So geschickt präparieren Hacker Geldautomaten, um deine Bankdaten zu klauen

Skimming-Betrüger sind die MacGyvers des Kreditkartenhacks: Sie müssen handwerklich begabt, kreativ und erfinderisch sein, und zugleich ihr Metier so gut beherrschen, dass selbst Profis nicht merken, dass sie gerade abgezogen werden.

An einem Sicherheitsforscher der US-Firma Carbon Black kamen diese Meister des Betrugs vor zwei Wochen trotzdem nicht vorbei. Als Ben Tedesco, der sich gerade auf Familienurlaub in Wien befand, an einem Samsung-Geldautomaten in der Nähe des Stephansdoms etwas Bares abheben wollte, fiel ihm eine hauchdünne weiße Ablagerung an der Oberkante des Kartenlesegeräts auf. Er studierte die Automatenarchitektur genauer und bemerkte, dass sich das gesamte Lesegerät einfach herausziehen ließ—und sich darunter ein absolut identisch aussehendes Lesegerät verbarg.

Das Video, das er im Anschluss mit seiner Handykamera machte, zeigt deutlich, dass die zwei Lesegeräte, die wie Matrjoschka-Figuren aufeinander gelegt wurden, mit dem bloßen Auge nicht zu unterscheiden. Der Skimming-Aufsatz, der die Daten ausliest, ist eine exakte Kopie des originalen Lesegeräts des Automaten: Farbe, Material und Beschaffenheit sind zum Verwechseln ähnlich. Die Verarbeitung der Plastik-Hülle, an der sich der Kartenschlitz befindet, wurde sogar so professionell gemacht, dass das grün blinkende Licht des Original-Geräts nur minimal gebrochen wird und der Eindruck eines darüber liegenden Zweitgerätes maximal zerstreut wird. Die Kamera, mit der die PIN ausgespäht wird, befindet sich auf einer schmalen, unscheinbaren Leiste über dem Zahlenpad.

Der Carbon Black-Sicherheitsexperte ist sichtlich beeindruckt von der Professionalität dieses „perfekt verarbeiteten" Klon-Geräts. Endlich habe sich seine Sicherheits-Paranoia ausgezahlt, schreibt er selig unter das Youtube-Video: Schon hunderte Male zuvor habe er Geldautomaten gecheckt, bevor er seine Karte einschob, doch heute konnte er zum ersten Mal selbst einen noch laufenden Scam aufdecken.

Beim Skimming werden die Bankdaten über den Magnetstreifen der Karte ausgelesen und die PIN über eine Minicam—häufig über der Tastatur montiert—erfasst. Die Daten werden dann auf eine gefälschte Kreditkarte oder einen leeren Kartenrohling geladen, mit der Komplizen an Bankautomaten meist im nicht-europäischen Ausland Geld abheben. Da der Magnetstreifen von Kredit- und EC-Karten ungeschützt und mit entsprechender Elektronik problemlos auslesbar ist, investieren europäische Kredithäuser zunehmend in Smartcard-Technologie, bei der nur ein Teil der Daten abgeschöpft werden kann.

Auf dem Blog des Sicherheitsforschers Brian Krebs finden sich zahlreiche Beispiele für Skimming-Methoden, die jedoch in den meisten Fällen erst bemerkt werden, wenn Bankkunden ihre Kontoauszüge checken und die Plünderung schwarz auf weiß vor sich sehen. Skimming-Geräte gibt es Krebs zufolge mittlerweile wie Sand am Meer, selbst im Clearweb lassen sich offene Foren und Seiten finden, die Skimmer verticken. Doch häufig seien diese Geräte selbst Scams, die amateurhaft gefertigt sind und meist von ahnunglosen Möchtegern-Hackern gekauft werden, so Krebs. Die professionellen Geräte gebe es nur auf exklusiveren Fraud-Boards und auch dort nur von vertrauenswürdigen Tradern, so der Forscher.

Tedescos Fund ist einer der wenigen Glückstreffer, bei denen ein Sicherheitsexperte ein solches Gerät in freier Wildbahn selbst entdeckt und den Vorfall per Video dokumentiert. Die Passantin am Automaten neben ihm scheint irritiert bis verstört, als der euphorische Tedesco ihr seine Entdeckung zeigt (wobei nicht ausgeschlossen ist, dass sie ihn selbst für einen Kreditkartenbetrüger hält, weil er ihr ungefragt vor den Automaten springt, während sie gerade ihre PIN eingibt).

Die Kreditwirtschaft beziffert den Schaden durch Skimming in Deutschland im Jahr 2015 auf knapp 3 Millionen Euro. 2013 waren es noch 11 Millionen Euro. Experten gehen davon aus, dass Skimming eine langsam aussterbende Branche ist, seit Finanzinstitute Milliarden in bessere Sicherheitsmaßnahmen gesteckt haben.

Doch das BKA warnt vor allzu leichtfertigen Schlüssen aus den rückläufigen Zahlen. Denn auch vermeintlich smarte Chips sind nicht per se unhackbar für die erfinderische Skimming-Szene. „Künftig wird mit technisch verfeinerten und teilweise gänzlich neuen Angriffsszenarien zu rechnen sein, wobei insbesondere mögliche Schwachstellen im NFC-Bereich ein noch weitgehend unerforschtes Gebiet darstellen", vermerkt die Behörde in ihrem Lagebild Zahlungskriminalität 2014.

Ein bisschen Sicherheitsparanoia zu schieben, ist also manchmal ganz ratsam—zumindest in den zwei Minuten, die man vor dem Geldautomaten verbringt.