> Online Skimming

Online-Skimming und EC-Karten-Skimming – Welche Gefahren für den Datenschutz Skimming verursacht

Datenschutz SkimmingFür die Meisten dürfte EC-Karten-Skimming, das Ausspähen bzw. Abschöpfen von Zahlungsdaten, nicht neu sein, allerdings hört man vermehrt, dass bei der Bestellung in Online-Shops Zahlungsdaten ausgespäht werden. Auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde am 09.01.2017 von mehr als 1000 deutschen Online-Shops berichtet, die derzeit von Online-Skimming betroffen seien.

Ihr externer Datenschutzbeauftragter erklärt, welche Gefahren für den Datenschutz Skimming verursachen kann und worauf Betroffene als auch verantwortliche Stellen, wie zum Beispiel Banken und Online-Shops, achten sollten.

Vorgehensweise bei EC-Karten- und Online-Skimming

Bei Skimming, zu deutsch Abschöpfen, werden Zahlungsinformationen ausgespäht. Bei EC-Karten-Skimming setzten die Täter überwiegend auf manipulierte Geldautomaten, dabei werden an den Bankautomaten vollständige Frontplatten angebracht oder die Täter installieren vor den Kartenlesegeräten manipulierte Einschubschächte. Mit den manipulierten Lesegeräten werden die Kartendaten ausgelesen und auf gefälschte Karten kopiert. Zeitgleich wird der PIN des Betroffenen / der Betroffenen mittels Kamera oder Tastatur-Attrappe aufgezeichnet. Neben veränderten Bankautomaten wurden allerdings auch manipulierte Türöffner identifiziert. Auch hier setzen die Täter auf Einschubschächte, die das Auslesen der Kartendaten ermöglichen. Dürften die meisten Bankkunden von dieser Masche bereits gehört haben und sensibler im Umgang mit ihren EC- und Kreditkarten verfahren, so könnte die Information, dass Täter ähnliche Vorgehensweisen bei der Bestellung in Online-Shops anwenden, allerdings neu sein.

Wie das Bundesamt für Sicherheit in der Informationstechnik berichtet, nutzen die Täter Sicherheitslücken in veralteten Programmen der Shops, dabei seien Online-Shops, die auf der Software Magento beruhen, betroffen. Die Cyber-Kriminellen schleusen eine Programm-Code ein, womit die Zahlungsdaten an die Täter übermittelt werden.

„ Datenschutz Skimming “ – Wie sich Betroffene vor Skimming schützen können  

Betroffenen ist anzuraten sowohl beim Einsatz von EC-Karten bzw. Kreditkarten als auch bei Bestellungen in Online-Shops etwas vorsichtiger zu sein, da neben Skimming auch Phishing zum Datenklau führen kann. Wenn Sie mehr zu den Gefahren durch Phishing erfahren möchten, dann lesen Sie dich unseren Beitrag „Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft“.

Neben dem sensiblen Umgang sind ansonsten die Möglichkeiten der Betroffenen zum Schutz vor Skimming sehr eingeschränkt, da diese in dem meisten Fällen zunächst von dem Klau / Abfluss ihrer Daten nichts bemerken.

„ Datenschutz Skimming “ – Was verantwortliche Stellen beachten sollten

Sind die Möglichkeiten der Betroffenen zum Schutz ihrer personenbezogenen Daten vor Cyber-Kriminellen überschaubar, so gilt dies allerdings nicht für verantwortliche Stellen, insbesondere nicht für die Anbieter von Online-Shops.

Gemäß § 13 Abs. 7 des Telemediengesetztes (TMG) sind Betreiber von Online-Shops verpflichtet, ihre Systeme durch technische und organisatorische Vorkehrungen gegen unerlaubte Zugriffe und Störungen zu schützen. Zu diesen technischen Vorkehrungen gehört unter anderem das zeitnahe Einspielen von Sicherheitsupdates. Laut § 16 Abs. 2 Nr. 3 TMG handelt es sich um eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 50000 Euro bestraft werden kann, wenn der Betreiber vorsätzlich oder fahrlässig über eine in § 13 Abs. 7 Nr. 1 und 2 Buchstabe a genannte Pflicht zur Sicherstellung verstößt.

Des Weiteren sollten sowohl Banken als auch Betreiber von Online-Shops beachten, dass die gemäß § 42a BDSG dazu verpflichtet sind, Betroffene und die Aufsichtsbehörde über den Datenverlust durch Skimming, Phishing oder andere Formen von Datenklau/Datenverlust (gilt auch bei Verlust eines USB-Sticks mit personenbezogenen Daten) zu informieren. Dieser Informationspflicht muss vor allem bei besonderen Arten personenbezogener Daten, wie zum Beispiel Gesundheitsdaten, sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Aus diesem Grund sollte eine verantwortliche Stelle, wenn sie eine Datenpanne feststellt, – sofern vorhanden – den internen / externen Datenschutzbeauftragten unverzüglich einschalten.

Das schlimmste Szenario (Worst-Case) dürfte sein, dass der betroffene Personenkreis sehr groß ist und unter anderem personenbezogene Bankdaten, wie bei Skimming üblich, gestohlen wurden. In solchen Fällen sieht § 42a BDSG vor, dass über die Datenpanne in mindestens zwei bundesweit erscheinenden Zeitungen informiert wird oder eine andere Maßnahme ergriffen werden soll, die in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleichgestellt werden kann.

Neben Bußgeldern droht verantwortlichen Stellen bei einer Datenpanne ein erheblicher Imageverlust. Möchten Sie mehr zum Thema Datenpanne erfahren, dann lesen Sie unseren Beitrag „Prävention statt Datenpanne – Bußgelder, Imageverlust und Informationspflichten bei Datenpannen gemäß § 42a BDSG“ und erfahren Sie, wie Sie sich gegen Datenpannen schützen können.

Falls Sie mehr zum Thema „ Datenschutz Skimming “ erfahren möchten oder sich nicht sicher sind, ob die getroffenen organisatorischen und technischen Vorkehrungen den datenschutzrechtlichen Bestimmungen genügen, können Sie sich gern an uns wenden. Holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Wir bieten unsere Dienste als externer Datenschutzbeauftragter an und führen nicht nur eine fachgerechte Prüfung ihres Anliegens aus, sondern stehen Ihnen mit Rat für die Findung alternativer Lösungen zur Verfügung, um das bestmöglichste Resultat zu erzielen. Sofern Sie einen Mitarbeiter als internen Datenschutzbeauftragten für diese Aufgabe vorsehen wollen, bieten wir ebenso Weiterbildungen und Schulungen an, um optimale Voraussetzungen zu schaffen. Auch der Support des internen Datenschutzbeauftragten durch unsere Datenschutzberater, die mit gezielter Datenschutzberatung unterstützen, führt für unsere Auftraggeber zu einem klaren Mehrwert.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.