Im neuen Jahrtausend haben sich die Formen der Cybercrime dazu entwickelt, um Anwender in aller Breite mit automatisierten Ausspähmechanismen wegen ihrer persönlichen Daten anzugreifen - Identitätsdiebstahl, Phishing - und mit Malware zu infizieren, um Geräte, Ressourcen und Daten zu missbrauchen. Das beste Beispiel dafür sind die Botnetze.

Auch das Skimming hat seine Formen gewandelt und verfeinert. Besonders mit dem POS-Skimming hat es neue Methoden des Ausspähens erprobt, ohne jedoch seine Grundform mit dem Ausspähen von Kartendaten und PIN am Geldautomaten oder in seiner unmittelbaren Umgebung aufzugeben.

Die Angriffe auf die Kartendaten haben 2009 einen neuen Höhepunkt erreicht. Dazu haben die Täter ihre Methoden beim Ausspähen verfeinert und sind Dank der grenzen- und zeitlosen Kommunikation im Internet in der Lage, binnen weniger Tage Dubletten anzufertigen und kampagnenartig zu missbrauchen.
 

Die Finanzwirtschaft und die Strafverfolgung mussten neue Mittel und Wege erproben und entwickeln, um dem kriminellen Massenphänomen zu begegnen. Dazu bedarf es eines langen Atems und ihre Erfolge sind erst noch rar.

Der Cyberfahnder befasst sich mit dem Skimming seit Mitte 2007 und das Thema hat sich zu einem Schwerpunkt entwickelt, der besonders auch die technischen Hintergründe beim bargeldlosen Zahlungsverkehr und die strafrechtlichen Fragen betrifft, wie dem kriminellen Phänomen begegnet werden kann.

Das jetzt veröffentliche Arbeitspapier Skimming stellt einen Zwischenbericht dar, die die verteilten Äußerungen im Cyberfahnder zusammenfasst ( Versionen).

Neue Fassung: Arbeitspapier Skimming 2#

Newsletter vom 12.12.2009: Skimming.
 

 
Zunächst ging es darum, die Methoden des Skimmings zu beschreiben und rechtlich zu bewerten. Die seinerzeitigen Einschätzungen sind von den Grundsätzen zutreffend geblieben, mussten jedoch noch verfeinert und besonders wegen der Strafbarkeit im frühen Stadium entwickelt werden.

Im Mai 2008 hat der Cyberfahnder die Arbeitsteiligkeit beim Skimming und die einschlägigen Vorschriften herausgearbeitet. Die bis heute geltende Grundlinie lautet: Das Ziel des Skimmings ist der Missbrauch von Zahlungskarten, um Beute zu machen. Auf dieses Ziel sind alle Einzelhandlungen der beteiligten Täter ausgerichtet.

Wie beim Phishing wurden die arbeitsteiligen Handlungen definiert. Kennzeichnend ist, dass zwei Tatphasen in der Öffentlichkeit stattfinden, das Ausspähen selber, das "eigentliche" Skimming, und der Kartenmissbrauch, den ich jetzt durchgängig als Cashing bezeichne. Mehrere Details im Tatablauf sind dabei noch unbetrachtet geblieben ( Tabelle rechts).

Von den Cashern, die vor Allem dreist sein müssen, unterscheiden sich die Skimmer dadurch, dass sie handwerkliches Geschick und Übung haben müssen, um die Ausspähtechnik zu installieren, an die örtlichen Gegebenheiten anzupassen, in Betrieb zu setzen, zu überwachen und schließlich schonend wieder abzubauen. Dazu werden Fachleute benötigt, die nicht einfach 'mal so beauftragt werden. Ihnen wird wertvolles Gerät anvertraut, mit dem sie unter Anspannung und in kürzester Zeit umgehen müssen.
 

 
Unterschätzt habe ich lange Zeit die Vorbereitung auf einen Skimmingangriff. Im Vorfeld müssen die Örtlichkeiten und die eingesetzten Geldautomaten erkundet werden, weil sie sich nicht immer für die Ausspähtechnik der Täter eignen. Dasselbe gilt für das Cashing, weil jedenfalls in Europa die Zahl der zum Missbrauch geeigneten Geldautomaten, die die Autorisierung nur anhand der Daten auf den Magnetstreifen auslösen, immer weiter abnimmt.

Skimmer und die Hersteller der Ausspähgeräte müssen eng zusammen arbeiten. Dabei ist es die Aufgabe der Skimmer, technische und andere Änderungen zu melden, damit neue Ausspähgeräte entwickelt und alte angepasst werden können. Es gibt Beispiele dafür, dass neue Anbauten, um die Geldautomaten sicherer zu machen, gezielt gestohlen werden, um sie zu untersuchen.

Unterschätzt habe ich zunächst auch den Aufwand, der damit verbunden ist, PIN und Kartendaten zu synchronisieren. Das ist besonders dann der Fall, wenn die Kartendaten nicht direkt am Geldautomaten abgegriffen werden.

Noch weitgehend unbekannt sind die Prozesse im Hintergrund, wobei es um die Übermittlung ausgespähter Daten, die Herstellung von Dubletten und ihren Transport zu den Cashern geht. Auch wenn sich Dubletten relativ einfach herstellen lassen, stellen die Synchronisation und die logistische Abwicklung recht hohe Anforderungen an die Beteiligten.
 

 
Schon bei der Auseinandersetzung mit dem arbeitsteiliges Skimming sind die grundlegenden Rechtsfragen angesprochen und ist herausgearbeitet worden, dass eine Tateinheit zwischen dem Gebrauch gefälschter Zahlungskarten mit Garantiefunktion gemäß § 152b Abs. 1 StGB und einem Computerbetrug gemäß § 263a StGB besteht.

Zwei Korrekturen sind angezeigt. Die Fälschung beweiserheblicher Daten gemäß § 269 StGB wird als Urkundsdelikt vom Fälschungsdelikt verdrängt. Außerdem müssen im Anschluss an die neue Bandendefinition des BGH auch die Tatbeiträge im Vorbereitungs- und im Versuchsstadium den Tätern als Beitrag zur vollendeten Haupttat zugerechnet werden.

Diese Perspektive greift der Aufsatz über die ersten Tathandlungen beim Skimming aus dem April 2009 auf.

Besonders wichtig ist dabei die Frage nach der Garantiefunktion, die bereits in der ersten Ausarbeitung angesprochen worden war und jetzt vertieft wird:

Zahlungskarten mit Garantiefunktion
Autorisierung im POS-Verfahren
Skimming und Fälschungsrecht

Die damit verbundenen Fragen greift das Arbeitspapier Skimming im Anschluss an den Beitrag über Autorisierung und Clearing vom August 2009 auf. Das Ergebnis ist jetzt genauer: Die Garantiefunktion besteht in der verbürgten Auszahlung, die die kartenausgebende Bank dem Geldautomaten nach der erfolgreichen Autorisierung bei einer Auszahlungsanfrage meldet.
 

 
Die Betrachtung der finanzwirtschaftlichen Vorgänge im Autorisierungsverfahren erleichtern den Tatnachweis beträchtlich. Aus der Tatsache, dass das Cashing mit Dubletten im Ausland erfolgreich war, lassen sich mehrere zweifelsfreie Schlüsse ziehen:

Es liegt eine Debitkarte zugrunde, die am Point of Sale-Verfahren teilnimmt.

Die Transaktion hat das Autorisierungsverfahren erfolgreich durchlaufen. Dem Geldautomaten ist der Genehmigungscode übermittelt worden.

Die Genehmigung im Rahmen der Autorisierung ist der Kern der Garantiefunktion, die der Ursprungskarte inne wohnt.

Es wurde eine gefälschte Zahlungskarte mit Garantiefunktion genutzt.

Die Fragen nach weiteren Details erübrigen sich. Es ist nicht erforderlich zu fragen, von welchem Bankenverbund eine Karte gelabelt wird, welche Kopfstellen angesprochen wurden und welche Absprachen zwischen Bank und ihrem Kunden im einzelnen getroffen wurden. Die erfolgreiche Autorisierung zeigt schlicht, dass alle Voraussetzungen bestanden und die ausgebende Bank wegen der Garantie ihre Zusage erteilt hat.

Aus der Tatsache, dass die Auszahlung dem Konto des Kunden belastet wurde, zeigt zudem, dass spätestens zu diesem Zeitpunkt ein Betrugsschaden entstand, auch wenn im Nachhinein ein Schadensausgleich über die EURO Kartensysteme erfolgte. Dieses Verfahren dient dem Kundenschutz und wirkt wie ein Versicherungssystem. Würde es fehlen, bliebe der Bankkunde geschädigt.
 

 
Deutlicher als bisher wird jetzt auch, dass die Strafbarkeit des Skimmings im Versuchsstadium dann beginnt, wenn die Täter die Geräte zum Ausspähen installieren. Damit setzen sie zur Verwirklichung der Tatbestände unmittelbar an. Der BGH hat das in die Worte gefasst: Jetzt geht es los!

Noch nicht klar ist die isolierte Strafbarkeit des Herstellens, Sich-Verschaffens usw. (Umgang) mit den Ausspähgeräten.

Eine Meinung beginnt sich zu entwickeln, die auf § 149 StGB gründet. Danach wäre der Umgang mit umgebauten Kartenlesegeräten strafbar. Eine Strafbarkeit der Geräte zum Ausspähen der PIN ist hingegen nicht in Sicht.

Bestärkt darin werde ich von der Rechtsprechung des BVerfG zur Dual Use-Software und den einschränkenden Ausführungen des BGH zur Absatzhilfe.

Die Einzelheiten werden im Arbeitspapier Skimming ausgeführt (neue Version).
 

 
Fazit

Das Arbeitspapier Skimming gibt eine Zwischenbilanz nach rund 2 1/2 Jahren Auseinandersetzung im Cyberfahnder über die Erscheinungsformen und die Strafbarkeit des Skimmings.

Über alle weiteren Entwicklungen wird der Cyberfahnder berichten.