IT-Sicherheit

Skimming

Wie Sie Ihre Geräte vor Manipulation schützen

von 20.12.2019
Skimming von Automaten
Beim Skimming werden Geldautomaten oder andere Geräte so manipuliert, dass Einzahlungen, Überweisungen oder Kontoinformationen an Kriminelle gehen. Bild: Pixabay/teguhjatipras

Von Skimming dürfte jeder schon einmal gehört haben. Nicht unbedingt von dem Begriff, aber von dem, was dahinter steckt. „Skimming“ steht nämlich für eine Betrugsmasche, bei der Kriminelle Geldautomaten, Kassensysteme oder andere Terminals hacken, infizieren oder auf sonstige Weise manipulieren.
Was genau hinter dem Fachbegriff steckt und wie Unternehmen Ihre Terminals schützen, erklären wir hier.

Skimming von Automaten

Beim Skimming werden Geldautomaten oder andere Geräte so manipuliert, dass Kriminelle wichtige Daten abgreifen können. Bild: Pixabay/teguhjatipras

Relevanz von Skimming

„Ist Skimming für mein Unternehmen überhaupt relevant? Betrifft Skimming nicht nur Banken?“, könnten Sie womöglich nach dem Lesen der Einleitung dieses Beitrags denken. Am Grundgedanken ist etwas dran: Skimming ist vor allem als eine Angriffsform bekannt, die Banken betrifft. Aber Skimming ist auch für alle anderen Unternehmen relevant – nämlich für all jene, die Bank- oder Kreditkarten einlesen.
Denn: Unter dem Begriff Skimming sind alle Angriffsformen auf Geräte zu verstehen, die individuelle Karten mit benutzerbezogenen Daten einlesen. Hierzu gehören unter anderem Kreditkarten, Bankkarten, aber beispielsweise auch allgemeine Kundenkarten. Das Hauptziel der Kriminellen ist es, mithilfe von Skimming personenbezogene Daten abzugreifen und diese zu nutzen, um in ein System zu gelangen oder, wie beim herkömmlichen Kreditkartenbetrug, eine „Kontoplünderung“ vorzunehmen.

Welche Arten von Skimming gibt es?

Skimming kann durch das Hacken und Infizieren von Automaten mit Schadsoftware vollzogen werden oder durch den Einbau von zusätzlicher Hardware. Während Schadsoftware, die auf das Automatensystem zugreift und die eingegebenen Daten weitergibt (Jackpotting), bisher noch die Seltenheit ist, kommt bei Skimming traditionell Hardware zum Einsatz. Hierbei manipulieren Kriminelle Kartenlesegeräte vor allem durch sogenannte Peripheriegeräte, also an den Automaten angebrachte Systeme. Zu solchen Geräten gehören:

  • Magnetstreifen, die den auf einer Karte befindlichen Magnetsticker auslesen und somit die Kartendaten erhalten
  • Miniscanner, die Karte und/oder die PIN-/Passworteingaben einscannen
  • Mikrokameras und Wanzen, die meistens in der Leiste über dem Automaten-Eingabefeld angebracht werden und die Eingaben mitschneiden
  • Keylogger, die entweder als Vorschalt-Tastatur oder als fingierte PIN/-Passwort-Eingabegeräte (Skimmer) mit einer Frontplatte über die eigentlichen gelegt oder als Schnittstelle am Eingabefeld angebracht werden
  • Kartenlesegerät-Duplikate, die vor den eigentlichen Kartenlesegeräten befestigt werden

Zumeist gelangen Kriminelle durch Tailgating an die entsprechenden Geräte, um diese zu manipulieren.

Skimming von Kartenlesegeräten

Skimming-Angriffe auf einfache Bankkarten-Lesegeräte nehmen immer weiter zu. Bild: Pixabay/ahmadardity

Ist Ihr Unternehmen in Gefahr?

Aber nicht nur die Umsetzung von Skimming kann sich ganz unterschiedlich gestalten, auch die Angriffsziele variieren. Neben Geld- und Bankautomaten sind daher auch die folgenden Geräte gefährdet:

  • Geld- und Bankautomaten
  • moderne Ticket- oder Fahrkartenautomaten
  • Zigarettenautomaten
  • Tankstellenautomaten
  • Spielautomaten mit EC-Karten-Slots
  • Kassensysteme beziehungsweise gängige Ladenkassen mit Kartenlesegeräten
  • andere Terminals, die benutzerdefinierte Karten akzeptieren

Alle Unternehmen, die solche Geräte im Einsatz haben, können potentiell von Skimming betroffen sein und sollten Präventionsmaßnahmen treffen. Skimming auf Kassensysteme ist im Vergleich zu Skimming auf Automaten bisher deutlich seltener, jedoch nimmt die Zahl von Angriffen zu. Da nahezu jedes Geschäft – egal, ob Ladenlokal oder normierte Filiale – Kassengeräte mit eingebauten Kartenlesegeräten besitzt, wird Skimming zu einer immer größeren Gefahr. Kriminelle kleben dabei entweder einen Aufsatz auf das Originalgerät oder tauschen dieses durch ein identisches Gerät aus, das jedoch die Benutzerdaten weiterschickt.

Weitere Fallen bei der Benutzung von Bankkarten

Eine besondere Bedeutung kommt dem Skimming von kontaktloser Bezahlung zu. Viele Bankkarten sind mittlerweile mit RFID-Chips ausgestattet sind und ermöglichen somit die kontaktlose Bezahlung. Auch in Smartphones sind RFID-Komponenten für die kontaktlose Zahlung integriert. Kriminelle nutzen diese Funktion, um mit einem Lesegerät, einem speziellen Handy oder einer App die Daten des Zahlenden abzugreifen. Auch im Bereich der NFC (Near Field Communication), die ebenfalls beim kontaktlosen Bezahlen zum Einsatz kommt, werden Daten immer häufiger durch Skimming geklaut.
Um sich zu schützen, sind viele Banken und andere Betriebe, die ihren Kunden Automaten zur Verfügung stellen, dazu übergegangen, Türöffner einzurichten. Diese lassen sich außerhalb der Öffnungszeiten nur mit Hilfe einer benutzerdefinierten Karte wie einer Bankkarte öffnen. Allerdings schlafen die Betrüger nicht: Sie habe schon damit begonnen, solche Türöffner zu manipulieren und bereits hier die Kartendaten abzugreifen.

Skimming als Kreditkartenbetrug

Skimming zielt vor allem auf Kreditkartenbetrug und die damit verbundene Kontoplünderung ab. Bild: Pixabay/thedigitalway

So gehen die Kriminellen vor

Skimming kann sehr unterschiedlich aussehen. Zum Teil werden hierbei die Daten – egal, ob es sich um Kameraaufnahmen, Tastatureingaben oder Karteninformationen handelt – direkt per SMS oder Funk weitergeschickt. Zum Teil sind sie aber auch im implementierten Speicherchip gesichert, der von den Angreifern nach einiger Zeit ausgebaut und mitgenommen wird.
Mit den Daten wird das Geld eines Kontos teilweise direkt abgehoben und entwendet; teilweise wird damit aber auch die Identität einer Person gefälscht und Social Engineering betrieben. Und manchmal wird vorerst mit sogenanntem White-Plastic eine Kopie der ausspionierten Karte erstellt, mit der dann Geld abgehoben oder entsprechende Informationen beschaffen werden.
Ein solcher Betrug kann sehr plump umgesetzt sein und einem wachsamen Auge sofort auffallen, er kann aber auch in äußerster Komplexität und Professionalität durchgeführt werden. Es kann raffiniert versteckte Technik verwendet werden oder ein klar als solcher erkennbarer Geräteaufsatz zum Einsatz kommen.

Mit Antiskimming dem Skimming Herr werden

Schutzmaßnahmen vor der Manipulation von Automaten und Kassensystemen werden als Antiskimming-Methoden bezeichnet. Es gibt dabei verschiedene Arten, die Skimming entweder erschweren oder gänzlich verhindern. Hierzu gehören unter anderem:

  • Einsatz von magnetlose Karten
    Das BKA fordert bereits seit 2011 eine gesetzliche Vorschrift für unmagnetische Bankkarten.
  • Einsatz von Smartcards
    Moderne Karten sind nicht nur magnetlos, sondern kontrollieren im Gegensatz zu herkömmlichen Bank- und EC-Karten die Eingaben selbst.
  • Verwendung von nicht-linearen Karteneinzügen
    Die erschweren das Auslegen von Magnetstreifen enorm.
  • Verwendung von Schutzvorrichtungen vor den Karteneinzügen (Jitter/Timing-Bausteine)
    Das Anbringen von zusätzlichen technischen Vorrichtungen am Automaten, sogenannten Antiskimming-Modulen, die verhindern, dass weitere Bauteilen durch Kriminelle angebracht werden können. Hierzu gehören beispielsweise verschiedene Detektoren.
  • Überwachungsmaßnahmen
    Videoüberwachungssysteme haben eine abschreckende Wirkung. Wenn sich ein Krimineller davon trotzdem nicht beeindrucken lässt, kann das Videomaterial zumindest der Verfolgung des mutmaßlichen Straftäters dienen.

Sollten Sie Hilfe bei der Einrichtung von passenden Antiskimming-Modulen oder anderen Sicherheitsmaßnahmen benötigen, kontaktieren Sie einfach einen Partner des IT-SERVICE.NETWORK. Er nimmt sich Ihrem Anliegen gern an.

Geschrieben von

Robin Laufenburg unterstützt bereits seit 2018 den Blog des IT-SERVICE.NETWORK. Während er anfangs noch als Werkstudent Artikel schrieb, blieb er dem Blog auch nach seinem Masterabschluss in Germanistik erhalten. Mit privatem Interesse an der IT versteht er es, sich in komplexe Themen einzuarbeiten und sie in verständlicher Sprache darzustellen. Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen