Diskussion Betrug an Geldautomaten (Skimming) - tun die Banken zu wenig?

Supernature

Und jetzt?
Teammitglied
Tun die deutschen Geldinstitute zu wenig, um ihre Kunden vor Betrug an manipulierten Geldautomaten zu schützen?
Der Sachverständigen-Bundesverband BVS ist dieser Auffassung.
Statt auf moderne Technik aufzurüsten, würden die Banken im Zweifel lieber den betrogenen Kunden ihren Schaden ersetzen. So würde letztlich die Gemeinschaft aller Kunden den Betrug quasi aktiv finanzieren.
Mehr Sicherheit verspricht der EMV-Standard, welcher vorsieht, dass Scheck- und Kreditkarten mit einem Chip statt mit einem Magnetstreifen ausgestattet sind.
Er hatte allerdings einen schlechten Start - zum Jahreswechsel 2010 funktionierten viele Karten, die mit genau einem solchen Chip ausgestattet sind, wegen eines Softwarefehlers nicht mehr.

Aber das wird ohnehin nur ein weiterer Zwischensprint in einem ewigen Wettrennen zwischen den Sicherheitsingenieuren und den Kriminellen sein.

Grundsätzlich gilt nach wie vor, bei Geldautomaten auf verdächtig aussehende Komponenten zu achten, die nachträglich installiert worden sein könnten.
Wobei ich mich damit auch sehr schwer tue - beim Automaten meiner Hausbank würde ich das bestimmt feststellen, wenn der plötzlich ganz anders aussieht, aber die Automaten sehen doch sowieso überall anders aus - gefühlt sind das alles Einzelstücke ;).



Links zum Thema:
EDV-Sachverständige rügen Banken für lasches Vorgehen gegen Skimming - Security | News | ZDNet.de
EMV (Kartenzahlungsverkehr) ? Wikipedia
 
Das Problem mit den Karten ohne Magnetstreifen ist ja folgendes: Da müssen alle mitspielen! Damit meine ich nicht nur die deutschen Geldinstitute. In einigen anderen Ländern ist es es durchaus üblich, dass die Automaten den Chip nicht auslesen können, da die Automaten nur auf Magnetstreifen ausgelegt sind (Das trifft zugegebener Massen weniger auf die Industriestaaten zu, jedoch auf einige andere Länder, vor allem in ländlicheren Gegenden.). Da wird sich der ein oder Andere im nächsten Urlaub freuen.
Und in vielen Geschäften - egal ob Deutschland oder Ausland - ist es durchaus üblich, das die Lesegeräte nur Magnetstreifen auslesen. Das sehe ich doch sehr häufig.

Selbstverständlich bin ich für einen höheren Sicherheitsstandard und ich würde den Wegfall des Magnetstreifens begrüßen, es sollte aber allen klar sein, dass das ein Projekt über mehrere Jahre ist und nicht kurzfristig umgesetzt werden kann.
 
Hier in Oberhausen wurden am Wochenende fünf Automaten der Deutschen Bank manipuliert.(n)

Montag habe ich noch Geld abgeholt. Bis gerade eben wurde mein Konto nicht geplündert. Glück gehabt! (y)
 
Als ich mal bei einer Filiale der Santander Bank Geld abholen wollte wurde ich von einem Polizisten aufgehalten. Sein Kollege war gerade dabei, eine Kamera aus einer Lampe nahe dem Automaten zu entfernen. Zum Glück waren die Herren vor mir da, ich will mir gar nicht das finanzielle Fiasko vorstellen, das mir hätte passieren können.
 
Wer das Bedienfeld ordentlich zumacht, zB mit der Hand oder dem Geldbeutel, und nochdazu lernt, auf diesen Tasten blind die 4-8 Zahlen einzutippen, ist schon ziemlich gut geschützt. Denn wenn keine Kamera die PIN ablesen kann, ist auch der ausgelesene Magnetstreifen ziemlich zwecklos. Ausserdem immer mit sanftem Druck am Einschub rütteln und vorher draufgucken, ob nicht eine "zweite Haut" oder ein Überstülper sichtbar ist. Dazu gibts immer den Tipp, eine Hand am Einschub zu belassen, wenn die Karte ausgespuckt werden soll, damit diese gleich ertastet werden kann, auch wenn man plötzlich abgelenkt wird, zB wenn man angesprochen wird damit der Partner hinter einem die Karte rauszieht während man mit der hübschen Blonden spricht.

Man kann schon sehr viel selbst tun. Aber am wichtigsten ist und bleibt eben das völlige zudecken der Tastatur.
 
Ich finde es nur erstaunlich, dass es anscheinend trotz Kamera-Überwachung vieler Geldautomaten möglich ist, dort immer noch eine 2. Haut anzubringen bzw. eine Kamera über der Tastatur zu montieren. Das sollte eigentlich den Leuten auffallen, die die Sicherheitskameras überwachen.

Das ist aber wahrscheinlich genau wie es damals bei dem einen Experiment in der Münchner U-Bahn war:
Da haben sie 15 Minuten lang auf einer Person eingeprügelt und am Schluss noch auf die am Boden liegende Person eingetreten - direkt vor einer Sicherheitskamera.

Die Schwarzen Sherrifs kamen aber erst eine Halbe Stunde nachdem die Experimentatoren und ihr Opfer frustriert abgezogen sind. Wahrscheinlich kamen sie um nachzuschauen, ob der Boden mit Blut verunreinigt ist oder evtl. eine Delle vom Aufschlag des Opfers zurück geblieben ist - sie waren aber auf alle Fälle extrem vorsichtig, wahrscheinlich hatten sie Angst, dass da noch jemand da sein könnte ...

Was ich damit sagen will:
Die ganze Technik nützt überhaupt nichts, wenn nicht auch ab und zu oder mal ein echter 3D Mensch dort vorbei geht und das ganze in Augenschein nimmt und evtl. dran rüttelt.
 
Ich finde es nur erstaunlich, dass es anscheinend trotz Kamera-Überwachung vieler Geldautomaten möglich ist, dort immer noch eine 2. Haut anzubringen bzw. eine Kamera über der Tastatur zu montieren. Das sollte eigentlich den Leuten auffallen, die die Sicherheitskameras überwachen.

Soweit ich mich erinnere werden die Kameras in Banken nicht zur aktiven Überwachung genutzt (mein löchriges Gedächtnis glaubt da eine Assoziation mit "rechtliche Bedenken" herstellen zu können, bin mir aber nicht sicher), sondern lediglich zur Aufklärung - passiert nichts schaut sich auch niemand die Aufzeichnungen an und sie werden nach einiger Zeit gelöscht.
 
OK, aber dann könnten sie sie aber ein klein wenig "intelligenter" machen. Pixelgenaue Bildvergleiche schafft selbst die popeligste Hardware - also einfach folgendes: Wenn sich nichts auf dem Bild bewegt, also keine Person im Bild ist, einfach mal einen Vergleich mit einem Referenzbild machen. Sollte da was nicht stimmen: Alarm schlagen!

Sollte doch wohl nicht so schwer sein....
 
Ja auch bei diesem Thema lautet ein weiteres Mal, dass man gar nicht vorsichtig genug sein kann. Wobei man ganz klar sagen muss, es kann selbst Freizeitparanoiker erwischen. Gerade wenn man sich mal die Bilder von Threepwoods (Geniale Adventures btw *g* ) Link anschaut, da sind schon einige verdammt gut gemachte Manipulationen dabei. Und genau da spricht Supernature auch was sehr wichtiges an: Jedes Institut hat bei seinen Bankautomaten ein eigenes Design. Nichts gegen Individualität, aber bei Automaten hätte ich genau aus diesem Grund absolut nichts gegen Einheitsbrei einzuwenden. Bei Geld hört der Spass bekanntlich auf!

Was den Chip angeht, dass geht mir persönlich viel zu langsam voran. Schon in den 1990er betrachtete ich den Magnetstreifen auf den Karten als eine elektronische Antiquität. Entwickelt wurde die Karte mit dem Magnetstreifen soweit ich weiss in den 1970er. Oder sogar noch früher? Egal, wir leben jetzt im Jahr 2010... Hallo? Jemand Zuhause?

Der Chip hat dagegen immense Vorteile bei der Sicherheit. Was viele nicht wissen, der besagte Chip ist nicht mit einem normalen Speicher wie z.B. dem eines USB-Sticks vergleichbar. Auf einem USB-Stick kann direkt auf die Speicherbereiche zugegriffen werden. Bei diesem Chip eben nicht. Tatsächlich ist dieser Chip kein simples Speichermedium sondern ein im Prinzip winziger Computer mit eigenem Prozessor, Hauptspeicher, Festspeicher, Betriebssystem, Programmen und Datenschnittstelle. Also schleppt so ziemlich jeder von uns einen winzigen Computer mit sich rum. :D Zumindest diejenigen, die Geldkarten-Funktion auf ihrer EC-Karte (korrekt: Maestro Karte) haben.

Ich vergleiche den Chip gerne mit einem sogenannten Panic-Room. Ein solcher kann nur von innen verschlossen und auch nur von innen geöffnet werden. Im Falle des Chips heisst das: Der Client, in unserem Fall der Bankautomat meldet z.B. beim Wunsch des Kunden seine Geldkarte aufzuladen, dem Chip eben genau diesen Vorgang. Dazu nimmt der Automat mittels eines speziellen Protokolls Kontakt mit dem Chip auf. Dieses Protokoll ist im Prinzip eine Kombination aus Verschlüsselung und digitaler Signatur, also beides Dinge aus der Welt der Kryptographie. Mit der Signatur weist sich der Bankautomat gegenüber dem Chip sozusagen aus. Und natürlich auch umgekehrt, auch der Chip muss sich ausweisen. Könnt ja sonst jeder kommen. Dann meldet der Chip wiederum zurück ob der gewünschte Vorgang in Ordnung geht oder eben nicht. usw. usf. Beide "Computer" tauschen also mehrfach Daten aus, bis der Vorgang abgeschlossen ist. In unserem Beispiel dann, wenn der Automat erfolgreich das Geld auf die Karte gebucht hat. Kurzum heisst das wenn man seine "Geldkarte" in den Automaten steckt nichts anderes, als den Winzcomputer mit Strom zu versorgen damit er seine Arbeit aufnehmen kann.

Das ist übrigens nur ein Anwendungsbeispiel unter vielen. Der Chip kann noch mehr. z.B. ist damit die Altersverifikation möglich, wofür dann wieder ein anderes Modul zuständig ist. So weit ich weiss kann dieser auch als elektronische Kinokarte oder als elektronisches Bus/Bahn-Ticket verwendet werden, sofern die entsprechenden Module vorhanden sind. Die profane Bezeichnung "Geld Chip" ist also nicht zutreffend und eig. eine Beleidigung für das kleine Wunderwerk. Das Geldkarten-Modul ist nur eines unter vielen.

Alleine bei diesen Beispielen dürfte schon klar sein, dass dieser Chip dem Magnetstreifen weit überlegen ist was Sicherheit und Flexibilität angeht.

Das mit dem Chip war stark vereinfacht dargestellt und ist nur das, was ich persönlich darüber weiss. Ich bin kein Kryptographie Experte (auch wenn ich mich mit dem Thema viel beschäftige) und auch kein Prozessorchipkarten Experte. Sollte also etwas nicht stimmen und es jemand genauer wissen, dann bitte korrigieren.
 
Zuletzt bearbeitet:
Wow Luke, schönes Posting.

Mit diesem Geldchip kann man auch direkt an der Kasse zahlen, wobei die Kasse aber auch anhand des eindeutigen Chips Listen füllen kann, was ich so alles gekauft habe. Und wenn der Zigarettenautomat auch eine Signatur hinterlässt, weiss das die Kasse, und kann dann gleich mal Zigarettenwerbung auf dem Monitor vor dem Kunden schalten. Genauso die Werbeflächen in der Ubahn, wo man schliesslich auch sein Ticket mit Geldchip gezahlt hat. Wobei ich da eher vermute, Reiseangebote projeziert zu bekommen, da nämlich der letzte Malle-Urlaub im Reisebüro ebenfalls mal eben ge-GeldChip-t wurde, warum auch nicht, ist ja so handlich und gleich erledigt. Wobei das Reisebüro rücksichtsvollerweise gleich mal Raucherzimmer im Hotel hervorgehoben hat. Allerdings könnte der nächste Thaiurlaub ein wenig spannender als sonst werden, da nämlich dankweltweiter Vernetzung die örtliche Polizei sowie Interpol wissen, dass bei KiK Stringtangas Grösse 108 gekauft wurden..

Klar, weit hergeholt, will aber damit nur vorsichtig andeuten, dass nicht alles Gold ist was glänzt, und zuviel elektronischer Hightech durchaus seine Schattenseiten haben kann, undnicht nur "sicherer" ist.

Wobei ich aber Supi's Eingangsfrage tatsächlich noch gar nicht beantwortet hab: ja, ich finde, die Banken tun da tatsächlich zu wenig. "Einheitsbrei" bei Geldautomaten, am besten mit einer kompakten "Ein Teil" Oberfläche und Touchscreen+Fingerabdruckscanner+8 stellige PIN wäre das Optimum, das ganze in einem Raum, in dem NICHTS als die Kamera der Bank hinter einer Glasscheibe ist. Quasi ein völlig leerer Raum für eine Person, mit komplett blanken Wänden, dazu ein eingelassener Touchscreen und zwei Schlitze: Karte rein und Geld raus.
 
Was die Anonymität bez. der Geldkarten-Funktion angeht: Prinzipiell richtig. Das ist natürlich wie bei jedem modernen System welches uns das Leben erleichtern soll; es kann prinzipiell auch "gegen uns" eingesetzt werden. Tatsächlich ist es so, dass der Anbieter/Händler selbst keine Möglichkeit hat nachträglich festzustellen, wer tatsächlich mit der Geldkarte bezahlt hat. Die besagte personalisierte Werbung ist also für den Händler bzw. seine elektronischen Werbemittel so nicht möglich. Auch die anderen Beispiele sind technisch gesehen für die Händler/Marketing-Profis usw. so gottseidank nicht möglich. Allerdings "könnten" Banken sehr wohl eine solche Verbindung zwischen Geldkarte und dem Besitzer herstellen. Nämlich dann, wenn der Chip auf einer EC-Karte implementiert ist. Also ganz simpel über das dazugehörige Giro-Konto. Tatsächlich ist es aber gesetzlich z.Z. so, dass diese technische Möglichkeit nicht genutzt werden darf. Technisch gesehen aber durchaus möglich. Ansonsten protokolliert der Chip standardmässig jede Buchung (Plus/Minus) mit Datum und Uhrzeit, das wars. Dieses Protokoll kann und darf auch jeder auslesen der einen PC mit Kartenleser besitzt. Es gibt auch praktische Mini-Kartenleser für die Hosentasche um jederzeit feststellen zu können, wieviel Geld noch auf der Karte ist. Ob man sich damit auch die Buchungsbewegungen anschauen kann weiss ich nicht. Ich besitze keinen solchen Pocket-Reader.

Fest steht, soweit ich weiss, dass der Chip selbst keine Informationen speichert wohin oder woher er Geld gebucht hat bzw. gebucht bekam. Auf der anderen Seite gibt es aber auch sogenannte "White Card" Versionen der Geldkarten. Das sind schlicht Karten nur mit dem Chip darauf ohne Verbindung zu einem Giro-Konto. Hier ist dann wirklich Anonymität gegeben und hier kann man dann tatsächlich von elektronischem Bargeld sprechen.

Was Deine Vorschläge bez. Verbesserung der Sicherheit an Bankautomaten betrifft, dem stimme ich mit Wonne vollends zu. Das wäre genau nach meinem Geschmack. Fängt schon beim Design an. Würden wirklich alle Automaten exakt das gleiche Design haben, wären Manipulationen alleine dadurch schon mal deutlich schwieriger und würden sehr viel schneller auffallen. Fingerabdruck-Scanner gelten allerdings als viel zu unsicher. Selbst High-Tech Scanner die z.B. den Puls messen, sind nicht wirklich sicher. Der Puls ist übrigens nur eines von mehreren Dingen die ein wirklich guter Scanner feststellen kann, es wird da auch mit Temperaturmessung gearbeitet. Auch hier liese sich dann so ganz nebenbei ein kleines Gesundheitsprofil des Besitzers erstellen, was dann wieder für die Krankenversicherungen interessant wäre. 'tschuldigung, der Freizeitparanoiker ging wieder mit mir durch. Wie auch immer, auch die aufwendigsten Scanner können mit genug krimineller Energie und Knowhow ausgehebelt werden. Trotzdem wäre das in Kombination mit Deinen anderen Vorschlägen ein riesen Fortschritt bez. Sicherheit.
 
Zuletzt bearbeitet:
Nachtrag: Ein einheitliches Design der Automaten birgt aber leider auch wieder ein neues Risiko: Die Betrüger könnten sich in Ruhe und mit Sorgfalt auf dieses Design konzentrieren. Als Ergebnis wären dann nach einiger Zeit perfekte Nachbildungen von Tastaturen usw. verfügbar. Und da lohnt sich der Aufwand dann mal richtig, da die entwickelten Attrappen schlicht überal eingesetzt werden könnten. Gegen das anbringen solcher Attrappen könnte dann wiederum nur noch eine lückenlose Überwachung helfen, was personell einfach für keine Bank zu machen ist. Hier könnte man dann wiederrum den Vorschlag von QuHno umsetzen bezüglich Referenzbilder der Automatenhardware usw. usf.

Ganz trivial ist das alles nicht. Wenn man sich Gegenmassnahmen überlegt, muss man wie ein Schachspieler vorgehen und sich überlegen wie darauf der Gegner antworten könnte. Ich glaube das hier war, ist und bleibt ein Wettrennen zwischen Hersteller und Betrüger wie auf jedem Gebiet. Fest steht nur eins, der Magnetstreifen hat definitiv ausgedient und gehört schleunigst vom Markt.
 
Klar, Datenschutzrechtlich evtl. bedenklich, Vandalismussicher erst recht nicht, aber ich persönlich würde Geldautomaten mit Fingerabdruckscanner begrüßen! Das würde Scamming gleich stark erschweren!
 
Fingerabdruckscanner sind sehr sicher.

Allerdings habe ich auch schon vor langer Zeit gehört, dass die ganz "Brutalen" einem die Fingerkuppe abschneiden, um an die Fingerabdrücke zu kommen.(n)

In den Momenten bin ich immer froh, dass ich nicht reich bin.
 
Es gibt jedoch Fingerabdruckscanner, die überprüfen können ob der Finger-Eigentümer noch lebt oder überhaupt "am Finger dran ist", durch Wärmeabgabe, Puls oder wasweißich. Da hilft das "Klauen des Fingers" wenig. So ist es auch unmöglich, künstliche Fingerabdrücke anzufertigen, denn modernere Scanner erkennen dann ob es Haut oder ein Kunststoff ist. Also sicherer wäre es allemal und unter der Voraussetzung, dass mein Fingerabdruck auch nur von meiner Bank genutzt wird würde ich dem sogar zustimmen.

Die meisten Skimmer machen es sich ja auch nur so leicht und unauffällig wie möglich. Plötzlich damit aufzufallen, indem man jemanden um seinen Finger bringt wäre höchst auffällig.
 
Es gibt jedoch Fingerabdruckscanner, die überprüfen können ob der Finger-Eigentümer noch lebt oder überhaupt "am Finger dran ist", durch Wärmeabgabe, Puls oder wasweißich.
Nur Schade, dass die anscheinend alle noch nicht funktionieren, wie der CCC auch letztens wieder mal bewiesen hat.

Hier eine funktionierende Lösung:

Polizei, die gerade normale Streife fährt und nicht mit Blaulicht (oder auch ohne) hinter einem Ganoven herhetzen muss, wird angewiesen, jedes Mal, wenn sie an seinem solchen Automaten vorbeikommt kurz anzuhalten und mal überall dran zu rütteln und eine optische Inspektion vorzunehmen. Dauert 20s schreckt aber Ganoven massiv ab.

Bankangestellte, die auf ihrem Heimweg an einem Automaten vorbeikommen, werden per Arbeitsvertrag dazu verpflichtet, selbiges zu tun.

Zwar werden dann immer noch solche Versuche unterneommen werden, aber sie dauern dann nicht so lange und sind für die Gauner deutlich risikoreicher ...

PS: Hier bei uns haben es die Ganoven gleich ganz anders gemacht:
Warum ein paar tausend Euronen von irgendeinem armen Schlucker abziehen, wenn da doch ein frisch gefüllter Bankomat steht. Gas reinleiten, BUMM und Geld aufsammeln. Hat hier 3 Mal hintereinander funktoniert und glaubt bloß nicht, dass sich da wer in die Nähe getraut hat, nachdem es Bumm gemacht hatte oder - in einem Fall - einer aus der direkt nebenan liegenden Kneipe auf die Idee gekommen wäre, den Notruf zu wählen...
 
Nachtrag: Ein einheitliches Design der Automaten birgt aber leider auch wieder ein neues Risiko: Die Betrüger könnten sich in Ruhe und mit Sorgfalt auf dieses Design konzentrieren. Als Ergebnis wären dann nach einiger Zeit perfekte Nachbildungen von Tastaturen usw. verfügbar.

Du hast einen entscheidenden Punkt übersehen: ich sagte Touchscreen, und sonst keinerlei Eingabegeräte. Leg da mal eine Tastatur drüber. Und wenn ausser dem Screen und zwei Schlitzen sonst nichts da ist, kann man auch nichts abdecken mit Skimming Apparaturen.. ;)
 
Zuletzt bearbeitet:
Das denke ich auch - eine plane Fläche, nur mit Touchscreen und 2 Schlitzen, ohne jegliche Erhöhungen, darauf deutlich hinweisen, dass die Automaten nicht anders aussehen dürfen, das könnte durchaus etwas bringen!
 
Oben