Den Einbruch Mitte April bemerkte niemand. Das war auch schwierig, denn mitgehen ließen die Einbrecher aus dem Baumarkt in Mainz nichts. Erst als sich vermehrt Kunden bei der Polizei meldeten, denen Fremde Geld vom Girokonto abgeräumt hatten, stellten die Ermittler fest, dass es einen Einbruch gegeben hatte. Die Kriminellen hatten es auf die EC-Karten-Terminals an den Kassen abgesehen. Dort installierten sie unbemerkt ein kleines Bauteil und plünderten schließlich die Konten.
Von "Skimming" (englisch für "abschöpfen") sprechen Kriminalbeamte und Verbraucherschützer, wenn sich kriminelle Banden die Daten von EC-Karten, auch Maestro-Karten genannt, besorgen und zugleich die Geheimzahl des Nutzers ausspionieren. Anschließend transferieren die Betrüger die Daten auf Blanko-Plastikkarten und heben damit an Geldautomaten im Ausland Bares ab. "Bisher haben die Täter meist Bankautomaten manipuliert", sagt Sandra Clemens vom Bundeskriminalamt (BKA) in Wiesbaden. "Neu ist jetzt, dass sie sich auf die Terminals an den Kassen im Einzelhandel konzentrieren."
Zwei Gauner-Probleme auf einmal gelöst
Denn mit dem neuen Trick lassen sich aus Sicht der Gauner gleich zwei Probleme auf einmal lösen. Bisher gingen sie meist so vor: Sie fertigten spezielle Aufsätze an, die sie vor den Kartenleseschlitz eines Geldautomaten setzten. Kriminalpolizisten und erst recht technische Laien konnten diese Manipulation in vielen Fällen nicht bemerken. Mit dem Aufsatz lasen die Gauner die auf dem Magnetstreifen der Karte gespeicherten Kontodaten ab. Nur ein Problem blieb für die Betrüger: Wie gelangt man an die Geheimzahl des Kunden? Dazu bedurfte es eines zweiten Schritts: Einige Banden installierten am Geldautomaten eine Minikamera und filmten damit das Eingabefeld. Oder sie klebten eine hauchdünne, berührungsempfindliche Folie über das Tastaturfeld und erhielten so die vierstellige Geheimziffer des Kunden.
Bei der neuen Variante werden beide Schritte in einem erledigt: Die Banden brechen in Super- oder Baumärkte ein und bauen in das Kassenterminal einen Chip ein. Der speichert automatisch die Daten aus dem Magnetstreifen und erfasst zusätzlich die vom Kunden eingegebenen Daten. "Der Kunde wie die Kassiererin können gar nicht erkennen, dass die Daten auf diese Weise abgelesen werden", sagt BKA-Expertin Clemens. Per Funk überträgt das eingesetzte Bauteil die Daten an die Betrüger, die zum Teil mit dem Laptop auf dem Schoß im Auto auf dem Parkplatz vor dem Supermarkt sitzen. Mit den Daten fertigen sie Karten-Doubletten an.
Im vergangenen Jahr zählte das BKA insgesamt 1349 Skimming-Fälle - etwa 50 Prozent mehr als ein Jahr zuvor. Die meisten Fälle bezogen sich zwar noch auf Manipulationen von Geldautomaten. Vermehrt nahmen die Gauner aber auch die Kassenterminals ins Visier. Nicht nur in dem Baumarkt in Mainz entdeckten Ermittler manipulierte Terminals. Zuvor waren bereits in Singen, in Kassel und in Hofheim (Taunus) Kassen manipuliert worden. Im Jahr 2007 waren einzelne Terminals verschwunden - "offenbar zu Testzwecken", so BKA-Expertin Clemens. Allein in Hofheim erstatteten 160 Geschädigte Betrugsanzeige bei der Polizei. Die Behörde bezifferte den Schaden dort auf 1,4 Millionen Euro.
Gute Chancen für geschädigte Kunden
Einsetzen können die Betrüger die Doublettenkarten übrigens nur im Ausland. Deutsche Banken verwenden Geldautomaten, die kopierte Karten erkennen und einziehen. Automaten im Ausland besitzen diese Funktion nicht. So räumten die Täter, die sich in Mainz die Daten beschafft hatten, die Konten über Automaten in Rumänien und Italien ab.
Allerdings haben die geschädigten Kunden in den meisten Fällen gute Chancen, ihr Geld zurückzuerhalten, erläutert Josephine Holzhäuser, Juristin bei der Verbraucherzentrale Rheinland-Pfalz. Grundsätzlich muss zwar der Kunde den Nachweis erbringen, dass er sich nicht grob fahrlässig verhalten hat - also nicht zum Beispiel seine Geheimzahl auf einem Zettel im Portemonnaie notierte. Bei den Fällen in den Bau- und Supermärkten allerdings stellte die Polizei eine klare kriminelle Handlung fest. Zudem hatten die Betrüger die Doubletten-Karten an wenigen Automaten im Ausland eingesetzt. Bei dieser Häufung von klaren Indizien hätten sich die Banken nicht einer Entschädigung der geprellten Kunden widersetzt, erklärt Holzhäuser.
Mittlerweile versuchen auch die betroffenen Unternehmen gegenzusteuern. Der Kartendienstleister B+S Card Service aus Frankfurt stattet seit Sommer vergangenen Jahres seine Kassenterminals mit einem Sicherheitssiegel aus. Wer das Terminal öffnet, um es zu manipulieren, muss das Siegel brechen. "Bei regelmäßigen Kontrollen der Kassenterminals lassen sich so Manipulationen erkennen", sagt Martin Jung von B+S. Händler können alte Geräte zudem nachrüsten lassen. "Es wäre auch schlimm", sagt Verbraucherschützerin Holzhäuser, "wenn das Vertrauen der Kunden in die Sicherheit des Kartensystems auf Dauer untergraben würde."