Waren es zunächst 17.000 käufliche Datensätze, weitet sich der Skandal wegen des Missbrauchs von persönlichen und vor Allem persönlichen Kontodaten aus. Die Rede ist inzwischen von vier Millionen handelbaren Datensätzen (2), die sich für behauptete Vertragsabschlüsse und Einzugsermächtigungen missbrauchen lassen. Wenn man die Daten sowieso schon hat, dann kann man sich den lästigen Kundenkontakt und die nicht minder lästige Überzeugungsarbeit sparen.

Ihre Quelle sollen zwei Klassenlotterien sein und sie sollen zudem aus Handyverträgen, Gewinnspielen, karitativen Betätigungen, Kunden- oder Rabattkartensystemen, Online-Webformularen oder von Rechnern stammen, die mit Trojanern ausgeforscht wurden.

Schuld an dem Skandal sind nicht nur die Täter, die bevorzugt unter den schwarzen Schafen der Callcenter vermutet werden (3). Ganz besonders Schuld daran sind die Wirtschaftsunternehmen, die ihr Werbungsgeschäft und ihre Kundenbetreuung (Support) partout auf Callcenter und externe Dienstleister übertragen müssen. Aus Kosten- und Effektivitätsgründen, versteht sich. Dadurch wächst nicht nur die Gefahr, dass die Beratungsqualität sinkt, sondern eben auch unternehmensinterne und besonders Vertragsdaten in dritte Hände und damit außer Kontrolle geraten.
 

 
Im Zusammenhang mit dem IT-Management nennt man das - modern, unkritisch und unangreifbar - First Level Support. Dahinter steckt die Annahme, dass der erste Kundenkontakt mit Allround-Nichtfachleuten bewirkt werden kann, wenn sie denn über eine gut bestückte Wissensdatenbank verfügen. Daran und vor Allem an der Qualitätskontrolle hapert es dann meistens und das nicht zuletzt aus Kostengründen. Der Second Level Support, den die echten Fachleute ausüben, ist dann dünn gesät, mit vielfältigen Aufgaben belastet und (im Interesse der Arbeitnehmer: zu Recht) außerhalb der Kernzeiten nicht erreichbar.

Spannend bleibt es für den Kunden, der erst durch den Anruf erfährt, ob er im sächsischen, irischen oder indischen Zungenschlag als Erstes danach gefragt wird, ob denn auch das grüne Lämpchen an seinem beanstandeten DSL-Modem leuchtet.
 

 
In Irland sollen sich Betrüger als Bankangestellte ausgegeben und während der Geschäftszeit die Zahlungskarten-Lesegeräte in Supermärkten gegen manipulierte Geräte ausgetauscht haben. Damit sollen die Zahlungskartendaten von rund 10.000 Kunden ausgelesen und anschließend im Ausland missbraucht worden sein (4).

Weil das Kind einen eigenen Namen haben muss, nennt man diese Methode POS-Skimming. Das Kürzel bedeutet Point of Sale und meint die Lesegeräte im Supermarkt, in der Tankstelle oder immer dort, wo man bargeldlos mit seiner Zahlungskarte zahlen kann. Die Methode ist deshalb besonders gemein, weil mit ihr nicht nur die Kartendaten, sondern gleich auch die PIN abgegriffen werden kann. Somit verfügen die Täter über einen kompletten Dump, der nur noch in die Drop Zone eines Rogue Providers übermittelt und dann weiter verarbeitet werden muss.

Ich nenne das kriminelle Verfahren, schlicht wie ich bin, einfach nur eine austauschbare Variante des Missbrauchs von Zahlungskartendaten im Zusammenhang mit der modularen Cybercrime.

Von einer mehr klassischen Variante des Missbrauchs von Zahlungskartendaten berichtete unlängst Svea Eckert (5). Sie berichtet von edel gekleideten Asiatinnen, die mit gefälschten Ausweispapieren und Zahlungskarten auf hochwertige Einkaufstouren gehen und dabei selber mehr Opfer als Täter sind.
 

 
Das ist nichts Neues. Hochstapelei, Betrug, Fälschung und Abzocken sind klassische Methoden der menschenschädigung, die auch schon ohne Internet und bargeldlosem Zahlungsverkehr funktioniert haben. In der Literatur bilden sie amüsante Geschichten, wenn sie vom Hauptmann von Köpenick, von Felix Krull oder davon berichten, dass es nicht immer Kaviar sein muss.

Wo bleibt das Positive, um mit Kästner zu fragen?

Ja, wo bleibt es denn, ist seine immer zeitgemäße Antwort.

07.12.2008: Für richtig teures Geld wird jetzt eine Datensammlung über 21 Millionen Bürger einschließlich ihrer Bankdaten angeboten (6). Die Daten sollen überprüft und gepflegt sein. Als Anbieter werden die Mitarbeiter eines kleinen Callcenters vermutet: Vermutlich bessern schlecht bezahlte Mitarbeiter ihr Gehalt auf, indem sie Adressdaten kopieren und an Hintermänner weiterverkaufen. Diese führen die Bank- und Adressdaten aus verschiedenen Quellen zusammen, bereinigen sie um Doppelungen und bieten sie im großen Stil zum Kauf an ... Im Extremfall müssen die betroffenen Bürger damit rechnen, dass Geld unaufgefordert von ihrem Girokonto abgebucht wird.
 

 
(1) Der Spruch stammt m.W. aus einer anonymen Flugschrift, die während der Naziherrschaft ihren politischen Inhalt hinter einem Titelblatt versteckte, das Werbung enthielt, hier für Kämme.

(2) Illegaler Handel mit Kundendaten: Der "GAU" wird immer noch größer, Heise online 19.08.2008
Vier Millionen deutsche Kontendaten für 850 Euro, Heise online 18.08.2008

(3) qualitätskontrollierter Kontomissbrauch

(4) Betrüger haben Kreditkarten-Lesegeräte in irischen Geschäften ausgetauscht, tecchannel 19.08.2008

(5) Svea Eckert, Online-Shops für Betrüger, Spiegel Wissen 23.06.2008;
danke für den Hinweis, Frau Eckert
 

 
(6) Kontonummern von 21 Millionen Bürgern auf dem Schwarzmarkt, Heise online 07.12.2008