Themen
Dienste
  Cybercrime    Ermittlungen    TK & Internet  Schriften   Literatur 
  Suche   Gästebuch   Newsletter   intern   Impressum 

August 2012

19.08.2012 KOK Bull ermittelt
zurück zum Verweis zur nächsten Überschrift KOK Bull ermittelt: Cashing im Inland
 

 
gefunden bei ariva.de 

 
 Es gibt echte polizeiliche Leidensgeschichten, zum Beispiel die vom "Kommissar Zufall". So lange wie er im Geschäft ist und so erfolgreich er dabei war, müsste er längst zum Kriminaloberrat oder zum Innenminister befördert worden sein. Ist er aber nicht.

Das gilt ein wenig auch für den Kriminaloberkommissar Bull von der Polizeidirektion Lebenstedt im Vorharz, der sich besonders mit der Betrugs-, Wirtschafts- und Computerkriminalität auskennt. Seine Spezialität ist das Erfragen von Fakten bei der Anzeigenaufnahme. Er ist davon überzeugt ist, dass da draußen viele Schmutzfinken ('tschuldigung Klaus, das musste sein) am Werk sind, aber er traut auch den heulenden und scheinheiligen Anzeigeerstattern nicht immer.
 

 
Wenn KOK Bull ermittelt, dann wird es meistens knifflig. Beim Skimming in Bayreuth geht es um
 
das Skimming,
das maschinenlesbare Merkmal,
den EMV-Chip,
den Missbrauch von Scheckkarten,
die straflose Gebrauchsentwendung,
den Zahlungsdienstevertrag,
den Austausch der Zahlungskarte und
um Dialer.
 
Der nächste Fall: Rückruf zu den Salomonen.
 

 Das begann schon damals, Mitte der Neunziger Jahre, mit den Dialern. Es gab gemeine Programme, die nach Art der Homerschen Sirenen säuselten und dann doch nur ein Trojanisches Pferd waren: Ich helfe Dir beim Zugang zum Interne! Sie schufen die Einstellungen, um ein sprödes Windows mit dem Internet zu verbinden - unwiderruflich. Meistens waren die Sirenen aber leicht bekleidet und instinktoptimiert und lockten die großäugigen Anwender zu teuren Mehrwertdiensten unter dem Nummernkreis 01900 und der war seinerzeit frei tarifierbar, also manchmal teuer bis zum Ende. Heute müssen die Kosten genau angegeben werden, damals noch nicht. Was die Dialer manchmal verschwiegen, war, dass sie jeden Internetzugang zum Mehrwertdienst umleiteten: E-Mails, Suchmaschinen und alles andere zum Stöhntarif. Wer das Stöhnen und Flirten will, soll dafür auch bezahlen. Wenn solche Mehrwertdienste aber nicht geboten werden und einfach nur der Computer verbogen wird, dann kann man schon mal an Betrug oder an Computerbetrug denken ( §§ 263, 263a StGB). Manche Varianten stellten sich darauf ein und wurden zu Formwandlern: Waren sie erst einmal installiert, präsentierten sie sich als Saubermänner, die alles genau erklären, was sie tun und welche Folgen das hat. Der Schönheitsfehler war, dass das nicht auch bei der Erstinstallation gemeldet wurde. Ooh!
 

zurück zum Verweis Skimming in Bayreuth

 

 
KOK Bull ist der Mann für die schwierigen Fälle, wenn's ums Geld geht. Nicht das Geld, das gestohlen wurde ( § 242 StGB), das der Finder irgendwie herrenlos wähnte (Unterschlagung: § 246 StGB) oder das ein unfreundlicher Mitmensch mit klaren Ansagen einforderte (räuberische Erpressung: §§ 255 i.V.m. 249 StGB), sondern das, das plötzlich auf dem Kontoauszug von der Bank als Soll-Buchung erscheint und deshalb weg ist, weil es das Guthaben schmälert oder den Verfügungsrahmen ausreizt. Die uniformierten Leute aus der Wache schicken deshalb alle aufgebrachten Anzeigeerstatter zu ihm vom Kriminalermittlungsdienst, die mit irgendwelchen Papieren wedeln, egal, ob es sich dabei um Kontoauszüge von Banken, Telefonrechnungen oder andere mehr oder weniger aussagekräftige Drucke handelt.

Ich bin das Opfer eines Skimming-Angriffs, stellt sich der Mann vor. Hier, sehen sie, mein Kontoauszug. 600 Euro sind an einem Geldautomaten in Bayreuth abgehoben worden. Ich war noch nie in Bayreuth und habe dort auch kein Geld abgehoben. Und hier, sehen sie, ist meine Maestro-Karte. Ihre Daten müssen gestohlen worden sein. Also: Skimming.

Skimming (1) ist ein mehraktiges Delikt, bei dem zunächst die auf der Zahlungskarte gespeicherten Daten und die Persönliche Identifikationsnummer - PIN - ausgespäht werden. Die Gelegenheit dafür gibt es an Geldausgabeautomaten von Banken, an den handlichen POS-Terminals (Point of Sale) im Einzelhandel, an Fahrkartenautomaten und an allen anderen Stellen, wo mit der Zahlungskarte und Eingabe der PIN Zahlungen autorisiert werden können, zum Beispiel an Tankstellen (2). Im zweiten Schritt werden die ausgespähten Kartendaten auf Dubletten kopiert. Das bewertet der Gesetzgeber grundsätzlich als Verbrechen und stellt das Delikt der Fälschung von Geld gleich: Fälschung von Zahlungskarten mit Garantiefunktion; § 152b StGB. Das finale Ziel der Täter ist der Gebrauch der gefälschten Zahlungskarten, um damit aus Geldausgabeautomaten Geld zu ziehen (Cashing). Das ist der Gebrauch gefälschter Zahlungskarten mit Garantiefunktion und ebenfalls als Verbrechen strafbar gemäß § 152b StGB. Gleichzeitig ist das ein Computerbetrug gemäß § 263a StGB, weil ein Datenverarbeitungsvorgang durch unbefugte Verwendung von Daten beeinflusst wird.

So, wie sie sich das vorstellen, funktioniert das nicht mit dem Skimming, entgegnet Bull. Der Mann ihm gegenüber möchte am liebsten laut aus der Haut fahren, stockt aber wegen Bulls schnell nachgeschobener Frage: Haben sie schon mal etwas von dem maschinenlesbaren Merkmal gehört?

Mit Fragen eröffnet man kein Gespräch zwischen Polizei und Bürger, lernt man in der Klippklasse der Polizeischule. Das gilt besonders für das "Verkehrsquiz", bei dem der Beamte den aus dem Straßenverkehr gewunkenen Autofahrer einleitend fragt: "Wissen sie, was sie falsch gemacht haben?" Taktisch war Bulls Frage hingegen geschickt.

Über das maschinenlesbare Merkmal - MM - verfügen alle in Deutschland von den Banken herausgegebenen Zahlungskarten. Es handelt sich um kodierte Merkmalsstoffe im Körper der Karte, deren Code verschlüsselt auch auf dem Magnetstreifen und dem EMV-Chip abgelegt ist (3). In allen deutschen Banken werden die Kodierungen im Kartenkörper und auf dem Datenträger gegeneinander abgeglichen. Mit dem Ergebnis: An Geldausgabeautomaten in Deutschland lassen sich keine gefälschten Zahlungskarten verwenden, deren Original von einer deutschen Bank herausgegeben wurde. Bislang haben die Skimmingtäter das MM nicht fälschen können.

Ein gefälschtes Exemplar ihrer Karte kann an einem Geldautomaten in Bayreuth nicht verwendet worden sein, fährt Bull fort und erklärt die Eigenschaften des MM. Entweder sie haben das Geld selber abgehoben oder ihre Karte jemand anderem gegeben. Nach kurzer Pause sagt Bull: Na ja, eine Möglichkeit gibt es noch!

Wenn der Anzeigeerstatter tatsächlich das Geld selber abgehoben hätte, würde er gerade eine Straftat vortäuschen und könnte dafür bestraft werden ( § 145d StGB). Wenn er bei der Abhebung gewusst hätte, dass sein Konto ungedeckt ist, könnte er sich auch wegen des Missbrauchs einer Scheckkarte strafbar gemacht haben, wenn er den Geldautomaten einer anderen Bank als seiner Hausbank genutzt hätte ( § 266b StGB) (4), nicht aber wegen eines Betruges oder Computerbetruges ( §§ 263, 263a StGB).

Haben sie ihre Karte schon einmal aus der Hand gegeben oder irgendwo verwahrt, wo jemand anderes sie hätte wegnehmen können?, fragt Bull weiter. Nein, erklärt der Mann, er habe die Karte in seinem Portemonnaie und das trage er immer bei sich.

Bull fragt nicht ohne Bedacht, weil es häufiger vorkommt, dass ein nach Freiheit drängendes Kind die Zahlungskarte der Eltern "ausleiht", um am Automaten Zigaretten zu ziehen oder das knappe Taschengeld aufzubessern. Das vorübergehende "Ausleihen" der Karte ist eine straflose Gebrauchsentwendung (5). Hebt es ohne Wissen und Billigung der Eltern Geld am Geldausgabeautomaten ab, dann begeht es einen Computerbetrug zum Nachteil der Bank ( § 263a StGB) (6).
 

geschädigt ist die Bank

Der Zahlungsdienstevertrag ( §§ 675f ff. BGB) ist ein Anwendungsfall der Geschäftsbesorgung ( §§ 675 ff. BGB). Der Zahlungsdienstleister (Bank) verpflichtet sich dadurch, im Auftrag des Zahlers (Bankkunden) einen oder mehrere Zahlungsvorgänge auszuführen ( § 675f Abs. 1 BGB), wobei der Zahler den Auftrag auch mittelbar über den Zahlungsempfänger erteilen kann (Einzugsermächtigung (7); § 675f Abs. 3 BGB). Die Zahlung erfolgt aus dem Vermögen der Bank, worauf sie einen Erstattungsanspruch erwirbt ( § 670 BGB) und der Zahler zur Zahlung des vereinbarten Entgelts verpflichtet wird ( § 675f Abs. 4 S. 1 BGB). Führt der Zahlungsdienst unautorisierte Zahlungen aus, dann erlischt der Anspruch auf Erstattung der Aufwendungen ( § 675u S. 1 BGB) und besteht ein unverzügliches Rückbuchungsgebot.

Wenn der Zahler nicht sorgfältig mit der Karte umgeht (Zahlungsauthentifizierungsinstrument; §§ 675k, 675l, 675m BGB), dann kann der Zahlungsdienstleister von ihm den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 150 Euro verlangen
( § 675v Abs. 1 BGB). Zum vollen Schadensersatz kann der Zahler nach § 675v Abs. 1 BGB verpflichtet sein, wenn er seine Sorgfaltspflichten ( § 675l BGB) grob fahrlässig oder vorsätzlich verletzt hat.

   
Bull lässt sich noch einmal die Karte zeigen. Die gilt ja nur noch in diesem Monat, sagt er schließlich. Haben sie schon eine neue bekommen? Nein, entgegnet der Mann. Sie sollten ganz schnell ihre Karte sperren lassen und eine neue beantragen, sagt darauf Bull. Ich vermute, ihre neue Karte ist auf dem Postweg gestohlen worden.

Zahlungskarten haben eine vom Zahlungsdienstleister bestimmte Geltungsdauer und werden dann durch neue ersetzt. Allerdings wird bei einem solchen Kartentausch in aller Regel keine neue PIN vergeben. Das geschieht nur bei der ersten Zusendung oder wenn der Kunde eine neue Karte wegen des Verlust' der alten beantragt. Im Zusammenhang mit dem Diebstahl von Ersatz-Zahlungskarten auf dem Postweg muss der Dieb also weitere Anstrengungen unternehmen, um auch an die PIN zu gelangen. Entweder muss er sie beim Bankkunden irgendwie ausspähen oder der Bank vorgaukeln, es handele sich um den Ersatz einer verloren gegangenen Karte. Das sind nicht ganz einfache Unterfangen. Bulls Ermittlungen werden deshalb ebenfalls schwierig. Mit dem Anzeigeerstatter muss er zunächst ein ernstes Gespräch darüber führen, ob er nicht doch irgendwann irgendwem seine PIN mitgeteilt hat, zum Beispiel bei einer Zahlung im Internet. Mit der kartenausgebenden Bank ist zu klären, ob es eine Häufung vergleichbarer Fälle gegeben hat.

Alle Lösungen in diesem Fall sind eigentlich unbefriedigend. Es hat ziemlich sicher eine Bargeldauszahlung an einem Geldausgabeautomaten in Bayreuth gegeben und das funktioniert bei einem deutschen Bankkonto nur, wenn die Kodierung des MM mit dem Code im EMV-Chip auf der Karte überein stimmt. Das ist ein weiterer Grund dafür, dass es sich nicht um klassisches Skimming handeln kann: In Deutschland und in ganz Europa wird für die Autorisierung an Geldausgabeautomaten nur noch der EMV-Chip ausgelesen und nicht mehr der Magnetstreifen. Das Cashing findet deshalb nur noch außerhalb Europas statt.

Glaubt man dem Anzeigeerstatter, dass er nicht selber das Geld abgehoben hat, liegt ein Diebstahl am nächsten. Das Beispiel dafür gibt der klassische Lebanese Loop, wobei der Kunde zunächst bei der PIN-Eingabe beobachtet und dann seine Zahlungskarte gestohlen wird. Das würde aber bedeuten, dass er seine Zahlungskarte nicht mehr hätte. Hat er aber. Sollte vielleicht doch ein Familienmitglied eine Gebrauchsentwendung durchgeführt und sein Taschengeld aufgebessert haben? Dann müsste sich der Anzeigeerstatter irren, wenn er meint, die Karte immer bei sich geführt zu haben.

Bulls Idee mit der neuen Ersatzkarte ist nicht schlecht, aber sehr spekulativ. Bei der Bank muss nachgefragt werden, ob wegen ihr auch eine neue PIN vergeben wurde. Das würde einen Diebstahl beider Briefe auf dem Postweg plausibel machen. Vermutlich ist das aber eine Sackgasse, weil keine neue PIN mitgeteilt wurde.

Dass das Ausspähen von PINn mit dem Diebstahl von Ersatzkarten kombiniert wird, ist bislang noch nicht beobachtet worden. Ausgeschlossen ist ein solcher Modus nicht. Für ihn reicht es aber nicht, wahllos PIN-Eingaben an Geldausgabeautomaten oder POS-Terminals zu beobachten, sondern sie müssen auch noch Personen zugegordnet werden. Solche Aktionen müsste man vor allem Anfang November erwarten, weil die neuen Karten  etwa 4 bis 6 Wochen vor dem Jahresende versandt werden (9). Recht unwahrscheinlich ist es auch, dass die PIN per Internet ausgeforscht wurde. Sie wird für das Bezahlen im Internet nicht benötigt und wird deshalb nirgendwo auf einem angegriffenen PC gespeichert sein. Die Täter müssten sie deshalb beiläufig im Zusammenhang mit einem Bezahlvorgang beim Onlinebanking oder beim eCommerce abfragen (Phishing). Wenn sie das können, dann liegt es nahe, dass sie das Onlinebanking selber manipulieren und nicht auch noch den Aufwand betreiben, die neue Karte auf dem Postweg zu stehlen.

Richtig verschwörungstheoretisch und spekulativ wird es, wenn wir annehmen, ein Angehöriger oder Hausnachbar mit Zugriff auf den Briefkasten des Anzeigeerstatters habe sich vor Jahren die Nachricht mit der PIN abgriffen und dann weitergegeben (Entschuldigung, der Brief war in meinem Briefkasten und ich habe ihn versehentlich aufgemacht). Beim Zugang der neuen Karte hat er dann seine Chance ergriffen. Wahrscheinlicher wäre die Annahme, dass die aktuellen Skimmingtäter auch den EMV-Chip und das MM fälschen können.

Oder handelt es sich einfach nur um eine falsche Buchung?
 

zurück zum Verweis Anmerkungen
 


(1) Einzelheiten: Dieter Kochheim, Skimming #3, März 2012.

(2) Ende der Überfahrt nach 60 Tagen, 28.06.2011, Anmerkung 11. Nach einem Datenabgriff an einer Tankstelle in Castrop-Rauxel sollen 1 Mio. € Schaden entstanden sein.

(3) Sicherheitsmerkmale und Merkmalstoffe, 06.02.2010

(4) Kontoeröffnung und Verfügungen unter einer Legende, 18.03.2012

(5) BGH, Beschluss vom 16.12.1987 - 3 StR 209/87 (furtum usus). Will der Täter tatsächlich die Karte stehlen, dann begeht er einen Diebstahl (Gewahrsamsbruch zu Lasten des Karteninhabers, § 242 StGB). Auf den Wert der Karte kommt es dabei nicht an. Sie ist ein auf die Person des Kontoinhabers ausgestelltes Zahlungsauthentifizierungsinstrument
( §§ 675k, 675l, 675m BGB), das wie ein Ausweis oder Führerschein zu behandeln und deshalb keine geringwertige Sache im Sinne von § 148a StGB ist (Fischer, § 248a StGB, Rn 4 unter Hinweis auf BGH, Urteil vom 12.02.1987 – 4 StR 224/87).
Wenn das Kind die Karte stiehlt, dann bedarf es zur Strafverfolgung eines ausdrücklichen Strafantrages der Eltern (Familiendiebstahl, § 247 StGB).

(6)  BGH, Beschluss vom 30.01.2001 – 1 StR 512/00, Abs. 5.

(7) Kreditkartenbetrug, 23.10.2010

(8) eierlegende Wollmilchsau, 20.03.2011

(9) Während die Laufzeit von Kreditkarten (zum Beispiel von Master) nach Monaten angegeben wird, ist die von Zahlungskarten zu Kontokorrentkonten (zum Beispiel Maestro) auf das ganze Jahr bezogen. Sie werden zwischen Mitte November und Mitte Dezember des Ablaufjahres durch neue ersetzt.
 

zurück zum Verweis Cyberfahnder
© Dieter chheim, 22.08.2012