An deutschen Geldautomaten muss man sich weniger Sorgen vor Ausspähung machen. Das heißt aber nicht, dass Betrüger das Geschäft mit gestohlenen Kartendaten aufgegeben hätten. Die Schäden gehen in die Millionen.

Manchmal trifft es sogar Profis. Ausgerechnet der damalige Chef des Bezahldienstes Paypal, David Marcus, berichtete im vergangenen Februar von einer "Skimming"-Attacke. Kriminelle hätten vermutlich in einem Hotel in Großbritannien seine Kreditkartendaten abgeschöpft, schrieb Marcus auf Twitter: "Sie vervielfältigten sie und gingen auf Einkaufstour." Täter, die an Geldautomaten in Deutschland Kartendaten und Geheimnummern (PIN) ausspähen, müssen inzwischen allerdings weit reisen, um daraus Gewinn zu schlagen. Dank milliardenschwerer Investitionen in die neue EMV-Technik mit einem Chip in den Plastikkarten passiert in Europa so gut wie nichts mehr mit Kartendubletten - darauf verweisen Deutschlands Banken seit Jahren stolz.

Im ersten Halbjahr 2014 ist die Zahl der Betrugsfälle an Geldautomaten in Deutschland tatsächlich auf ein Rekordtief gesunken. 84 Automaten manipulierten Kriminelle, um Kartendaten und Geheimnummern (PIN) von Bankkunden auszuspähen. Zum Vergleich: Von Januar bis Ende Juni 2013 waren es noch 251 Automaten. Der Schaden durch solche Skimming-Angriffe summierte sich im ersten Halbjahr des laufenden Jahres auf rund 1,4 Millionen Euro. Damit lag er um fast 84 Prozent unter den knapp 8,4 Millionen Euro des Vorjahreszeitraums. "Endgültige Entwarnung können wir noch nicht geben", betont Andreas Mayer, Geschäftsführer der Polizeilichen Kriminalprävention der Länder und des Bundes. Die Schäden seien nach wie vor beträchtlich.

Im Ausland geht noch was

In Deutschland sind seit Ende 2010 alle rund 94 Millionen Girocards mit EMV-Chip ausgestattet worden, ebenso alle knapp 60.000 Geldautomaten sowie 720.000 Terminals im Handel. Doch weil längst nicht alle Staaten bei der Modernisierung mitziehen und Bezahlkarten immer noch mit Magnetstreifen ausgerüstet werden, finden Kriminelle immer wieder Schlupflöcher. Vor allem in Brasilien, Sri Lanka, Indonesien, Indien und den USA konnten Betrüger im ersten Halbjahr 2014 gestohlene Kartendaten zum Geldabheben und Einkaufen nutzen.

Da es am Geldautomaten immer schwieriger wird, Daten abzugreifen, suchen sich Kriminelle inzwischen neue Ziele: "Täter weichen in Einzelfällen auf Fahrkartenautomaten der Bahn oder Registrierkassen im Discounter aus", schildert Mayer. Im März verurteilte das Landgericht Hildesheim beispielsweise einen 32-Jährigen rechtskräftig zu vier Jahren Haft, weil er sich an Geld- und Fahrkartenautomaten die Daten von Hunderten Bankkunden verschafft hatte. Etwa 400 Datensätze wurden gegen Geld an Hintermänner in Slowenien weitergegeben, die dann mit Kartendubletten insgesamt mehr als 142.000 Euro von den Konten der betroffenen Bankkunden abbuchten.

Wenn das Geld klebenbleibt

Auch am Bankautomaten werden Betrüger erfinderisch, um trotz immer ausgefeilterer Technik auf illegale Weise an Geld zu kommen, wie Mayer berichtet. Beim sogenannten Cash-Trapping wird über den Geldausgabeschacht ein täuschend echter Verschluss geklebt. Der ist innen mit einer Klebefolie versehen, so dass die Geldscheine im Ausgabeschacht kleben bleiben. Der Kunde vermutet einen Defekt am Automaten - und kaum hat er die Bank verlassen, kann der Täter zumindest bei älteren Geräten das Geld aus dem Ausgabeschacht ziehen.

Gefahren lauern auch an der Kasse im Supermarkt oder an der Tankstelle. Das Bundeskriminalamt präsentierte bei seiner Herbsttagung im November ein manipuliertes EC-Karten-Terminal: Ein versteckter Chip liest die Kartendaten aus und überträgt sie auf ein Handy in der Nähe. Die Täter können dann ein Duplikat der EC-Karte anfertigen und irgendwo auf der Welt damit einkaufen gehen. Es ist die moderne Variante des Taschendiebstahls. Ex-Paypal-Chef David Marcus, der inzwischen für Facebook arbeitet, schlug aus seiner Erfahrung als "Skimming"-Opfer Kapital: "Es wäre nichts passiert, wenn der Händler Paypal genutzt hätte", kommentierte Marcus auf Twitter. Denn Bezahldienste wie Paypal übertragen bei Transaktionen keine Bank- oder Kreditkartendaten.