz ist von raffinierten Skimming-Angriffen betroffen. Die neuste Generation von Bankomat-Wanzen ist dünn wie ein Rasiermesser und darum kaum zu erkennen. Und auch die Haftungsfrage scheint nicht geklärt.
11.05.2016, 14:2712.05.2016, 09:27
Daniel Schurter
Daniel Schurter

Nicht nur die Smartphones werden immer dünner, sondern auch die Hardware von Kriminellen. Schweizer Unternehmen und ihre Kunden, die Geld vom Bankomaten beziehen oder mit der Karte am Automaten bezahlen, sehen sich mit einer neuen Gefahr konfrontiert. Im Schlitz, in den die Debitkarte oder Kreditkarte eingeführt wird, könnte ein ultradünner Scanner verborgen sein.

Das heimliche Auslesen der auf dem Magnetstreifen gespeicherten Kundendaten – kombiniert mit dem Erfassen des PIN-Codes – bezeichnen Fachleute als Skimming.

Der amerikanische IT-Sicherheitsexperte und Blogger Brian Krebs berichtet in einem aktuellen Beitrag über die kaum auffindbaren Bankomat-Wanzen. Er beruft sich auf ein Schreiben des international tätigen Geldautomaten-Herstellers NCR, das an Finanzinstitute ging sowie auf eigene Recherchen.

Hier sind die wichtigsten Fragen und Antworten:

Wie funktioniert die Angriffsmethode?

Neu ist die Angriffsmethode nicht. Doch werden die Kriminellen dank Miniaturisierung wieder erfolgreicher, nachdem es 2014 noch geheissen hatte, Skimming sei im Rückgang.

Fachleute sprechen nun von Deep Insert Skimming.

«Kriminelle schieben die aus einem dünnen Metallblättchen, Lesegerät und Speicherchip sowie dünner Batterie bestehenden Geräte direkt in den Kartenschlitz, wo sie die Kartendaten aufzeichnen. In Kombination mit einer versteckten Kamera, die bei der Bankomat-Nutzung den PIN-Code abgreift, bekommen sie so alles, was sie zum Beheben (sic!) von fremden Konten brauchen.»
quelle: heise.de
Sichergestellte Bankomat-Wanzen mit flacher Batterie und Mini-Kamera. Neuere Modelle sollen noch raffinierter konstruiert sein.
Sichergestellte Bankomat-Wanzen mit flacher Batterie und Mini-Kamera. Neuere Modelle sollen noch raffinierter konstruiert sein.bild: krebsonsecurity.com

Wie können sich Bankomat-Nutzer schützen?

Da die Wanzen kaum von blossem Auge zu erkennen sind, wird das Abschirmen der PIN-Code-Eingabe (mit der Hand oder einem Gegenstand) noch wichtiger. Denn nur wenn auch der PIN-Code ergaunert wird, können die Kriminellen später mit den heimlich gescannten Kundendaten Geld abheben.

Das Problem bei den neusten Skimming-Angriffen: Es könnte sein, dass die Kamera sehr nahe bei der Tastatur versteckt ist, was wiederum das Risiko erhöht, ausgespäht zu werden. Gemäss dem NCR-Sicherheitsexperten Charlie Harrow fand man bei manipulierten Geldautomaten zwar ein ultradünnes, in den Schlitz eingeführtes Lesegerät, aber keine Kamera.

Ich dachte, europäische Karten seien sicher?

Europäische Bankkarten – Kreditkarten und Maestro-Karten – sind mit einem integrierten Mikrochip (EMV-Spezifikation) geschützt. Dieser Chip bietet gegenüber dem noch immer vorkommenden Magnetstreifen massive Sicherheitsvorteile. Weil die Daten verschlüsselt gespeichert sind, wird das Kopieren der Karte praktisch verunmöglicht.

Da aber in den USA und weiteren Ländern im asiatisch-pazifischen Raum immer noch Geldautomaten oder Kassen-Terminals auf die Magnetstreifen zugreifen, versuchen die Kriminellen dort ihr Glück. Sprich: Sie verkaufen die gestohlenen Kundendaten an Kollegen in «unsicheren» Ländern. Diese fabrizieren dann gefälschte Bankomat-Karten und versuchen damit, bei alten Automaten Geld abzuheben.

«Während Kartentransaktionen in Europa über den kopiersicheren EMV-Chip abgewickelt werden, ist der Magnetstreifen für internationalen Einsatz der Karte unabdingbar. Er ist und bleibt damit der Schwachpunkt auf der Karte. Solange Länder wie USA oder Russland die Chiptechnologie noch nicht anwenden bzw. auf den Magnetstreifen nicht verzichtet werden kann, wird es weiterhin Skimming-Versuche geben.»
quelle: six payment services

Umso wichtiger wird darum das so genannte Geo-Blocking. Das ist ein Schutzmechanismus, der hierzulande von Six Payment Services vorangetrieben wird. Konkret geht es darum, Bezüge in fremden Ländern im Vornherein zu verunmöglichen.

«Dabei kann die Bank im Auftrag des Karteninhabers den Einsatzbereich jeder einzelnen Karte auf seine Reise- und Nutzungsgewohnheiten abstimmen und die Bezugsmöglichkeit individuell geografisch einschränken. Beispielsweise kann eine Karte für eher unsichere Regionen wie Nord- und Südamerika, Asien oder Afrika gesperrt werden. Für einen Urlaub in diese Regionen kann das Geoblocking vorübergehend aufgehoben werden. Damit wird die Nutzbarkeit der Datensätze nach einer eventuellen Skimming-Attacke deutlich herabgesetzt.»
quelle: six payment services

Der an sich praktische Schutz hat seine Tücken: Bei SRF Online gab es schon 2014 einen Bericht über Maestro-Karten, die wegen Geo-Blocking im Ausland nicht funktionierten.

Wie schlimm ist die Situation in der Schweiz?

Über konkrete Fälle, respektive Opfer, ist nichts bekannt. Auf der Anti-Skimming-Website der Polizei steht dazu nichts.

Laut Brian Krebs sind grundsätzlich alle Hersteller von Geldautomaten betroffen, darunter Unternehmen in der Schweiz, aber auch in folgenden Ländern:

  • Bulgarien
  • Griechenland
  • Grossbritannien
  • Irland
  • Italien
  • Schweden
  • Türkei
  • USA

Sind auch Geldautomaten der Post betroffen?

Davon ist auszugehen.

Postfinance-Mediensprecher Johannes Möri schreibt uns, zu Angriffen auf Schweizer Geldautomaten gebe man keine Zahlen bekannt und mache aus sicherheitstechnischen Überlegungen auch keine Angaben zu den Abwehrmassnahmen.

Skimming sei kein neues Phänomen sondern trete ähnlich wie andere Betrugsmuster in regelmässigen Abständen immer wieder auf. «Entsprechend sind wir uns dieser Thematik bewusst – auch in Bezug auf Deep Insert Skimmer.»

«Wir empfehlen unseren Kunden Geoblocking zu aktivieren. Mit diesem Service kann der Bargeldbezug im Ausland mit der PostFinance Card geografisch eingeschränkt werden. Damit wird ein wirksamer Schutz vor Skimming, respektive dem missbräuchlichen Einsatz der Kartendaten erreicht.»
Postfinance-Sprecher Johannes Möri

Weiter ruft der Postfinance-Sprecher folgende allgemeine Vorsichtsmassnahmen in Erinnerung:

  • Kontrollieren Sie in kurzen, regelmässigen Abständen Ihre Kontobewegungen und nehmen Sie bei Unklarheiten sofort mit dem Kundendienst von PostFinance Kontakt auf.
  • Schauen Sie den Geldautomaten/das Terminal genau an. Wenn Ihnen etwas verdächtig vorkommt (zum Beispiel ein wackeliger Aufsatz), benutzen Sie das Gerät nicht und melden Sie Beobachtungen dem Betreiber oder der Polizei (ausserhalb der Öffnungszeiten).
  • Geben Sie Ihre PIN verdeckt ein und bestehen Sie dabei auf Privatsphäre. Lassen Sie sich während des gesamten Vorgangs nicht über die Schultern schauen oder ablenken.
  • Lassen Sie sich von niemandem helfen.
  • Falls Ihre Karte unvermittelt vom Geldautomaten/Terminal eingezogen wird, lassen Sie die Karte sofort sperren und kontaktieren Sie Ihr Finanzinstitut.

Weitere Informationen rund um die Sicherheit von Karten finde man unter www.card-security.ch.

Sind denn die Automaten nicht geschützt? 

Laut Brian Krebs bringen die bisherigen Anti-Skimming-Massnahmen nichts. Die ultradünnen, im Schlitz verborgenen Lesegeräte würden nicht erkannt. Ausserdem verfehlten in die Geldautomaten eingebaute Störsender ihren Zweck, wenn die Wanzen die abgefangenen Informationen nicht via Funk übermitteln, sondern direkt auf einem Chip speichern.

Trotzdem besteht Aussicht auf Besserung: Der Bankomat-Hersteller NCR testet gemäss eigenen Angaben ein Firmware-Update. Die Bankomaten-Software soll damit in der Lage sein, das eingeführte Spionage-Tool zu erkennen.

Grundsätzlich gilt: Bei Geldautomaten, die in gesicherten Räumen stehen und mit Videokameras überwacht werden, dürfte das Skimming-Risiko kleiner sein. Die Gauner dürften die Bankomat-Wanzen eher an kaum kontrollierten Standorten und zum Beispiel bei Billettautomaten einsetzen.

Wer haftet?

Das scheint eine schwierige Frage zu sein...

«Die Frage der Haftung nach einem Kartendelikt kann nicht allgemeingültig beantwortet werden. In der Regel hängt die Haftung von der Art des Vorfalls, dem eigenen Verhalten bzw. Verschulden und dem Kartenvertrag ab. Fest steht grundsätzlich, dass jeder für seine Karte selber verantwortlich ist. Liegt eine Verletzung der Sorgfaltspflicht vor, haftet man in den meisten Fällen selber.»
quelle: stop-skimming.ch

An Geldautomaten lässt sich auch mit Mastercard, Visa oder einer anderen Kreditkarte Geld abheben. watson hat beim Kreditkarten-Aussteller Swisscard nachgefragt, ob Kunden die Sorgfaltspflicht verletzen, wenn sie am Geldautomaten die PIN-Abgabe nicht abschirmen. Die nicht restlos beruhigende Antwort von Mediensprecher Urs Knapp:

Grundsätzlich ist der Kunde für den Schutz seines PIN-Codes vor Ausspähen verantwortlich. Im konkreten Schadenfall muss abgeklärt werden, ob eine Sorgfaltsverletzung vorliegt oder nicht.

Das deutsche Fernsehen berichtete Anfang Jahr über Skimming. Damals war die neue Methode noch nicht bekannt, es gab aber raffinierte Attrappen...

YouTube/marktcheck

Hol dir jetzt die beste News-App der Schweiz!

  • watson: 4,5 von 5 Sternchen im App-Store ☺
  • Tages-Anzeiger: 3,5 von 5 Sternchen
  • Blick: 3 von 5 Sternchen
  • 20 Minuten: 3 von 5 Sternchen

Du willst nur das Beste? Voilà:

Das könnte dich auch interessieren:
Warum wir Trump noch nicht abschreiben sollten
43
Warum wir Trump noch nicht abschreiben sollten
von Philipp Löpfe
13 Grafiken zum Klimawandel, die jeder kennen sollte
113
13 Grafiken zum Klimawandel, die jeder kennen sollte
von Philipp Reich
Wie gut ist dein Allgemeinwissen? Erkenne die Google-Suchanfrage im Quiz
29
Wie gut ist dein Allgemeinwissen? Erkenne die Google-Suchanfrage im Quiz
von Lara Knuchel
Liebe Grüsse aus der Pärli-Hölle!
191
Liebe Grüsse aus der Pärli-Hölle!
von Emma Amour
Stell dir vor, die Welt hätte nur 100 Einwohner. Das wären ihre Bewohner
73
Stell dir vor, die Welt hätte nur 100 Einwohner. Das wären ihre Bewohner
von Reto Fehr
Anita* nahm dank Ozempic 20 Kilo ab – doch die Spritze birgt Gefahren
110
Anita* nahm dank Ozempic 20 Kilo ab – doch die Spritze birgt Gefahren
von Dafina Eshrefi
Picdump #10 – Achtung: Hier gibt es wirklich nur Memes!
171
Picdump #10 – Achtung: Hier gibt es wirklich nur Memes!
Traumjob Stuntfrau: Wenn Mama grün und blau geprügelt von der Arbeit kommt
1
Traumjob Stuntfrau: Wenn Mama grün und blau geprügelt von der Arbeit kommt
von Simone Meier
«Fritz the Cat» – So eroberte der sexbesessene Kater die Leinwand
10
«Fritz the Cat» – So eroberte der sexbesessene Kater die Leinwand
von Daniel Huber
Hier steht der (vermutlich) grösste Wegweiser der Schweiz
34
Hier steht der (vermutlich) grösste Wegweiser der Schweiz
von Reto Fehr
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Themen
Das könnte dich auch noch interessieren:
Du hast uns was zu sagen?
Hast du einen relevanten Input oder hast du einen Fehler entdeckt? Du kannst uns dein Anliegen gerne via Formular übermitteln.
24 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Tepesch
11.05.2016 14:37registriert Oktober 2015
Eigentlich wäre es praktisch, wenn man immer eine Karte mit und eine ohne Magnetstreifen erhalten würde. So könnte man standardmässig immer die ohne verwenden, hätte im Notfall aber noch die andere.
00
Melden
Zum Kommentar
avatar
Madison Pierce
11.05.2016 14:58registriert September 2015
Kann jemand bestätigen, dass die Bancomaten bei uns nur den Chip lesen und keinen Fehler bringen, wenn kein Magnetstreifen drauf ist?

Wollte eigentlich schon lange den Magnetstreifen abkratzen, aber hab mich noch nicht getraut.
00
Melden
Zum Kommentar
avatar
TheBean
11.05.2016 16:15registriert Februar 2016
Bestellt euch eine V PAY. Ist vom Prinzip das gleiche wie eine Maestro-Karte, allerdings wird der Magnetstreifen nicht mehr benötigt.

Führt im Ausland zu Problemen, da die Terminals oft nur den Magnetstreifen erkennen. Europaweit funktionierts aber bestens.
00
Melden
Zum Kommentar
24
Meistgelesen
1
Student mit über 100 km/h in 50er-Zone geblitzt – Bundesgericht hebt Urteil auf
2
SBB kündigen ersten Nachtzug nach Skandinavien an – diese Orte erreichst du damit
3
Kalte Dusche für die Swiss: Jetzt kommt es zum Flotten-Fiasko
4
«Lukoil ist am Ende»: US-Sanktionen setzen Russland zu
5
27 Tiere mit aussergewöhnlichen Fellzeichnungen 👻
Meistkommentiert
1
«Die Millennials werden so viel erben wie keine Generation vor ihnen»
2
Auch Papst Leo ist ein Fundi, glaubt er doch an den Satan und befürwortet den Exorzismus
3
«Wirklich wüst»: So gruselig war die AKW-«Arena»
4
«You are the vibrator!»
5
Mein Kurztrip aus dem lauten Familien-Alltag in die Ruhe
Meistgeteilt
1
Wolverhampton wirft Trainer Pereira raus +++ Ultracyclistin Pulver holt WM-Silber
2
Kim Kardashian verbreitet Verschwörungstheorie zur Mondlandung – nun kontert die Nasa
3
Amerikaner geben Republikanern Schuld an Shutdown +++ FBI vereitelt möglichen Anschlag
4
Alle 40 Sekunden ein Eigentor – Madagaskar-Meister fährt 0:149-Rekordpleite ein
5
Bernie Sanders warnt Demokraten: «Jetzt aufzugeben wäre eine historische Tragödie»
Eine Million Tonnen CO2 pro Jahr: Bund ermöglicht Gaskraftwerk
Trotz Klimaabkommen engagiert sich die Schweiz weiter in fossilen Projekten im Ausland. Die staatliche Exportrisikoversicherung unterstützt ein Gaskraftwerk in der Elfenbeinküste.
Zehn Jahre nach dem Pariser Klima-Abkommen ist die Hoffnung auf eine grosse Wende gestorben. Vor rund einer Woche erklärte UNO-Generalsekretär António Guterres, dass die Welt das Ziel einer Erderwärmung von 1,5 Grad in den nächsten Jahren verpassen wird. Die Folgen zeigen sich auch in der Schweiz: Diese erwärmt sich aktuell doppelt so schnell wie der Durchschnitt der Länder.
Zur Story