Für die Meisten dürfte EC-Karten-Skimming, das Ausspähen bzw. Abschöpfen von Zahlungsdaten, nicht neu sein, allerdings hört man vermehrt, dass bei der Bestellung in Online-Shops Zahlungsdaten ausgespäht werden. Auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde am 09.01.2017 von mehr als 1000 deutschen Online-Shops berichtet, die derzeit von Online-Skimming betroffen seien.
Vorgehensweise bei EC-Karten- und Online-Skimming
Bei Skimming, zu deutsch Abschöpfen, werden Zahlungsinformationen ausgespäht. Bei EC-Karten-Skimming setzten die Täter überwiegend auf manipulierte Geldautomaten, dabei werden an den Bankautomaten vollständige Frontplatten angebracht oder die Täter installieren vor den Kartenlesegeräten manipulierte Einschubschächte. Mit den manipulierten Lesegeräten werden die Kartendaten ausgelesen und auf gefälschte Karten kopiert. Zeitgleich wird der PIN des Betroffenen / der Betroffenen mittels Kamera oder Tastatur-Attrappe aufgezeichnet. Neben veränderten Bankautomaten wurden allerdings auch manipulierte Türöffner identifiziert. Auch hier setzen die Täter auf Einschubschächte, die das Auslesen der Kartendaten ermöglichen. Dürften die meisten Bankkunden von dieser Masche bereits gehört haben und sensibler im Umgang mit ihren EC- und Kreditkarten verfahren, so könnte die Information, dass Täter ähnliche Vorgehensweisen bei der Bestellung in Online-Shops anwenden, allerdings neu sein.
Wie das Bundesamt für Sicherheit in der Informationstechnik berichtet, nutzen die Täter Sicherheitslücken in veralteten Programmen der Shops, dabei seien Online-Shops, die auf der Software Magento beruhen, betroffen. Die Cyber-Kriminellen schleusen eine Programm-Code ein, womit die Zahlungsdaten an die Täter übermittelt werden.
„ Datenschutz Skimming “ – Wie sich Betroffene vor Skimming schützen können
Betroffenen ist anzuraten sowohl beim Einsatz von EC-Karten bzw. Kreditkarten als auch bei Bestellungen in Online-Shops etwas vorsichtiger zu sein, da neben Skimming auch Phishing zum Datenklau führen kann.
Neben dem sensiblen Umgang sind ansonsten die Möglichkeiten der Betroffenen zum Schutz vor Skimming sehr eingeschränkt, da diese in dem meisten Fällen zunächst von dem Klau / Abfluss ihrer Daten nichts bemerken.
„ Datenschutz Skimming “ – Was verantwortliche Stellen beachten sollten
Sind die Möglichkeiten der Betroffenen zum Schutz ihrer personenbezogenen Daten vor Cyber-Kriminellen überschaubar, so gilt dies allerdings nicht für verantwortliche Stellen, insbesondere nicht für die Anbieter von Online-Shops.
Gemäß § 13 Abs. 7 des Telemediengesetztes (TMG) sind Betreiber von Online-Shops verpflichtet, ihre Systeme durch technische und organisatorische Vorkehrungen gegen unerlaubte Zugriffe und Störungen zu schützen. Zu diesen technischen Vorkehrungen gehört unter anderem das zeitnahe Einspielen von Sicherheitsupdates. Laut § 16 Abs. 2 Nr. 3 TMG handelt es sich um eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 50000 Euro bestraft werden kann, wenn der Betreiber vorsätzlich oder fahrlässig über eine in § 13 Abs. 7 Nr. 1 und 2 Buchstabe a genannte Pflicht zur Sicherstellung verstößt.
Des Weiteren sollten sowohl Banken als auch Betreiber von Online-Shops beachten, dass die gemäß § 42a BDSG dazu verpflichtet sind, Betroffene und die Aufsichtsbehörde über den Datenverlust durch Skimming, Phishing oder andere Formen von Datenklau/Datenverlust (gilt auch bei Verlust eines USB-Sticks mit personenbezogenen Daten) zu informieren. Dieser Informationspflicht muss vor allem bei besonderen Arten personenbezogener Daten, wie zum Beispiel Gesundheitsdaten, sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Aus diesem Grund sollte eine verantwortliche Stelle, wenn sie eine Datenpanne feststellt, – sofern vorhanden – den internen / externen Datenschutzbeauftragten unverzüglich einschalten.
Das schlimmste Szenario (Worst-Case) dürfte sein, dass der betroffene Personenkreis sehr groß ist und unter anderem personenbezogene Bankdaten, wie bei Skimming üblich, gestohlen wurden. In solchen Fällen sieht § 42a BDSG vor, dass über die Datenpanne in mindestens zwei bundesweit erscheinenden Zeitungen informiert wird oder eine andere Maßnahme ergriffen werden soll, die in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleichgestellt werden kann.
Neben Bußgeldern droht verantwortlichen Stellen bei einer Datenpanne ein erheblicher Imageverlust.
