SAST REPORT: ANGRIFF AUF DEN KARTEN-CODE

S A S T R E P O R T

politics & business

FRONT PAGE

SHARON REGRETS NOT HAVING KILLED ARAFAT . . .

`ATM-Angriff auf den Karten Code`

Bankomatkarten werden gefälscht, die PIN-Codes schnellstens geknackt. Die Sicherheit der flotten Geldspender ist in Gefahr. Und so rapide, wie die Zahl der Schadensfälle wächst, schrumpft das Vertrauen in die Rechtssprechung. SAST REPORT zeigt, mit welchen Tricks eine kleine korrupte Clique aus Justize und Finanz auf Kosten geschädigter Bankkunden die Schwächen des Bankomatsystems zu vertuschen versucht, und davon profitiert.

Seit 1990 häufen sich
sogenannte Robotron
Angriffe auf ATM -
und so mancher
Bankkunde kann
nur mehr staunen.
Photo Archive

VIENNA, Austria - Mehrere Bankomatkartenbesitzer melden unerklärliche Behebungen von ihren Konten. Nachforschungen ergaben, dass Dubletten hergestellt wurden und damit insgesamt 150.000 Schilling abgehoben wurde. Wie die unbekannten Täter in Kenntnis des PIN-Codes der betrogenen und von ihren Banken exekutierten Kartenbesitzer gelangten, ist bis heute nicht geklärt. Die Sache ist kein Einzelfall. Mehrmals klagte die Bankomatbetreibergesellschaft, Europay Austria Zahlungsverkehrssysteme GmbH, dass es unbekannten Tätern gelungen war, mittels falscher Bankomatkarten Behebungen durchzuführen.

Der spektakulärste Missbrauch von Bankomatkarten liegt einige Jahre zurück. 1991 gelang es der Roten Armee Fraktion mit duplizierten Bankomatkarten über eine halbe Million Schilling zu erbeuten. Zwei, drei Karten wurden öfters vervielfältigt und dann pro Karte mehrmals bis zum Limit abgehoben. Eines ist sicher: In keinem dieser Fälle hat der Kunde den Schaden verursacht oder Beihilfe durch verräterische Notiz des Codes auf der Karte oder einer sonstwie zugänglichen Stelle geleistet. Ist das herkömmliche System noch sicher, oder, gelingt es mit allen erdenklichen Mitteln der Elektronik ausgerüsteten Fälschern immer öfter, den Code zu knacken? Oder ist das Bankomatsystem nur eine "blamable Technik", wie Abhörspezialist Hans-Georg Wolf in einem SAST REPORT Gespräch betont? Denn mit etwas technischen Sachverstand und primitivsten technischen Geräten können PINs von EC- und Kreditkarten problemlos abgehört werden. Tatsächlich könnte jeder sogar mit einem besserem Spektrumanalyzer und entsprechender Zusatzausrüstung arbeiten. "Die Geheimnummern von EC-Karten sind w�hrend des Eintippens in den Automaten abhörbar", warnt Sicherheitsexperte Wolf. Was war passiert: Ende 1995 wurden rund 300 Kunden der Deutschen Bank AG Opfer eines Lauschangriffs auf Bankautomaten. Finaler Satz: "Die Banken schweigen das Problem tot." Kein Zweifel, dieser Mann weiss, wovon er spricht. Seine Einblicke in die Schattenwelt der Geheimdienste hat Hans-Georg Wolf vor allem während seiner Arbeit f�r das DDR-Aussenministerium gewonnen.

"Wer mit handelsüblichen Bankomaten arbeitet, könnte Kartencode und Kartendaten ebensogut mit dem Diaprojektor auf die Wand des Nachbargebäudes werfen," spottet ein Sicherheitsexperte, der Wert auf Anonymität legt.

Photo: Dr. Peter Trcka Photo Europay Austria

Dr. Peter Trcka hofft,
dass die geschädigten
Bankkunden von ihren
Instituten entschädigt
werden. Er irrt.
Photo Europay Austria

Die tatsächliche Anzahl der Schadensfälle unterliegt strengster Geheimhaltung, doch ein Mitarbeiter der Bank Austria - Creditanstalt AG (BACA AG) liefert ein Indiz für eine Zunahme des Missbrauchs: "Aufgrund von immer wieder erfolgten Manipulationsversuchen an Bankomaten hat die Europay Austria uns ein Video-Überwachungssystem vorgestellt." Die Betreiberfirma Europay Austria versucht sofort zu beschwichtigen. Dr. Peter Trcka, Vorsitzender und Sprecher der Gesch�ftsf�hrung: "Die Schadensfälle, die uns von den Banken an die Schadenskommission weitergemeldet und aus dem Schadenspool entschädigt werden, liegen so um die 724 pro Jahr. Und davon sind etwa 80 Prozent systemorientiert. Das heisst, es verbleiben an die 200 geschädigte Kunden pro Jahr."

SAST REPORT liegen hingegen aus ernstzunehmender Quelle weit höhere Zahlen vor. Von jährlich 17.000 Fällen ist da die Rede. Auch diese Zahl wäre in Hinblick auf die gigantische Anzahl von 76 Millionen Transaktionen pro Jahr immer noch erstaunlich niedrig. Ein Vertreter von Europay Austria sichtlich genervt: "Wir bekommen ja nur die Fälle, die uns die Banken weitermelden. Ich gehe einmal davon aus, dass die anderen Kunden von den Banken selbst entschädigt werden." Eine Stimme aus der Österreichischen Kontrollbank: "Es wird halt so sein, wie ich mir das immer vorgestellt habe: Einigen wenigen ersetzen sie den Schaden."

Erstaunlich ist auch die Tatsache, dass weder das Österreichische Statistische Zentralamt noch die Kriminalstatistik über die tatsächliche Anzahl der Schadensfälle Auskunft geben können. Es bestehen schlicht und einfach keine Aufzeichnungen. Auskünfte könne in diesem Fall nur der Systembetreiber Europay Austria erteilen, doch der hält sich bedeckt. Ein Mitarbeiter des Bankomatherstellers Siemens Nixdorf: "Natürlich wäre auch für uns die tatsächliche Anzahl der Schadensfälle entscheidend, aber die werden von den Banken als topsecret behandelt. Zu denen haben nicht einmal wir Zugang, obwohl wir sie bräuchten."

IM NAMEN DER REPUBLIK: Auch das Bezirksgericht Innsbruck
sowie das Landesgericht Innsbruck pflegen dem betrogenen Kunden
den Schaden bei Dublettenfällen aufzuhalsen. Dass die Banken gegen
diese Schadensfälle versichert sind, wird dabei unter den Teppich gekehrt.
Salopp wird darauf verwiesen, dass Rechtsmeinungen von Richtern, selbst dann,
wenn sie von der herrschenden Rechtssprechung abgelehnt werden und
gegen EU Richtlinien verstossen, in Österreich zulässig sind.
Die um Contenance bemühten betrogenen Bankkunden: »Ils nous ont baises«
Photo SAST REPORT

Bei den Bankenbossen liegen die Nerven blank. Interviewanfragen zur Causa Bankomatsicherheit werden von ihnen reihenweise abgeschmettert, dann und wann antwortet einer per Fax und schickt Allgemeinpl�tze wie: "Natürlich sind wir an einer Verbesserung der Situation interessiert," und "Es wird laufend an Verbesserungen gearbeitet ...," oder "Bitte halten's uns aus der ganzen Sache raus ...," und der Präsident der Oesterreichischen Nationalbank lässt telefonisch ausrichten: "Wir wären Ihnen sehr verbunden, wenn Sie auf ein Interview verzichten würden ...," und alle verweisen unisono auf den Systembetreiber Europay Austria. Dabei hätten die Generaldirektoren gerade jetzt Erklärungsbedarf, nicht nur der Öffentlichkeit, sondern vor allem ihren geschädigten Bankkunden gegen�ber.

Der betrogene Kunde steht vor einem sehr konkretem Problem. Er wird von seinem Kreditinstitut geklagt und unter Druck gesetzt. Denn er alleine trägt nach den Kundenrichtlinien (zur Benützung der Geldausgabeautomaten) das volle Risiko. Und bei Duplettenfällen, die es laut Banken nicht gibt, muss er den Missbrauch beweisen. Und das wird nur in den seltensten Fällen gelingen.

"Erschwerend kommt hinzu, dass die Geschädigten weiter ihre Originalkarten haben, sie schöpfen zunächst keinen Verdacht. Erst wenn die Inhaber oder ihre Hausbank diese Fremdverfügungen auf den Konten bemerken, wird eine Kartensperrung veranlasst," weiss ein Sprecher des deutschen Bundeskriminalamtes.

BAWAG Zentrale Wien:
"Warum sollen wir das Risiko
tragen?" lautet die offizielle
Stellungnahme der Bank.
Photo BAWAG

Ein Sprecher der Ersten Österreichischen Spar-Casse-Bank AG demonstriert Lässigkeit: "In den Kundenrichtlinien wird doch festgehalten, dass alle Folgen und Nachteile des Abhandenkommens, der missbräuchlichen Verwendung, der Fälschung und der Verfälschung der Bankomatkarte der Kontoinhaber zu tragen habe." Weiters: "Bei Fälschung oder Verfälschung müsste die jeweilige Karte zur Verfügung stehen, auch hier ist die Weitergabe von Karte und Code Voraussetzung für entstehende Schäden und somit vom Kunden verursacht." Die Bank für Arbeit und Wirtschaft AG (BAWAG) pflegt die Sache ähnlich zu sehen. Ein Konzernsprecher lachend: "Warum sollen wir denn das Risiko tragen? Wenn unser Kunde das Geld auf der Strasse verliert, dann ist es halt auch weg." Die Banken und Teile der ihr ergebenen Justiz sind bis heute der festen Meinung, dass es keinen einzigen Fall gibt, in dem vom Kontoinhaber unerwünschte Behebungen nachweislich ohne Verfügbarkeit von Karte und PIN-Code erfolgt sind. Sie irren.

Mehrere Fälle, bei denen den Kartenbesitzer keine Schuld trifft, sind dokumentiert und für Profis ist es mittlerweile kein Problem mehr, den Code in weniger als einer Stunde zu knacken. Schliesslich haben auch die meisten Banken gegen Bankomatmissbrauch bei der Bundesländer-Versicherung vorgesorgt, und zwar auch gegen Duplikatfälle, die laut Banken der Kunde zu beweisen hat. Man ist versichert und geniert sich nicht, trotzdem den Schaden beim Kunden einzufordern. Kommt der Kunde dieser Aufforderung nicht nach, so scheuen sich die Kreditinstitute nicht, ihn zu verklagen und in weiterer Folge gerichtlich zu betreiben.

Besonders fragwürdig wird diese Vorgangsweise, wenn man weiss, dass sich die Banken im internen Papier "Sonderregelung für Schadensfälle", das SAST REPORT vorliegt, verpflichtet haben, eine Reserve (Entschädigungsfond) zu bilden, um eben jene Schadensfälle abzudecken, die durch systembedingte Sicherheitsmängel entstehen. In der Praxis werden die Schäden aber in einer kaum camouflierten Komplizenschaft zwischen Banken und Teilen der Justiz gerichtlich mit Verweis auf die Kundenrichtlinien den Kunden aufgehalst. Im selben Atemzug wird der widerspenstige Kunde ohne sein Wissen auf die UKV-Überwachungsliste gesetzt und in einer koordinierten Aktion werden Kredite bei anderen Instituten fällig gestellt. Das kann doch wohl nur heissen, dass hier ein knallhartes Kartell Regie führt?

Welch ein Glück, dass bis jetzt noch niemand auf die Idee gekommen ist, die Offenlegung der Mittel dieses sagenumworbenen Schadenfonds zu fordern. Denn hier scheinen die Dinge, wenn schon nicht im Argen, so doch im Dunklen zu liegen. Fliesst das Geld vielleicht wieder zurück an die Banken ohne an die geschädigten Kunden ausgezahlt zu werden oder fliesst es gar in einen von diesen Reptilienfonds? Wenn ja, in welchen? Für die Aufklärung dieser befremdenden Tatsachen könnten nur die Banken selbst rasch sorgen, indem Sie entsprechende Kontobewegungen offenlegen. Doch die halten sich bedeckt und setzen lieber Ihre geschädigten Kunden mit der Methode Silent Death unter Druck.

Photo: Univ. Prof. Karl Kollmann Photo A.K. Wien

Univ. Prof. Dr.
Karl Kollmann
Photo A.K. Wien

Konsumentenschützer Univ. Prof. Ing. Dr. Karl Kollmann von der Arbeiterkammer Wien (AK-Wien), der auch an der Wiener Wirtschaftsuniversität lehrt: "Es ist eine alte Forderung der AK, dass einfach ein höheres Sicherheitsniveau erreicht werden muss. Dazu gehört eine unabhängige Schiedsstelle, damit im Schadensfall die Überprüfung der Karte nicht wie derzeit vom Systembetreiber Europay selbst durchgefürt wird." Es wird auch ein besserer Sichtschutz gefordert, denn unter den gegebenen Umständen sei es extrem schwierig seinen PIN-Code geheimzuhalten. Und für Kollmann ist es unverständlich, dass der Bankkunde in Österreich noch immer keinen Belegdrucker vorfindet.

Dr. Walter Peissel vom Institut für Technikfolgen-Abschätzung der Österreichischen Akademie der Wissenschaften meint: "Alle Beteiligten müssen faire Bedingungen vorfinden. Dazu zählen eine unabhängige Schiedsstelle, ein einfaches Reklamationssystem und klare rechtliche Normen für Kartensysteme."

Bedingungen, die von der Europäischen Kommission ebenfalls verlangt werden: Die EU-Kommission hat bereits 1998 eine Empfehlung zu Kredit-, EC-, Bankomat- und Geldspeicherkarten abgegeben:

Mindeststandards für die Kundeninformation
Klare Haftungsverteilung zwischen Kunden und Emittenten
Beweislast beim Emittenten
Effiziente Verfahren zur Streitbeilegung

Gerichtshof der Europäischen Gemeinschaften
Photo ECJ

Die EU-Kommission hat gleichzeitig angekündigt, dass im Fall einer unzureichenden Umsetzung eine verbindliche Richtlinie vorgeschlagen wird. Das bedeutet, dass der Gesetzgeber verpflichtet wird, den Richtlinien entsprechende Gesetze zu schaffen oder bestehende zu ändern um die nationale Gesetzgebung auf EU-Niveau zu bringen. Der EU-Mitgliedstaat Österreich, der die europäische Richtlinie nicht rechtzeitig in das nationale Recht umsetzt, riskiert nicht nur ein Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof (EuGH). Ihm drohen auch Schadensersatzansprüche einzelner Bürger.

Mittlerweile hat der Verein für Konsumentenschutz (VKI) im Kampf um das Bankomat-Risiko einen Etappensieg errungen. In einem rechtskräftigen Urteil des Landesgerichts Eisenstadt wurden die Vertragsbedingungen, die dem Kunden das gesamte Risiko aufhalsen, als grob benachteiligend und sohin als nichtig erklärt. Die Kreditinstitute hätten zudem den PIN-Code nicht unantastbar gestaltet und ziehen grosse Vorteile aus dem System. Dem Kunden bliebe hingegen, so die Argumentation des Landesgerichts Eisenstadt, nichts übrig, als das Bankomatsystem in der angebotenen Form zu akzeptieren, ohne auf die sichere Ausgestaltung Einfluss zu haben.

Auffallend ist, dass die grossen Hersteller von Bankomaten sehr wohl bessere Sicherheitsstandards anzubieten hätten, doch sie kämpfen gegen Windmühlen. Direktor Mag. Erich Peck von Siemens Nixdorf: "Wir gehen da gänzlich andere Wege. Wir verzichten überhaupt auf den PIN-Code." Der Konzern hatte vor langer Zeit einen Geldausgabeautomaten mit der Bezeichnung Procash entwickelt, der den Benutzer anhand seiner Hand- und Gesichtszüge erkennt und prüft, ob er zur Geldabhebung berechtigt ist oder nicht und damit siegreich die US Army Lab Competition bestanden. Das neue Erkennungssystem ersetzt die Eingabe des PIN-Codes. Dieses Verfahren ist wesentlich einfacher und zugleich sicherer. Es schliesst die missbrächliche Verwendung der Karte zuverlässig aus. Doch die Banken zeigten überraschenderweise kein Interesse. Peck: "In Zukunft werden sich die Banken vermehrt von der Konkurrenz abheben müssen." Und dann kann der Kunde letztendlich entscheiden, ob er ein sicheres oder unsicheres System in Anspruch nimmt. Dieses Szenario scheint für Österreich wenig wahrscheinlich, da die Bankomatbetreiberfirma Europay eine Monopolstellung innehat.

Ein Konsortium um Voest-Alpine
hat ein Fingerabdrucksystem
entwickelt. Cash gegen Abdruck.
Photo ekey biometric systems

Mitbewerber Bull hat da seine Bedenken. Die Siemens Entwicklung sei prinzipiell interessant, muss aber noch gründlich getestet werden. Die Sicherheitsanforderungen wären sicherlich optimal abgedeckt. Bei Bull gab es in den letzten Jahren Versuche, die Geheimcodeprüfung durch eine Unterschriftenerkennung zu ersetzen. Und man bemüht sich ähnlich der Erkennung der Gesichtszüge eine einfache Fingerabdrucksprüfung für Bankomaten zu entwickeln. Der Daumenabdruck des Besitzers als fälschungssichere Unterschrift.

Auch International Business Machines Corp. sieht sich in der Lage, die Bankomaten auf ein Fingerprintsystem umzurüsten. Der Monopolinhaber Europay Austria bräuchte nur das kundenfreundliche und sichere System bestellen.

Senator Charles Schumer
Photo U.S. Senate

In den U.S.A. stösst hingegen das Verhalten der Kartengiganten MasterCard International und Visa International beim US Justice Department auf wenig Gegenliebe. Das Justice Department hat im Juni 2000 ein Kartellverfahren gegen MasterCard und Visa in New York angestrengt. Senator Charles Schumer: "Visa und Mastercard verhalten sich wie Oligopolisten." An den Vorwürfen ist einiges dran: Einer grossen Anzahl von Kunden stehen nur einige wenige Anbieter gegenüber. Ein sogenanntes Nash-Gleichgewicht, benannt nach dem Nobelpreisträger Dr. John Forbes Nash, Princeton University, entsteht. Es gilt nur ein Prinzip: Alle gemeinsam versuchen sich am Kunden zu bereichern, indem sie Preise festsetzen, die wesentlich höher sind, als in einem Markt mit vielen kleinen, konkurrierenden Unternehmen. Also, es darf sich möglichst wenig bewegen. Vor allem dürfen keine Investitionen getätigt werden, die den Gewinn allzusehr schmälern.

Am ersten Tag der Verhandlung wurde Visa und MasterCard vorgehalten, sie hätten Innovationen zum Nachteil ihrer Kunden fallengelassen, da ihre Eigentümer, die Banken, dagegen votierten. Ein Imagedesaster droht. Nicht abzuwenden ist dieses Desaster jedenfalls, wenn die Kartengiganten und ihre Eigentümer so handeln, wie MasterCard Senior Vice President Noah J. Hanft in seiner Rechtfertigung vor den Mitgliedern des Subcommittee on Financial Institutions, United States Senate. Der MasterCard Chef setzt auf Abblocken, Tarnen und Täuschen und kommt zu dem nicht überraschenden Schluss, "dass das jetzige System mit der gegebenen Eigentümerstruktur zur Zufriedenheit aller arbeite."

Es stellt sich die Frage, warum sich die Eigentümer, darunter die Bank of America Corp. und die Chase Manhattan Corp., so dagegen verwehren, das ATM System zu verbessern. Mag sein, dass diese Einstellung von einer gewissen Ignoranz gegenüber dem König Kunden geprägt ist. Denn nur er alleine darf laut Diktion der Kreditinstitute das volle Risiko tragen. Das Risiko für ein veraltetes, wenn auch bewährtes, so angenehm selektiv schädigendes ATM System.

Back to Front Page

PREVIOUS REPORT HOME NEXT REPORT

© Sachsenmaier Verlag
credits: N.N. wirtschaftsmagazin trend
Hinweis nach dem Presserecht: Während der Recherche zu dieser Reportage wurden sowohl die Journalisten als auch deren persönliches Umfeld mit einer breiten Palette von Massnahmen unter Druck gesetzt und zeitweise an der Ausübung ihres Berufes gehindert.