|
Das bloße Auslesen der auf dem Magnetstreifen einer Zahlungskarte
mit Garantiefunktion gespeicherten Daten, um mit diesen Daten
Kartendubletten herzustellen, erfüllt nicht den Tatbestand des
Ausspähens von Daten (
§ 202 a Abs. 1 StGB n.F.). BGH
 (4) |
|
 2005 hat
der BGH das Auslesen der Magnetstreifendaten von Zahlungskarten noch als
das Ausspähen von Daten im Sinne von
§ 202a Abs. 1 StGB angesehen
(1).
Dagegen hat sich im Januar 2010 ein anderer Senat des BGH gewandt mit
dem Argument, Zahlungskarten (wie alle Identifikationskarten mit
Magnetstreifen) verfügten über keine Zugangssicherung
(2),
so dass der strafrechtliche Schutz nicht greife
(3).
Dabei hat der vierte Senat etwas getrickst, indem er die nach
§ 132 Abs. 3 Satz 1 GVG nötige Beteiligung der anderen Senate
unterließ. Das hat er jetzt in einem anderen Fall nachgeholt
(4).
Mit der neuen Auffassung des BGH setzt sich jetzt Goya Gräfin
Tyszkiewicz bei HRR auseinander
(5),
die auch den Cyberfahnder zitiert
(6).
Tyszkiewicz folgt im Ergebnis der neuen Ansicht des BGH, was mich nicht wundert.
Der BGH
befasst sich auch mit dem Autorisierungsverfahren (Kasten
unten links) und bestätigt damit das, was auch der Cyberfahnder
veröffentlicht hat
(7).
Lediglich auf die Verschlüsselung mit dem DES-Algorithmus habe ich
bislang nicht hingewiesen
(8).
|
Zwei interessante Textpassagen steuert auch Tyszkiewicz bei. Sie
beschäftigen sich mit dem Aufbau des Magnetstreifens (Kasten
unten Mitte) und ebenfalls mit dem Autorisierungsverfahren
(Kasten
unten rechts), das sie Authentifizierung nennt.
Streng genommen handelt es sich um zweierlei: Die Authentifizierung
gilt der Karte und ihrem Benutzer und die Autorisierung zur Genehmigung
der Verfügung./p>
Sie steuert jetzt die
"Sicherungsnummer" bei, von der ich bislang wenig weiß. Sie ist mit
Sicherheit nicht die PIN im Klartext, wohl aber ein Prüfwert, der in
Korrelation mit der PIN und anderen Merkmalen der Karte steht.
Irgendwann einmal wird auch das von mir erklärte MM in der
juristischen Literatur auftauchen
(9).
Der
Cyberfahnder hat das
 Urteil
des Landgerichts Hannover vom 17.11.2009 - 6403 Js 43834/09 -
veröffentlicht. Der BGH hat die dagegen gerichteten Revisionen Ende
April 2010 ohne weitere Begründung verworfen.
|
|
|
Zwar erfolgt die Autorisierung bei der Verwendung einer
Zahlungskarte mit Garantiefunktion ausschließlich über die Eingabe der
PIN (...). Diese wird aber nicht durch Lesen der Daten aus dem
Magnetstreifen ermittelt, sondern mit dem Triple-DES-Algorithmus, einem
128-Bit-Schlüssel, aus der auf dem Magnetstreifen gespeicherten
Konto-Nummer, der Kartenfolge-Nummer und der jeweiligen Bankleitzahl des
Karten ausgebenden Instituts - nunmehr ausschließlich online (...) -
errechnet und mit der vom Benutzer des Geldautomaten eingegebenen PIN
verglichen (...). Die Sicherung der der Berechnung der PIN zu Grunde
liegenden Daten mittels eines kryptografischen Schlüssels (...) schützt
die auf dem Magnetstreifen einer Zahlungskarte gespeicherten Daten zwar
vor unbefugter Verwendung der Daten, nicht aber vor dem unberechtigten
Zugang zu diesen Daten durch Auslesen mittels eines Lesegeräts.
BGH
(10) |
|
|
Der Magnetstreifen einer EC-Karte enthält drei sog.
Spuren. Die erste kann mit alphanumerischen Datensätzen, die zweite und
dritte nur mit numerischen Datensätzen beschrieben werden. Für den
Beschreibungsvorgang ist eine Codierung der Informationen erforderlich.
Herangezogen wird dafür ein Code,... der einheitlich für
Datenspeicherungen auf handelsüblichen Magnetstreifen verwendet wird.
Nach der abgeschlossenen Beschreibung enthält der Magnetstreifen der
EC-Karte folgende Informationen ...: Den Benutzernamen und dessen
Kontonummer (die gleichzeitig die EC-Kartennummer ist), den Landescode
und die Gültigkeitsdauer. Zudem befindet sich auf der dritten Spur eine
verschlüsselte Sicherungsnummer. Diese Sicherungsnummer entspricht nicht
der PIN. Sie ist jedoch der PIN dergestalt zugeordnet, dass sie als
Referenzinformation bei der erforderlichen Authentifizierung am
Geldautomaten durch Eingabe der PIN fungiert. Tyszkiewicz
(11) |
|
|
In dem Augenblick, in dem der Skimmer die
Karten-Daten und die PIN durch das Auslesen/Filmen erhält, verfügt er
über alle nötigen Voraussetzungen, um an Kontoinformationen zu gelangen,
die ausschließlich dem Kontoinhaber und seiner Bank zustehen. Der Täter
muss lediglich die Kartendaten auf einen Kartenrohling (sog. White
Plastic) überspielen, um Geld abheben zu können ... – ein Vorgang, der
nur Minuten dauert. Jeder Vorgang des Geldabhebens erfordert einen
Datenaustausch. Sobald die EC-Karte (oder die Dublette) durch den
Kartenleser in das Terminal gezogen wird, baut der Geldautomat über die
Kopfstellen der Verbände eine Verbindung zum Autorisierungssystem der
Kundenbank auf. Im Rahmen dieses Autorisierungssystems wird die Karte
gegen eine Sperrdatei und die eingegebene PIN (anhand der
Sicherungsnummer) auf Plausibilität geprüft. Schließlich wird der vom
Benutzer eingegebene Zahlbetrag dem Kontostand (Guthaben und Dispokredit)
des Kontoinhabers gegenübergestellt. ... Fällt die Prüfung eines
Punktes negativ aus, wird die Zahlung abgewiesen. Tyszkiewicz
(12) |
|
Mai 2010
(1)
Data Encryption Standard