19.02.2010 • TopstoryDiebstahlGeldautomatenPhishing

Geldautomaten vor kriminellen Zugriffen sichern

Geldautomaten sind schon lange ein begehrenswertes Ziel für Kriminelle. Verlockend sind die hohen Bargeldsummen beim Diebstahl des kompletten Gerätes, aber auch die technischen Man...

Geldautomaten sind schon lange ein begehrenswertes Ziel für Kriminelle. Verlockend sind die hohen Bargeldsummen beim Diebstahl des kompletten Gerätes, aber auch die technischen Manipulationen an den Automaten, um damit an Kontodaten und PIN zu gelangen. Die Kosten, die in Europa jährlich durch Geld­automatenkriminalität verursacht werden, haben fast die 500-Mio.-€-Grenze erreicht. Daher drängt ENISA, die Europäische Agentur für Netz- und Informationssicherheit, Benutzer dazu, sich der Risiken deutlicher bewusst zu sein. Zudem sollten Vorsichtsmaßnahmen ergriffen werden, um persönliche Verluste zu vermeiden. Die schnelle Zunahme der Anzahl an Geldautomaten - in Deutschland über 50.000 - sowie immer raffiniertere Methoden und Betrugsversuche haben zu einem alarmierenden Anstieg der Kriminalitätsrate um 149 % geführt.

Für Bargeld sorgen weltweit Geldautomaten (fachlich richtig: Geldausgabeautomaten GAA oder kombinierte Einzahlungs- und Geldautomaten KEGA). Das sind technische Einrich­tungen der Kreditinstitute für ihre Kunden zur Bargeldbeschaffung auch außerhalb der Schalteröffnungszeiten. Sie ermöglichen dem Kunden, in Selbstbedienung Bargeld von seinen Konten abzuheben oder einzuzahlen. Als Zugangsberechtigung dient entweder eine codierte Magnetstreifenkarte oder eine Chipkarte, die in das Gerät eingeführt wird, und die korrekte Eingabe der persönlichen Identifikationsnummer (PIN) über die Tastatur. Die meisten Geräte befinden sich in den Vorräumen oder an den Außenwänden von Geldinstituten. Zunehmend werden GAA auch an anderen öffentlichen Orten aufgestellt, z. B. in gut frequentierten Fußgängerzonen, Einkaufszentren, Einzelhandelsgeschäften oder an Bahnhöfen. Neben den Postbank-Kunden können ab sofort auch die Kunden der Deutschen Bank an Tankstellen Geld aus Geldautomaten abheben. Diese Möglichkeit gibt es seit Ende letzten Jahres an über 500 Shell-Stationen in ganz Deutschland. Bis Mitte des Jahres soll dieses Angebot auf rund 1.300 Tankstellen ausgedehnt werden.

BKA-Warnung
Das Geldabheben ist auch in Deutschland riskanter geworden. Das geht nicht nur aus der ENISA-Studie hervor; auch das Bundeskrimi­nalamt (BKA) warnt, denn Geldautomaten in Deutschland werden immer häufiger manipuliert. Die Zahl der Fälle stieg bereits im Jahr 2008 sehr stark an. Nach Angaben des BKA hatten sich bundesweit an 809 verschiedenen Geldautomaten Kriminelle zu schaffen gemacht, das entspricht einer Steigerung im Vergleich zum Vorjahr um 77 %. Betroffen von den Manipula­tio­nen waren vor allem Nordrhein- Westfalen, Bayern und Baden-Württemberg. Aber auch im Ausland wurden Deutsche Opfer dieser Betrugsmasche. In den Jahren 2009 und 2010 wird mit weiter steigenden Zahlen gerechnet. Einzelne Automaten oder Zahlungsterminals bspw. in Baumärkten werden oft auch mehrfach manipuliert. So zählte das BKA 2008 insgesamt rund 2.400 Angriffe auf Geldautomaten, gut 1.000 mehr als noch im Jahr zuvor. Einzelne Geldautomaten wurden mehrfach von verschiedenen Skimmer-Banden manipuliert. Offenbar ist die Manipulation bestimmter Automaten erfolg­versprechender, etwa Automaten in belebten Fußgängerzonen. Die Betrügereien verursachten einen Schaden von schätzungsweise mehr als 40 Mio. €. Das Sperren von Karten konnte einen möglichen Schaden in dreistelliger Millionenhöhe verhindern. So blockierten die Banken im Jahr 2008 rund 160.000 Kartendaten. Die Zahlen von 2009 liegen noch nicht vor, sind erwartungsgemäß noch alarmierender.

So funktioniert es

  • EC- oder Kreditkarte in den Kartenleser ­einschieben. Das Gerät liest Kontonummer, Bankleitzahl sowie einen verschlüsselten Code vom Magnetstreifen der Karte ab.
  • Der Computer sendet die auf der Karte gespeicherten Informationen über eine speziell gesicherte Leitung an das Rechenzentrum der Bank. Das fordert die Geheimzahl an.
  • Die eingegebene Geheimzahl wird ver­schlüsselt an das Rechenzentrum gesendet. Dort wird sie überprüft.
  • Ist die Geheimzahl richtig, kann der Kunde auswählen, wie viel Geld er abheben möchte.
  • Aus vier (oder drei) Geldkassetten, die bspw. 10-, 20-, 50- und 100-Euro-Scheine enthalten, werden Scheine entnommen und über Transportbänder auf der Rückseite nach oben ­befördert. Wenn der Kunde die Karte entnommen hat, erhält er die Scheine.
  • In die fünfte (bzw. vierte) Geldkassette gelangen nur dann Scheine, wenn der Automat aneinanderklebende Scheine aussortiert hat oder wenn das Geld innerhalb einer festgelegten Zeitspanne nicht aus dem Automaten genommen wird.
  • Eine Kamera zeichnet ein Bild des Abhebers auf (leider nicht an jedem GAA).

Skimming
Die Anzahl der Geldautomaten in Europa ist im letzten Jahr um 6 % auf fast 400.000 gestiegen. In nur fünf Ländern befinden sich 72 % der europäischen Geldautomaten: Großbritannien, Spanien, Deutschland, Frankreich und Italien. Davon stehen viele an abgelegenen Orten, so z. B. in kleinen Lebensmittelmärkten, an Flughäfen und Tankstellen. Das illegale Geldabheben an Geldautomaten ist immer noch die bevorzugte Methode für Kriminelle. Sie verschaffen sich PINs beim „Über-die-Schulter-Sehen" oder mithilfe komplexer Skimming-Techniken. Das ist die häufigste Methode. Es kann mittels einer kleinen Überwachungskamera geschehen, einem falschen PIN-Overlay oder durch die Installation falscher Bankautomaten. Um an die Daten auf dem Magnetstreifen zu kommen, werden auch Türöffner so manipuliert, dass die Kartendaten ausgelesen werden. Mehr und mehr wird auch die Blue-Tooth-Wireless-Technologie angewandt, um Karten- und PIN-Details zu einem Laptop in der Nähe zu übermitteln. Allein im Jahr 2008 gab es 10.302 nachgewiesene Skimming-Vorfälle in Europa. Die Banken sensibilisieren ihre Kunden, weisen auf verdeckte PIN-Eingabe hin, lassen spezielle Sichtschutzblenden anbringen und bringen teilweise zusätzliche Siegelaufkleber zwischen PIN-Eingabetastatur und Gerätegehäuse an.

Phishing
Bei dem Wort „Phishing" handelt es sich um ein Kunstwort, zusammengesetzt aus „password" und „fishing". Wörtlich übersetzt bedeutet es so viel wie „das Abfischen von Passwörtern oder PIN". Es ist eine neue Spielart der Computerkriminalität, die in jüngster Zeit besonders häufig im Bereich Online-Banking in Erscheinung getreten ist. Das Abfischen der Geheimzahl am GAA wird ebenfalls praktiziert. Zu den verbreiteten Methoden, an Geld zu gelangen, zählt das Einziehen der Karte. Diese bleibt stecken und wird später vom Betrüger herausgeholt. Auch das Anhalten des Abhebevorgangs ist gebräuchlich. Die Transaktion wird dann zu Ende geführt, wenn das Opfer gegangen ist. Selbst das Festhalten von Geld im Automaten gehört zu den beliebten Methoden. Organisierte kriminelle Gruppen benutzen auch ausgeklügelte Phishing-Techniken und hacken sich in das Bankcomputersystem und in Websites ein, um PIN- und Kontoinformationen zu erhalten.

Rammen, sägen, bohren
Die Anzahl der Geldautomaten-Diebstähle und Gewaltanwendungen an den Geräten ist innerhalb der letzten zwölf Monate ebenfalls um 32 % gestiegen. Dabei wurden gewaltsame Methoden durch das Rammen mit schweren Fahrzeugen, mittels Explosionen, mithilfe von Kreissägen, Sauerstofflanzen oder Diamantbohrern durchgeführt. „Während die Bankkarten den Dieben Zugang zum Bankkonto des Kunden geben, sind Geldautomaten für Kriminelle besonders interessant, da sie Banknoten enthalten", erklärt Andrea Pirotti, geschäftsführender Direktor der ENISA. „Es ist zu erwarten, dass Geldautomaten in der Zukunft sogar noch attraktiver werden. Denn die neueste Generation der Geldautomaten ist so konstruiert, dass sie auch andere Dienstleistungen und Produkte, wie das Aufladen von Mobiltelefonen, den Verkauf von Briefmarken und das Aufladen der Geldkarte, anbieten.


Einige Täter leiten eine explosive Gasmischung in den Tresor des Geldautomaten mithilfe eines Schlauches ein. Dieses Gas wird ferngezündet, und der Automat wird gewaltsam durch eine Explosion geöffnet. Eine wirksame Gegenmaßnahme sind Gas-Sensoren. Dann wird stiller Alarm ausgelöst und/oder das Geld mit Farbe unbrauchbar gemacht. Eine weitere Gegenmaßnahme ist das Einfüllen von Montageschaum in Hohlräume des Automaten, sodass die Explosionswirkung spürbar gedämpft wird. In Kombination mit einfärbenden Geldkassetten werden Gittertüren im Safe eingebaut, die dafür sorgen, dass nach der Sprengung herumfliegendes Geld aufgefangen und eingefärbt wird.
Gegen Geldautomatenkriminalität kann in erster Linie mit einem erhöhten Bewusstsein für Risiken vorgegangen werden. Wenn dieses vorhanden ist, können Kunden einfache Vorsichtsmaßnahmen treffen. Beispielsweise indem sie ihre PIN bei der Eingabe abdecken oder wachsam sind, um eventuell manipulierte Geldautomaten oder ungewöhnliche Aktivitäten wahr­zunehmen. Informationssicherheit hat sich zu lange nur auf technische Lösungen zur Maximierung des Schutzes beschränkt", führt Pirotti weiter aus. „Bei den meisten Geldautomatenverbrechen wird der menschliche Faktor ausgenutzt. Karteninhaber müssen sich der Risiken, denen sie ausgesetzt sind, bewusster werden. Darüber hinaus sollten sie wissen, wie sie den Betrug verhindern können."

Wichtige Regeln
Bei der Auswahl des Geldautomaten
ist zu beachten

  • Benutzen Sie keine Geldautomaten, die mit spezieller Beschilderung oder ­Warnungen ausgezeichnet sind
  • Versuchen Sie, Geldautomaten in Banken zu benutzen
  • Benutzen Sie keine freistehenden ­Geldautomaten
  • Benutzen Sie nach Möglichkeit GAA, die Sie kennen

Im Umfeld des Automaten ist folgendes wichtig

  • Benutzen Sie nur einen Geldautomaten, der gut sichtbar und ausgeleuchtet ist
  • Seien Sie wachsam bei Fremden in der Nähe
  • Stellen Sie sicher, dass diese sich in aus­reichender Distanz befinden

 

Bei der Durchführung der Transaktion ist von Bedeutung

  • Sehen Sie sich die Front des Automaten ­genau an
  • Suchen Sie nach Anzeichen von ­Manipulationen
  • Bei einem fettigen Tastaturfeld sollte der Kunde erst gar nicht die Karte einführen, es könnte sein, dass Betrüger Öl auf die ­Tasten geträufelt haben. Mit dieser sog. Tröpfchenmethode können die Täter nach dem Abheben sehen, welche Tasten gedrückt wurden, und den Pin erraten.
  • Sehen Sie sich das Kartenlesegerät genau an und suchen Sie nach Zeichen von hin­zugefügten Geräten

Weiterhin ist Aufmerksamkeit angebracht

  • Suchen Sie nach Auffälligkeiten am PIN-Pad des Geldautomaten
  • Sehen Sie nach, ob zusätzliche Kameras ­angebracht sind
  • Schützen Sie Ihre PIN, in dem Sie nahe am Geldautomaten stehen und das Eingabefeld abdecken
  • Melden Sie eingezogene Karten sofort
  • Seien Sie vorsichtig bei Geldautomaten, die kein Bargeld ausgeben oder nicht von Banken aufgestellt wurden
  • Überprüfen Sie regelmäßig Ihre Konto­auszüge und melden Sie Auffälligkeiten ­sofort Ihrer Bank

 


Wer füttert die Geräte?
Ein Großteil der Bankautomaten werden heute schon nicht mehr von den Bediensteten der Banken und Sparkassen aufgefüllt, sondern werden durch erfahrene Sicherheitsdienstleister betreut. Hier sind die Sicherheitsstandards von Geldtransporten anzulegen. Dazu sagte Dr. Hans Georg Fabritius, Mitglied des Vorstands der Deutschen Bundesbank, bei einem Vortrag zum Thema „Bargeldhandling im Umbruch", dass tatsächlich der Markt für Dienstleistungen rund um das Bargeld vor großen Veränderungen steht. Dazu zählen im Besonderen auch gesetzliche Rahmenbedingungen, die großen Einfluss auf diese Branche haben. Das Zahlungsdienstaufsichtsgesetz (ZAG) führe dazu, dass künftig jeder Geldtransporteur entscheiden muss, ob er die Rechtsform eines Zahlungsinstitutes für sein Unternehmen wählen will, wenn er in das aktuell diskutierte Cash-Recycling einsteigen will. Alle im Bargeldkreislauf Beteiligten werden künftig unterscheiden zwischen den nichtlizenzierten Unternehmen einerseits und den lizenzierten Dienstleistern andererseits. Letztere, also die lizenzierten Wertdienstleister, benötigen für die Ausübung ihrer Tätigkeit Verrechnungskonten bei einer Bank. Da eine netzübergreifende Clearingfunktion nur durch die Bundesbank als neutrale Stelle wahrgenommen werden kann, erwägt die Bundesbank, entsprechende Konten anzubieten. Für diejenigen Unternehmen, die keine Zulassung erhalten, bleibt nach wie vor die Kooperation mit Kreditinstituten, um als „Outsourcing-Partner" am Recycling teilnehmen zu können. Alle anderen müssen sich auf den Transport und die sonstigen erlaubnisfreien Dienstleistungen rund um das Bargeld beschränken. Mit dem veröffentlichten „Merkblatt über die Erteilung einer Erlaubnis zum Erbringen von Zahlungsdiensten" wurden wichtige noch offenen Fragen geklärt. Die Werttransportunternehmen sollten sich daher zügig überlegen, mit welchem Geschäftsmodell sie künftig im Markt sein wollen.


Sichern und wachsam sein
Hundertprozentige Sicherheit gibt es nicht. Doch durch das richtige Aufstellen und Verankern der Geldautomaten und durch die Wachsamkeit der Verbraucher kann es gelingen, diese Kriminalitätsformen zu minimieren. Gegenmaßnahmen sind Videokameras, Alarmauslösung über Abreißsensoren, Alarmauslösung durch Körperschallmelder im Tresor, Einfärbung der Geldscheine bei Erschütterung sowie dickere Panzerung der Tresore. Der Aufstellort sollte z. B. so gewählt werden, dass das Rammen und Aus-der-Wand-Reißen mit Fahrzeugen weitgehend ausgeschlossen ist. Geldautomaten sollten nicht frei stehen, sondern fest mit dem Bauwerk verankert und gut beleuchtet sein. Einsame und wenig belebte Aufstellorte sind nicht empfehlenswert. Täter benutzen bei der Gewalt-Methode oft große Baufahrzeuge, Geländewagen, Seilwinden und Stahlseile. Auch das komplette Herauslösen aus der Mauerverankerung ist denkbar. Für die weitere Tatausführung und den Abtransport stehen, sofern eine Alarmauslösung erfolgt, nur wenige Minuten zur Verfügung. Schutz vor Skimming bieten neben Aufmerksamkeit auch Anti-Skimming-Module für Geldautomaten. Die Vorräume der Banken und andere Aufstellorte in Gebäuden sollten immer rund um die Uhr kameraüberwacht sein. Die ENISA forderte außerdem die europäischen Verbraucher zu erhöhter Wachsamkeit auf. Die EU-Agentur rät bspw., wann immer möglich, Geldautomaten in Bankgebäuden zu nutzen, und wenn möglich, einen Bogen um frei stehende Automaten zu machen.

Business Partner

Wiley-VCH Verlag GmbH & Co. KG

Boschstr. 12
69469 Weinheim
Deutschland

Kontakt zum Business Partner







Meist gelesen