wechselnd bewölkt
DE | FR
burger
Digital
Schweiz

Neue Gefahr für Bank- und Kreditkarten-Nutzer: Das musst du über Deep Insert Skimming wissen

Kein verdächtig wackelnder Aufsatz, doch der Bankomat könnte trotzdem präpariert sein. 
Kein verdächtig wackelnder Aufsatz, doch der Bankomat könnte trotzdem präpariert sein. bild: shutterstock

Neue Gefahr für Bank- und Kreditkarten-Nutzer: Das musst du über Deep Insert Skimming wissen

Die Schweiz ist von raffinierten Skimming-Angriffen betroffen. Die neuste Generation von Bankomat-Wanzen ist dünn wie ein Rasiermesser und darum kaum zu erkennen. Und auch die Haftungsfrage scheint nicht geklärt.
11.05.2016, 14:2712.05.2016, 09:27
Daniel Schurter
Daniel Schurter
Daniel Schurter
Folge mir
Mehr «Digital»

Nicht nur die Smartphones werden immer dünner, sondern auch die Hardware von Kriminellen. Schweizer Unternehmen und ihre Kunden, die Geld vom Bankomaten beziehen oder mit der Karte am Automaten bezahlen, sehen sich mit einer neuen Gefahr konfrontiert. Im Schlitz, in den die Debitkarte oder Kreditkarte eingeführt wird, könnte ein ultradünner Scanner verborgen sein.

Das heimliche Auslesen der auf dem Magnetstreifen gespeicherten Kundendaten – kombiniert mit dem Erfassen des PIN-Codes – bezeichnen Fachleute als Skimming.

Der amerikanische IT-Sicherheitsexperte und Blogger Brian Krebs berichtet in einem aktuellen Beitrag über die kaum auffindbaren Bankomat-Wanzen. Er beruft sich auf ein Schreiben des international tätigen Geldautomaten-Herstellers NCR, das an Finanzinstitute ging sowie auf eigene Recherchen.

Hier sind die wichtigsten Fragen und Antworten:

Wie funktioniert die Angriffsmethode?

Neu ist die Angriffsmethode nicht. Doch werden die Kriminellen dank Miniaturisierung wieder erfolgreicher, nachdem es 2014 noch geheissen hatte, Skimming sei im Rückgang.

Fachleute sprechen nun von Deep Insert Skimming.

«Kriminelle schieben die aus einem dünnen Metallblättchen, Lesegerät und Speicherchip sowie dünner Batterie bestehenden Geräte direkt in den Kartenschlitz, wo sie die Kartendaten aufzeichnen. In Kombination mit einer versteckten Kamera, die bei der Bankomat-Nutzung den PIN-Code abgreift, bekommen sie so alles, was sie zum Beheben (sic!) von fremden Konten brauchen.»
quelle: heise.de
Sichergestellte Bankomat-Wanzen mit flacher Batterie und Mini-Kamera. Neuere Modelle sollen noch raffinierter konstruiert sein.
Sichergestellte Bankomat-Wanzen mit flacher Batterie und Mini-Kamera. Neuere Modelle sollen noch raffinierter konstruiert sein.bild: krebsonsecurity.com

Wie können sich Bankomat-Nutzer schützen?

Da die Wanzen kaum von blossem Auge zu erkennen sind, wird das Abschirmen der PIN-Code-Eingabe (mit der Hand oder einem Gegenstand) noch wichtiger. Denn nur wenn auch der PIN-Code ergaunert wird, können die Kriminellen später mit den heimlich gescannten Kundendaten Geld abheben.

Das Problem bei den neusten Skimming-Angriffen: Es könnte sein, dass die Kamera sehr nahe bei der Tastatur versteckt ist, was wiederum das Risiko erhöht, ausgespäht zu werden. Gemäss dem NCR-Sicherheitsexperten Charlie Harrow fand man bei manipulierten Geldautomaten zwar ein ultradünnes, in den Schlitz eingeführtes Lesegerät, aber keine Kamera.

Ich dachte, europäische Karten seien sicher?

Europäische Bankkarten – Kreditkarten und Maestro-Karten – sind mit einem integrierten Mikrochip (EMV-Spezifikation) geschützt. Dieser Chip bietet gegenüber dem noch immer vorkommenden Magnetstreifen massive Sicherheitsvorteile. Weil die Daten verschlüsselt gespeichert sind, wird das Kopieren der Karte praktisch verunmöglicht.

Da aber in den USA und weiteren Ländern im asiatisch-pazifischen Raum immer noch Geldautomaten oder Kassen-Terminals auf die Magnetstreifen zugreifen, versuchen die Kriminellen dort ihr Glück. Sprich: Sie verkaufen die gestohlenen Kundendaten an Kollegen in «unsicheren» Ländern. Diese fabrizieren dann gefälschte Bankomat-Karten und versuchen damit, bei alten Automaten Geld abzuheben.

«Während Kartentransaktionen in Europa über den kopiersicheren EMV-Chip abgewickelt werden, ist der Magnetstreifen für internationalen Einsatz der Karte unabdingbar. Er ist und bleibt damit der Schwachpunkt auf der Karte. Solange Länder wie USA oder Russland die Chiptechnologie noch nicht anwenden bzw. auf den Magnetstreifen nicht verzichtet werden kann, wird es weiterhin Skimming-Versuche geben.»
quelle: six payment services

Umso wichtiger wird darum das so genannte Geo-Blocking. Das ist ein Schutzmechanismus, der hierzulande von Six Payment Services vorangetrieben wird. Konkret geht es darum, Bezüge in fremden Ländern im Vornherein zu verunmöglichen.

«Dabei kann die Bank im Auftrag des Karteninhabers den Einsatzbereich jeder einzelnen Karte auf seine Reise- und Nutzungsgewohnheiten abstimmen und die Bezugsmöglichkeit individuell geografisch einschränken. Beispielsweise kann eine Karte für eher unsichere Regionen wie Nord- und Südamerika, Asien oder Afrika gesperrt werden. Für einen Urlaub in diese Regionen kann das Geoblocking vorübergehend aufgehoben werden. Damit wird die Nutzbarkeit der Datensätze nach einer eventuellen Skimming-Attacke deutlich herabgesetzt.»
quelle: six payment services

Der an sich praktische Schutz hat seine Tücken: Bei SRF Online gab es schon 2014 einen Bericht über Maestro-Karten, die wegen Geo-Blocking im Ausland nicht funktionierten.

Wie schlimm ist die Situation in der Schweiz?

Über konkrete Fälle, respektive Opfer, ist nichts bekannt. Auf der Anti-Skimming-Website der Polizei steht dazu nichts.

Laut Brian Krebs sind grundsätzlich alle Hersteller von Geldautomaten betroffen, darunter Unternehmen in der Schweiz, aber auch in folgenden Ländern:

  • Bulgarien
  • Griechenland
  • Grossbritannien
  • Irland
  • Italien
  • Schweden
  • Türkei
  • USA

Sind auch Geldautomaten der Post betroffen?

Davon ist auszugehen.

Postfinance-Mediensprecher Johannes Möri schreibt uns, zu Angriffen auf Schweizer Geldautomaten gebe man keine Zahlen bekannt und mache aus sicherheitstechnischen Überlegungen auch keine Angaben zu den Abwehrmassnahmen.

Skimming sei kein neues Phänomen sondern trete ähnlich wie andere Betrugsmuster in regelmässigen Abständen immer wieder auf. «Entsprechend sind wir uns dieser Thematik bewusst – auch in Bezug auf Deep Insert Skimmer.»

«Wir empfehlen unseren Kunden Geoblocking zu aktivieren. Mit diesem Service kann der Bargeldbezug im Ausland mit der PostFinance Card geografisch eingeschränkt werden. Damit wird ein wirksamer Schutz vor Skimming, respektive dem missbräuchlichen Einsatz der Kartendaten erreicht.»
Postfinance-Sprecher Johannes Möri

Weiter ruft der Postfinance-Sprecher folgende allgemeine Vorsichtsmassnahmen in Erinnerung:

  • Kontrollieren Sie in kurzen, regelmässigen Abständen Ihre Kontobewegungen und nehmen Sie bei Unklarheiten sofort mit dem Kundendienst von PostFinance Kontakt auf.
  • Schauen Sie den Geldautomaten/das Terminal genau an. Wenn Ihnen etwas verdächtig vorkommt (zum Beispiel ein wackeliger Aufsatz), benutzen Sie das Gerät nicht und melden Sie Beobachtungen dem Betreiber oder der Polizei (ausserhalb der Öffnungszeiten).
  • Geben Sie Ihre PIN verdeckt ein und bestehen Sie dabei auf Privatsphäre. Lassen Sie sich während des gesamten Vorgangs nicht über die Schultern schauen oder ablenken.
  • Lassen Sie sich von niemandem helfen.
  • Falls Ihre Karte unvermittelt vom Geldautomaten/Terminal eingezogen wird, lassen Sie die Karte sofort sperren und kontaktieren Sie Ihr Finanzinstitut.

Weitere Informationen rund um die Sicherheit von Karten finde man unter www.card-security.ch.

Sind denn die Automaten nicht geschützt? 

Laut Brian Krebs bringen die bisherigen Anti-Skimming-Massnahmen nichts. Die ultradünnen, im Schlitz verborgenen Lesegeräte würden nicht erkannt. Ausserdem verfehlten in die Geldautomaten eingebaute Störsender ihren Zweck, wenn die Wanzen die abgefangenen Informationen nicht via Funk übermitteln, sondern direkt auf einem Chip speichern.

Trotzdem besteht Aussicht auf Besserung: Der Bankomat-Hersteller NCR testet gemäss eigenen Angaben ein Firmware-Update. Die Bankomaten-Software soll damit in der Lage sein, das eingeführte Spionage-Tool zu erkennen.

Grundsätzlich gilt: Bei Geldautomaten, die in gesicherten Räumen stehen und mit Videokameras überwacht werden, dürfte das Skimming-Risiko kleiner sein. Die Gauner dürften die Bankomat-Wanzen eher an kaum kontrollierten Standorten und zum Beispiel bei Billettautomaten einsetzen.

Wer haftet?

Das scheint eine schwierige Frage zu sein...

«Die Frage der Haftung nach einem Kartendelikt kann nicht allgemeingültig beantwortet werden. In der Regel hängt die Haftung von der Art des Vorfalls, dem eigenen Verhalten bzw. Verschulden und dem Kartenvertrag ab. Fest steht grundsätzlich, dass jeder für seine Karte selber verantwortlich ist. Liegt eine Verletzung der Sorgfaltspflicht vor, haftet man in den meisten Fällen selber.»
quelle: stop-skimming.ch

An Geldautomaten lässt sich auch mit Mastercard, Visa oder einer anderen Kreditkarte Geld abheben. watson hat beim Kreditkarten-Aussteller Swisscard nachgefragt, ob Kunden die Sorgfaltspflicht verletzen, wenn sie am Geldautomaten die PIN-Abgabe nicht abschirmen. Die nicht restlos beruhigende Antwort von Mediensprecher Urs Knapp:

Grundsätzlich ist der Kunde für den Schutz seines PIN-Codes vor Ausspähen verantwortlich. Im konkreten Schadenfall muss abgeklärt werden, ob eine Sorgfaltsverletzung vorliegt oder nicht.

Das deutsche Fernsehen berichtete Anfang Jahr über Skimming. Damals war die neue Methode noch nicht bekannt, es gab aber raffinierte Attrappen...

YouTube/marktcheck

Hol dir jetzt die beste News-App der Schweiz!

  • watson: 4,5 von 5 Sternchen im App-Store ☺
  • Tages-Anzeiger: 3,5 von 5 Sternchen
  • Blick: 3 von 5 Sternchen
  • 20 Minuten: 3 von 5 Sternchen

Du willst nur das Beste? Voilà:

Das könnte dich auch interessieren:

Analyse
Warum wir Trump noch nicht abschreiben sollten
48
13 Grafiken zum Klimawandel, die jeder kennen sollte
115
Wie gut ist dein Allgemeinwissen? Erkenne die Google-Suchanfrage im Quiz
29
Emma Amour
Liebe Grüsse aus der Pärli-Hölle!
195
Stell dir vor, die Welt hätte nur 100 Einwohner. Das wären ihre Bewohner
73
Anita* nahm dank Ozempic 20 Kilo ab – doch die Spritze birgt Gefahren
114
Picdump #10 – Achtung: Hier gibt es wirklich nur Memes!
171
Review
Traumjob Stuntfrau: Wenn Mama grün und blau geprügelt von der Arbeit kommt
1
«Fritz the Cat» – So eroberte der sexbesessene Kater die Leinwand
10
Rauszeit
Hier steht der (vermutlich) grösste Wegweiser der Schweiz
39
Alle Storys anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Themen
Das könnte dich auch noch interessieren:
28 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Tepesch
11.05.2016 14:37registriert Oktober 2015
Eigentlich wäre es praktisch, wenn man immer eine Karte mit und eine ohne Magnetstreifen erhalten würde. So könnte man standardmässig immer die ohne verwenden, hätte im Notfall aber noch die andere.
641
Melden
Zum Kommentar
avatar
Madison Pierce
11.05.2016 14:58registriert September 2015
Kann jemand bestätigen, dass die Bancomaten bei uns nur den Chip lesen und keinen Fehler bringen, wenn kein Magnetstreifen drauf ist?

Wollte eigentlich schon lange den Magnetstreifen abkratzen, aber hab mich noch nicht getraut.
251
Melden
Zum Kommentar
avatar
TheBean
11.05.2016 16:15registriert Februar 2016
Bestellt euch eine V PAY. Ist vom Prinzip das gleiche wie eine Maestro-Karte, allerdings wird der Magnetstreifen nicht mehr benötigt.

Führt im Ausland zu Problemen, da die Terminals oft nur den Magnetstreifen erkennen. Europaweit funktionierts aber bestens.
211
Melden
Zum Kommentar
28
Meistgelesen
1
«Wenn das ein Experiment wäre, hätte ich zuerst an einen Messfehler geglaubt»
2
Neuer Dienstag, neue Fails! Hier gibt es alles für lustige Laune
3
«Du bist so dick, ich muss in den Thurgau kehren gehen, damit ich an dir vorbeikomme»
4
Zürcher Böögg-Verbrennung abgesagt – er soll nun in Appenzell Ausserrhoden brennen
5
Badran wütend über Wohnungspolitik: «Habe noch nie eine solche Schweinerei erlebt»
Meistkommentiert
1
Picdump 85 – und du bist mit deinen Memes ein Teil davon!
2
Schwuler Lehrer musste Primarschule in Pfäffikon ZH verlassen – die Chronologie
3
Shrinkflation – die versteckte Preiserhöhung der Detailhändler
4
Koch packt aus: «Keiner meiner Freunde aus der Berufsschule arbeitet noch auf dem Beruf»
5
Zürcher Kronenhalle steht nach «SRF Dok» in der Kritik – jetzt wehrt sich der Küchenchef
Meistgeteilt
1
Für Gretzkys Abschied wird sogar die kanadische Nationalhymne umgetextet
2
Der «Pink Moon» im April: 13 spannende Fakten zum Vollmond
3
«Experte» Micah Richards macht beim Tippen einen auf Schalke: 0/4
4
Buemi fliegen bei voller Fahrt plötzlich beide Vorderräder um die Ohren
5
Hüsler feiert Überraschungssieg +++ Schwere EM-Gegnerinnen für Handball-Nati
Homophobe Aussagen: Rechtsextremer Autor rechtskräftig verurteilt

Das Bundesgericht hat die Verurteilung des rechtsextremen Autors Alain Soral wegen Diskriminierung und Aufruf zu Hass bestätigt. Der in Lausanne VD lebende Franzose äusserte sich 2021 in einem im Internet veröffentlichten Interview herablassend über die sexuelle Orientierung einer Journalistin und über Homosexuelle im Allgemeinen.

Zur Story