Nach der Meldung über die Schäden durch das Phishing (2) sind verschiedene Polizisten zu dem Schluss gekommen, dass die mit 17 Millionen hochgerechneten Schäden durch das Phishing in 2010 nicht stimmen können. Wenn sie ihre eigenen Schadensfälle zusammen rechnen, kommen sie auf so hohe Summen, dass gerade in ihrer Region eine Hochburg des Phishings sein müsste.

Dagegen sprechen hingegen die Fallzahlen, die eher eine gleichmäßige Verteilung erwarten lassen.

Das BKA spricht auch von rund 17.000 Skimming-Angriffen im Jahr 2009. Was wirklich gezählt wurde, ist auf dem ersten Blick nicht ganz klar. Die EKS (3) zählt die Geldautomaten, die einem Skimming-Angriff ausgesetzt waren - unabhängig davon, wie häufig das im Kalenderjahr geschieht. Geldautomaten an attraktiven Standorten können durchaus mehrmals im Jahr angegriffen werden.

Wenn man die etwas ältere Meldung von Spiegel online hinzu nimmt ( links), dann dürfte es sich um die Zahl der geschädigten Einzelpersonen handeln. Auch die anderen Zahlen sind stimmig. Danach wurden 2009 angegriffen:

809 Geldautomaten
155 Zugangskontrollen
3 POS-Terminals

Pro Ausspäh-Einsatz erlangen die Skimmer nach meinem Eindruck etwa 10 Dumps (4). Das Problem ist meistens das Ausspähen der PIN. Mit Tastaturaufsätzen werden deutlich mehr als mit Kameraeinsätzen erkannt. Die EKS-Zahlen lassen einen Durchschnitt von 18 Dumps erwarten. Das passt, wenn man bedenkt, dass attraktive Geldautomaten mehrmals im Jahr angegriffen werden.
 

Auch der Schadensbetrag ist stimmig: 40.000.000 € im Jahr 2009. Das sind rund 2.350 € pro Dump. Durch den mehrmaligen Einsatz des Dumps am Wochenende lassen sich nicht nur mehrere Tages- sondern auch zwei Wochen-Limits wegcashen.

Der Anteil, der von der deutschen Finanzwirtschaft getragen werden muss, ist unklar. Im Rahmen des europäischen Schadensausgleichs haften die ausländischen Geldautomaten-Betreiber, wenn sie nur die Magnetstreifen-Daten prüfen, nicht aber den EMV-Chip, wenn die ausgespähte Karte über einen solchen verfügt. So die Theorie.

Über die Effizienz des europäischen Schadensausgleiches weiß man nichts. Es dürfte nicht ganz einfach sein, aus Italien, Rumänien oder Bulgarien Schadensersatz zu realisieren. Cashing in Übersee oder Afrika ist vom Ausgleich nicht umfasst. Die dort verursachten Schäden trägt der finanzwirtschaftliche Verbund in Deutschland sowieso selber.

Selbst wenn der Schadensausgleich funktioniert, muss der Schaden wieder refinanziert werden durch Gebühren oder andere Einnahmen.

Beim Phishing spricht das BKA von einer Steigerung von 71 % und es rechnet für 2010 mit einem Gesamtschaden von 17.000.000 € (5). Das bedeutet, dass schon 2009 ein Schaden durch Phishing in Höhe von etwa 10.000.000 € bekannt wurde.

Das sind dann 50.000.000 € Schäden durch Skimming und Phishing, die die deutsche Finanzwirtschaft 2009 tragen musste.
 

 
2009 existierten noch 1.939 Kreditinstitute in Deutschland mit 1.107,6 Mrd. € täglich fälligen Einlagen (6). Sie betrieben insgesamt 59.394 Geldautomaten. Jeder verursacht rund 6.000 € Betriebskosten im Jahr (7). Von ihnen wurden 1,62 % von Skimmern angegriffen. Im Umlauf waren 125.801.300 Zahlungskarten, davon wurden 0,014 % von Skimmern angegriffen.

Mit Zahlungskarten wurde Bargeld an Geldautomaten im Inland in Höhe von 156.785 Mio. € abgehoben, im Ausland weitere 8.377 Mio. €. Davon beträgt der Cashing-Schaden 0,48 %.

Wenn man davon ausgeht, dass für Bargeldabhebungen im Ausland mindestens 1 % Gebühren entstehen, dann sind 2009 etwa 84 Mio. € als Gebührenanteil ins Ausland geflossen. Wenn damit der Cashing-Schaden ausgeglichen werden müsste, dann wäre dort fast die halbe Marge weg. Das täte richtig weh.

Das spricht dafür, dass die hiesige Finanzwirtschaft die Cybercrime-Schäden nahezu allein verkraften muss. Ihr Anteil am Gesamtaufkommen des bargeldlosen Zahlungsverkehr ist jedoch noch so gering, dass die äußerliche Ruhe der Branche erklärbar wird.

Zumal die Kompensation, so scheint es, nicht aus Rückstellungen, sondern aus dem laufenden Geschäft finanziert wird. Die Bank lebt bekanntlich von der Marge, also aus dem Zinsunterschied, den sie für ihre Kredite erhält und dem Zins, den sie für Einlagen zahlt. Hinzu kommen nach meinem Eindruck verstärkt Gebühren für alles und steigend.

Die Kunden merken zunehmend, wie die Marge gedehnt wird. Sparbücher und andere Geldanlagen bringen nichts mehr, weil die Zinsen unter der Inflationsrate bleiben. Wertpapiere, die vor 5 Jahren gekauft wurden, haben ein Drittel an Wert verloren und bewegen sich schneckig und langfristig zurück zum Einkaufswert.
 

 
Man könnte meinen: Wer sein Geld der Finanzwirtschaft anvertraut, der erteilt die Erlaubnis zur Geldvernichtung. Bei der Gelegenheit: Auf welcher Basis funktionieren die Riester-Rente und andere Formen der Altersversorgung?

Böse formuliert: Die Finanzwirtschaft steckt die Schäden weg und klagt nicht, weil sie keine Alternative hat. Sie hat so viel Personal abgebaut, dass sie auf Geldautomaten, Onlinebanking und innovative, provisionsgesteuerte Kundenwerbung nicht mehr verzichten kann. Sichere Geschäftsprozesse misst sie zunächst nur daran, welche Kosten sie verursachen und welche Schäden im laufenden Geschäftsjahr dagegen stehen. Frei nach dem Motto: Das macht doch nichts, das merkt doch keiner!

Die Schäden durch die Cybercrime dürften jedoch die wirtschaftlichen Schmerzgrenzen längst durchbrochen haben.

Meine Bank, die seit Urzeiten mein Gehalt bekommt, verlangt jetzt jährlich 25 € dafür, dass sie mir eine Kreditkarte gibt; um die Kosten für die Sicherheit im Zahlungsverkehr zu decken, wie es heißt. Es sind aber nicht die Kredit-, sondern vor allem die Debitkarten, die beim Skimming missbraucht werden. Warum? Weil sie an den Geldautomaten viel häufiger eingesetzt und allein deshalb häufiger ausgespäht werden.

102 Mio. Debitkarten stehen etwas mehr als 24 Mio. Kreditkarten gegenüber (7). Wenn alle Kreditkarten 20 € jährlich Gebühren einbringen, dann sind das branchenweit Einnahmen von 480 Mio. €. Abzüglich Cybercrime-Schaden verbleiben 430 Mio. €. Wo verbleibt der Rest?

Zurück zu meiner Bank: Die Masterkarte hat jetzt einen EMV-Chip und eine Laufzeit von 4 Jahren. Der Chip kostet keine 100 €. Der Rest der Einnahme wird offenbar auf das Konto "Scheiße gelaufen" gebucht.

Dafür spräche, dass die Banken jedenfalls die Debitkarte nicht mehr abschaffen können. Nicht allein deshalb, weil sie aus dem Handel nicht mehr wegzudenken ist, sondern auch, weil die Banken dann wieder Schalterdienste und Nachttresore betreiben müssten.
 

 
50 Mio. € Schaden durch Skimming und Phishing und noch einen Schlag drauf für die Kontoeröffnungsbetruge durch busweise eingeführte Osteuropäer, mit falschen Personalpapieren eröffnete Konten und die seit SEPA drohenden Stoßbetruge durch Einzugsermächtigungen ins und aus dem Ausland.

Die äußere Ruhe der Finanzwirtschaft angesichts der Cyber- und anderer Kriminalität wirkt beängstigend. Das besonders deshalb, weil nicht nur Wehklagen zu erwarten wäre, sondern aktive Bemühungen zu ihrer Abwehr im Interesse der eigenen Kunden.

Das könnten die tieferen Gründe für die Stille sein: Das Fehlen von Konzepten, die Scheu davor, eigenes Versagen zugeben zu müssen, und schließlich die Furcht, für sichere Authentifizierungen von Kunden und Transaktionen sichere Techniken einführen und in sicherer Umgebung betreiben zu müssen.

Hinzu kommt ein psychologisches Aspekt: Den ersten beißen die Hunde. Das Unternehmen, das als erstes zugibt, bei der Sicherheit geschlampt zu haben, verlässt den Chor des Schweigens, macht sich angreifbar und läuft Gefahr, von Markt und Börse abgestraft zu werden.

Die Kunden bemerken zunächst nur ein gut funktionierendes Zahlungssystem, das ist es in der Tat, und erst nach und nach, dass sie die Kosten für die stille Schadenskompensation aufbringen und zwar ohne dass ernsthafte Anstrengungen zur Vermeidung der Schäden erkennbar werden. Dadurch entsteht ein explosives Pulverfass, das zu ignorieren ich noch schlimmer finde, als die praktizierte Untätigkeit.
 

 
BKA und BaFin haben unlängst die Trends aufgezeigt, in die sich die Kriminalität als Massenerscheinung entwickelt (10). Das sind vor allem:

Skimming

Identitätsdiebstahl in den Formen
   Phishing beim Onlinebanking,
   Kartenmissbrauch im Einzelhandel (11),
   Warenbestellungen über Paketagenten

betrügerische Webshops

Noch sind Skimming und Phishing führend. Die Schäden durch das Phishing werden im laufenden Jahr um rund 70 % steigen, sagt das BKA.

Es macht keinen Sinn, gelegentlich die Stimme zu erheben und die Zustände zu beklagen, ohne Konzepte für die Bekämpfung der Cybercrime zu entwickeln und umzusetzen. Das ist nicht nur die Aufgabe der Strafverfolgung, sondern besonders auch der Finanzwirtschaft, die bislang erkennbar nur die Kosten auf ihre Kunden verteilt.
 

(1) Felix Knoke, Überfall im Geldautomaten, Spiegel online 10.03.2010

(2) beachtliche Allianz, 07.09.2010

(3) EKS: Euro-Kartensicherheit

(4) Dump: vollständiger Satz der Kartendaten, hier Magnetstreifendaten und PIN.

(5) (2)

(6) Zahlen: Deutsche Bundesbank, Zahlungsverkehrs- und Wertpapierabwicklungsstatistiken in Deutschland 2007 bis 2009, Stand: August 2010
 

 
(7) Sascha Girth, Outsourcing 2.0 -
Anforderungen und Lösungen, PRO¡SERVICE 19.03.2010

(8) Deutsche Bundesbank, ebenda.

(9) Steffen Hebestreit, Die neuen Tricks der Geldwäscher, Frankfurter Rundschau 01.09.2010

(10) Geldwäsche in der Underground Economy, 05.09.2010

(11) Entweder mit Totalfälschungen oder mit echten Zahlungskarten, deren Magnetstreifen mit fremden Kontodaten überschrieben wurden.