So (un)sicher sind EC-Karten und Co.

2. August 2011, 10:59 Uhr

Wir haben unsere Leser gefragt, welche Themen zu kurz kommen. Ein häufiger Wunsch: Informationen über die Sicherheit von Kreditkarten, Geldautomaten und Onlinebanking. Teil 2 unserer Sommerloch-Serie. Von Christoph Fröhlich und Ralf Sander

Bezahlen mit Kreditkarte, am Automaten Geld holen, die Post zur Packstation schicken lassen, Bankgeschäfte online erledigen - Automaten und digitale Datenübertragung erleichtern uns den Alltag. Doch so praktisch die Technik auch ist, sie zieht Kriminelle an, die mit mehr oder weniger ausgefeilten Tricks an unser Geld oder unser Eigentum wollen. Lesermails haben gezeigt, wie groß die Unsicherheit bezüglich der Sicherheit von EC-Karten, Packstationen, Kreditkarten und anderen Systemen ist. stern.de erklärt, welche Gefahren drohen und wie Sie sich schützen können.

Zwei Begriffe tauchen schon seit langem immer wieder auf: Skimming und Phishing. Eine Erklärung dieser Phänomene finden Sie unten auf der Seite. Dort gibt es auch Tipps für Opfer.

Bankautomat

Vor jeder Benutzung sollte der Bankautomat genau untersucht werden: Sind am Kartenschlitz Risse oder Klebstoffreste zu sehen, könnte das Gerät manipuliert sein. Ein kurzes Rütteln kann Attrappen entlarven, die die Karte auslesen sollen. Auch das Tastenfeld kann Gefahren bergen: Häufig nutzen Datendiebe einen Aufsatz, der sich wie eine zweite Haut über das Original-Tastenfeld legt. Bei der Eingabe der PIN sollte die Tastatur unbedingt verdeckt werden.

Auch die Türöffner der Geldinstitute können manipuliert werden. Tipp: Zwei unterschiedliche Karten für das Lesegerät an der Eingangstür und den Bankautomaten verwenden.

Fahrkartenautomat

Datendiebe machen auch vor Fahrkartenautomaten der Deutschen Bahn nicht Halt. Wie beim Betrug am Geldautomaten - Skimming - werden die Daten der EC-Karte ausgelesen und die PIN-Eingabe mit einer Kamera aufgezeichnet. Allerdings ist die Zahl der betroffenen Automaten sehr gering. So erklärte die Deutsche Bahn, dass seit März dieses Jahres gerade einmal bei zehn ihrer mehr als 7000 Automaten Betrugsfälle aufgetreten sind.

Der Sicherheitstipp ist derselbe wie beim Geldautomaten: Decken Sie das Tastenfeld mit der Hand ab, wenn Sie die PIN eintippen. Und achten Sie auf Hinweise, ob der Automat manipuliert worden ist.

Tankstellenautomat

Moderne Tankstellen setzen auf Selbstbedienungs-Terminals, bei denen mit Karte gezahlt werden kann. Das ist praktisch, birgt aber ähnliche Skimming-Risiken wie Geld- und Fahrkartenautomaten. Auch hier sollten die PIN abdgeckt und das Gerät genau untersucht werden. Bisher gab es aber nur wenige Fälle von Tankstellenbetrug. Laut den Betreibern der Automaten sind die Sicherheitsvorkehrungen seit den Vorfällen noch einmal verstärkt worden.

Geldkarte

Die Geldkarte, eine Art digitale Geldbörse, funktioniert deutschlandweit an rund 600.000 Automaten. Sie ist sehr sicher, da die Daten im Gegensatz zur EC-Karte nicht auf einem Magnetstreifen, sondern auf einem Chip gespeichert werden. Beim Bezahlen ist keine Eingabe der PIN nötig. Das Geld wird direkt vom Chip abgebucht. Ist das Guthaben aufgebraucht, muss es erst am Automaten aufgeladen werden.

Aber: Verliert man die Geldkarte, ist auch das Geld weg - wie bei einer echten Geldbörse.

Supermarktkasse

Einkaufen ohne Bargeld: Gerade beim großen Wochenendeinkauf wird häufig mit der EC-Karte gezahlt. Doch auch an Supermarkt-Terminals ist es schon zu Betrugsfällen gekommen. Dabei ließen sich die Kriminellen nachts im Laden einschließen oder sind in die Filiale eingebrochen, um die Lesegeräte auszutauschen. Diese Anzahl dieser Fälle bewegt sich jedoch im einstelligen Bereich, eine Kartenzahlung im Supermarkt ist in der Regel ungefährlich.

Packstation

Die rund 2500 Packstationen der Deutschen Post DHL sind extrem praktisch - leider auch für Kriminelle. Jederzeit ist es möglich, an diesen Sammelstellen Paketsendungen abzuholen oder aufzugeben. Mithilfe gestohlener Zugangsdaten können Kriminelle nicht nur Pakete aus der Station klauen. Viel nützlicher ist das fremde Packstation-Konto, um sich Waren schicken zu lassen, die mit gestohlenen Kreditkartendaten erworben wurden. Denn als Empfänger tritt ein unbescholtener Bürger auf, und die Betrüger können außerdem die Pakete nachts unbeobachtet abholen. Insider der Hackerszene berichten, dass Packstation-Profile auf dem Schwarzmarkt inzwischen so viel Wert sind wie gestohlene Kreditkartendaten und Facebook-Profile.

Um an die Zugangsdaten - Kundennummer ("PostNummer") und PIN - zu gelangen, nutzen Onlinebetrüger Phishing. Deshalb hat DHL inzwischen die Sicherheit erhöht: Seit März ist es nicht mehr möglich, ein Paketfach nur mit Kundennummer und PIN zu öffnen, die Packstation-Karte ist zwingend nötig. Die Post sagt, der Missbrauch sei seitdem zurückgegangen. Allerdings ist es Hackern offenbar bereits gelungen, die DHL-Goldcard zu fälschen. Dennoch: Zumindest Kleinkriminelle werden durch das neue Verfahren abgeschreckt.

Sicherheitstipp: die Packstation-PIN niemals auf irgendwelchen Webseiten eingeben. Der einzige Ort, wo die Persönliche Identifikationsnummer benötigt wird, ist an der Packstation.

Kreditkarte

Seit 2011 sind alle deutschen Kreditkarten mit einem Chip ausgestattet, der sich im Gegensatz zum Magnetstreifen - den es auch immer noch gibt - nicht von Unbefugten auslesen lässt. Außerdem ist der Chip mit der Eingabe einer PIN verbunden, wie bei der EC-Karte. Das macht das Bezahlen an Automaten oder Kassen sicherer. Allerdings sind längst nicht alle Lesegeräte auf der Welt umgerüstet worden, viele setzen immer noch auf den Magnetstreifen und die Unterschrift des Kunden.

Um online einzukaufen, benötigt man keine physisch vorliegende Kreditkarte. Kartennummer, Gültigkeitsdauer und der dreistellige Sicherheitscode auf der Rückseite der Karte reichen aus. Kriminelle gelangen an diese Informationen durch Kartendiebstahl, Phishing oder das Eindringen in schlecht gesicherte Datenbanken von Onlineshops und Unternehmen. Aus diesem Grund sollte man beim Bezahlen im Laden oder Restaurant die Kreditkarte möglichst nicht aus den Augen lassen. Nicht, dass jemand die wichtigen Zahlen auf beiden Seiten der Karte einfach abschreibt.

Um den Einsatz von Kreditkarten beim Onlineshopping sicherer zu machen, gibt es seit vergangenem Jahr "3-D Secure". Bei den beiden größten Kartenanbietern heißt das System "Verified by Visa" oder "Mastercard Secure Code". Es funktioniert so: Beim Bezahlen in einem Onlineshop wird in einem Popup-Fenster ein zusätzliches Passwort abgefragt, das der Nutzer zuvor selbst beim Kreditkartenunternehmen festgelegt hat. Allerdings nehmen noch längst nicht alle Onlineshops an diesem Verfahren teil. 3-D Secure macht das Bezahlen mit Kreditkarte zwar im Prinzip sicherer, dennoch kritisieren Experten die Umsetzung. Durch Phishing und Trojaner könnten Kriminelle auch diese Passwörter abfangen, heißt es. Vorsicht ist also immer angesagt.

Onlinebanking

Laut IT-Branchenverband Bitkom nutzen 43 Prozent aller Bundesbürger zwischen 16 und 74 Jahren Onlinebanking für ihre Bankgeschäfte. Es ist ja auch sehr praktisch. Mit dem Erfolg steigt aber auch die Zahl der Verbrechen im Zusammenhang mit Onlinebanking. Die Polizeiliche Kriminalstatistik meldet für 2010 5331 Fälle und einen Anstieg von 82 Prozent im Vergleich zum Vorjahr. Dabei geht das BKA sogar davon aus, dass nur rund 40 Prozent der Fälle überhaupt bekannt werden.

In den meisten Fällen spähen Kriminelle die Zugangsdaten aus. Die Methoden sind vielfältig und reichen von Phishing über Spionagesoftware auf dem Computer bis zum Abfangen und Manipulieren von Datenübertragungen an die Bank.

Wer Onlinebanking nutzt, sollte es den Betrügern so schwer wie möglich machen. Grundsätzlich gilt: Keine Links in E-Mails anklicken und dann Daten eingeben. Tippen Sie die URL der Onlinebanking-Seite per Hand ein oder nutzen einen Favoriteneintrag im Browser, den sie selbst angelegt haben. Außerdem: In Internetcafés, Hotellobbys und an anderen öffentlich zugänglichen Computer ist Onlinebanking tabu. (Hier sind mehr Tipps zum sicheren Onlinegehen im Urlaub.) Und achten Sie darauf, dass die Datenübertragung beim Onlinebanking verschlüsselt wird. Das erkennen Sie an einem Schlosssymbol im Browser und an den Buchstaben https:// in der URL.

Wichtig ist außerdem, die aktuellen Sicherheitsverfahren fürs Onlinebanking zu nutzen, wenn die Bank die Möglichkeit dazu bietet. Wer sich mit PIN und TAN authentifiziert, sollte versuchen, auf mTAN oder ChipTAN zu setzen. TAN-Listen auf Papier sind lange überholt, und auch das Nachfolgeverfahren iTAN ist bereits geknackt worden.

Beim mTAN-Verfahren schickt die Bank eine nur wenige Minuten gültige Transaktionsnummer per SMS aufs Handy, die der Nutzer dann am Computer eintippt. Dieses Verfahren gibt es nicht für Banking mit dem Smartphone, denn seine Stärke liegt darin, dass die TAN auf einem anderen Kommunikationsweg übertragen wird als die Überweisung.

Für ChipTAN benötigt man ein rund zehn Euro teures Lesegerät, in das man seine Bankkarte steckt. Das Gerät errechnet eine ebenfalls nur wenige Minuten gültige TAN, die der Nutzer eingeben muss. Viele Banken bieten mehrere Alternativen des PIN/TAN-Verfahrens an, fragen lohnt sich also. Als eine der sichersten Varianten gilt außerdem HBCI mit Chipkarte. Hierfür wird ein sogenannter Secoder-Kartenleser benötigt, der an den PC angeschlossen wird und mindestens 50 Euro kostet.

Begriffserklärung: Skimming

"Skimming" nennt sich das heimliche Ausspähen von Kartendaten. Dabei werden Automaten mit speziellen Lesegeräten manipuliert, die den Magnetstreifen der Kundenkarte auslesen. Um Geld abzuheben, benötigen die Diebesbanden noch die passende PIN, die Geheimzahl. Um die zu "klauen", montieren sie Kameras oder Tastatur-Attrappen an den Automaten. Mit gefälschten Karten heben die Banden das Geld meist im Ausland ab, da deutsche Geräte gegen Karten-Kopien gesichert sind.

Begriffserklärung: Phishing

Obwohl es schon seit Jahren bekannt ist, setzen viele Kriminelle immer noch auf das sogenannte Phishing. Dabei gaukeln die Täter dem Opfer zum Beispiel vor, dass es sich auf der Homepage seiner Bank oder in einem seriösen Onlineshop befindet. Wenn er dann Benutzernamen und Passwort, vollständige Kreditkartendaten oder Kontodaten inklusive PIN und TAN eingibt, gelangen diese in die Hände der Gauner. Die Betrüger bekommen mit diesen Daten Zugriff auf die Konten des Opfers, können auf seine Rechnung Waren bestellen oder die gestohlenen Daten einfach weiterverkaufen. Um ihre Opfer auf die häufig echten Fälschungen bekannter Webseiten zu locken, werden Links meistens per E-Mail, aber auch über soziale Netzwerke und Twitter verschickt.

Allgemeine Hinweise für Opfer

Um sicherzugehen, dass sich niemand Zugriff auf das eigene Konto verschafft hat, sollten regelmäßig die Kontoauszüge überprüft werden. Unbekannte Abbuchungen unbedingt der Bank melden! Wichtig: Die Karte sofort sperren lassen. Während der Geschäftszeiten sollte unverzüglich die ausgebende Bank oder Sparkasse angerufen werden. Rund um die Uhr sind die kostenpflichtige zentrale Sperrnummer 01805-021021 oder die gebührenfreie Nummer 116116 zu erreichen. Bei Kreditkarten ist der jeweilige Anbieter zuständig, also etwa MasterCard oder Visa. Ist eine Karte gestohlen wurden, sollte der Diebstahl zudem bei der Polizei angezeigt werden.

MEHR ZUM THEMA
Vergleichsrechner
Finden Sie den günstigsten DSL-Tarif Finden Sie den günstigsten DSL-Tarif Unser kostenloser DSL-Vergleich zeigt Ihnen die DSL-Tarife, die am besten zu Ihnen passen. Zum Tarifvergleich
 
Noch Fragen?

Neue Fragen aus der Wissenscommunity


 
 
stern - jetzt im Handel
stern (18/2014)
Die vegane Versuchung