Schlagwort-Archive: geldautomat

Neue Skimming-Zahlen

Man muss das Geld dort abholen, wo es liegt:

»Bei 51 sogenannten Skimming-Angriffen in Frankfurt sei seit Jahresbeginn ein Schaden von 460 000 Euro entstanden, teilte die Polizei am Freitag mit. Es liegen über 400 Anzeigen vor. Im gesamten vergangenen Jahr hatte es 26 Angriffe auf Geldautomaten gegeben.«

(Echo Online:
Immer mehr Attacken auf Bankautomaten)

Zum Vergleich, die Zahlen für ganz Sachsen lagen im vergangenen Jahr in ähnlicher Höhe, während es hier nur um Frankfurt geht.

Patchday

Der Geldautomat hat gesagt, meine Karte sei nun wieder gesund. Die Sparkassen haben das Kartenupdate über die Geldautomaten also offenbar laufen und es scheint innerhalb der Sparkassenorganisation auch überregional zu funktionieren. Das ist technisch eh‘ kein Problem, verdient angesichts der organisatorischen Kleinstaaterei aber dennoch ein Lob. Ob die Volks- und Raiffeisenbanken das auch so hinkriegen?

Verteiltes Skimming

Um sich vor Skimming zu schützen, genügt es übrigens nicht, den Geldautomaten selbst gründlich zu untersuchen:

»Die Trickbetrüger hatten am vergangenen Wochenende über dem Geldautomaten eine als Rauchmelder getarnte Kamera installiert, die Kunden beim Eintippen ihrer Geheimzahl filmte. Zudem hatten sie ein Kartenlesegerät an der Tür manipuliert, um an die Kundendaten zu kommen.«

(hr: Kontodaten ausgespäht: Betrüger richten fünfstelligen Schaden an; Hervorhebung von mir)

Die Bilanz des Sicherheitsmechanismus „Zugangskontrolle zur SB-Zone“ dürfte sich damit ins Negative verlagern. Die Zugangskontrolle ist dank der weiten Verbreitung von Karten keine mehr; Sparkassenpartys verhindert nicht der elektrische Türöffner, sondern die Polizei. Damit kann man leben, aber wenn der Mechanismus nun nicht mehr nur geringen Nutzen hat, sondern für Angriffe missbraucht wird, sieht die Sache anders aus.

Man kann die Angriffsmethode weiterspinnen. Gefährdet ist alles, was dem Angreifer hinterher mit einer gewissen Wahrscheinlichkeit die korrekte Zuordnung zwischen Kartendaten und ausgespähter PIN erlaubt.

So einfach ist das nicht mit der Sicherheitstechnik

Als ich Auszüge aus dem Urteil 23 U 38/05 des Oberlandesgerichtes Frankfurt ins Blog stellte, hielt ich mich zunächst mit Kommentaren zurück. Jetzt diskutiert ein Telepolis-Artikel das Urteil im Zusammenhang mit der Kameraüberwachung in Supermärkten und der Möglichkeit, damit Kunden bei der PIN-Eingabe zu beobachten.

Der Artikel endet mit der anscheinend unvermeidlichen Forderung nach besserer Sicherheitstechnik. So einfach ist das aber nicht. Das Grundproblem des EC-Karten-Urteils ist ja gerade die Überschätzung der Sicherheitstechnik. Grob gesagt ist das Gericht der Ansicht, alle möglichen und aus Sicht des Sicherheitsingenieurs erforderlichen Betrachtungen nicht anstellen zu müssen, sondern System und Verfahren dem Anschein nach für sicher halten zu dürfen. Bessere oder auch nur für besser gehaltene Sicherheitstechnik kann die Richter in dieser Sicht nur bestärken. Einwände hätten dann noch weniger Chancen auf Gehör und ernsthafte Berücksichtigung.

Das könnte man hinnehmen, gäbe es eine mehr oder weniger perfekte Technik, die alle Probleme angemessen löst. So eine Sicherheitstechnik ist jedoch nicht in Sicht. Einige Anregungen, was sich mit Karten und Terminals noch alles anstellen lässt, gibt die Truppe um Ross Anderson in ihrem Blog:

Wenn man solche Gedanken zu Ende spinnt, kommt man zu dem Schluss, dass vorerst in jedem System mit Schwachstellen zu rechnen ist, gerade an der Schnittstelle zum Benutzer. Was wir wirklich brauchen, ist deshalb nicht bessere Sicherheitstechnik, sondern klügere Gerichte. Sie müssen klären, welche Einwände gegen die Sicherheitsvermutung gerechtfertigt sind und welche nicht, und das geht nur auf der Grundlage einer detaillierten technischen Betrachtung des Gesamtsystems. Die ist mühsam und aufwändig, aber notwendig. Nach Augenschein kann man Sicherheit nicht sinnvoll beurteilen.

Derzeit hat man als Geschädigter die besten Karten, wenn ein Verfahren Sicherheitsmängel hat, die auch ein Richter versteht, und wenn man außerdem erklären kann, was diese Sicherheitsmängel mit dem konkreten Fall zu tun haben oder zu tun haben könnten. Solche Fälle landen allerdings oft gar nicht erst vor Gericht, weil die Banken so böse dann doch nicht sind. Das Urteil des Oberlandesgerichts macht uns also letztlich nicht schlauer, sondern folgt implizit einer perversen Logikeinem Zirkelschluss: wäre eine echte Schwachstelle ausgenutzt worden, wäre der Fall gar nicht vor Gericht gelandet, deshalb wird die Klage abgewiesen. Das kann vollkommen richtig sein, aber die Begründung ist falsch.

OLG Frankfurt, Az. 23 U 38/05

»Geldautomaten sind sicher«, schreiben die Zeitungen und fassen damit ein Urteil des Oberlandesgerichts Frankfurt vom 30. Januar 2008 zusammen. Geklagt hatte eine Verbraucherzentrale, es ging um Abhebungen mit geklauten Karten. Unter den Tisch fiel manchmal dieser Satz:

»Das Gericht lehnte weitere Beweiserhebungen ab, die die Verbraucherschutzzentrale zur Möglichkeit von anderen Manipulationsmöglichkeiten beantragte, z.B. zur Frage der Verwendung von auf der Karte gespeicherten Daten zur PIN-Verfikation.«

(gesehen z.B. hier.) Spontanreaktion: Aber genau auf solche Manipulationsmöglichkeiten kommt es doch an! OLG Frankfurt, Az. 23 U 38/05 weiterlesen