Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Mai 2010
14.05.2010 Skimming
     
zurück zum Verweis zur nächsten Überschrift Ausspähen von Daten und das Skimming

 
Das bloße Auslesen der auf dem Magnetstreifen einer Zahlungskarte mit Garantiefunktion gespeicherten Daten, um mit diesen Daten Kartendubletten herzustellen, erfüllt nicht den Tatbestand des Ausspähens von Daten ( § 202 a Abs. 1 StGB n.F.). BGH (4)
 

 
2005 hat der BGH das Auslesen der Magnetstreifendaten von Zahlungskarten noch als das Ausspähen von Daten im Sinne von § 202a Abs. 1 StGB angesehen (1). Dagegen hat sich im Januar 2010 ein anderer Senat des BGH gewandt mit dem Argument, Zahlungskarten (wie alle Identifikationskarten mit Magnetstreifen) verfügten über keine Zugangssicherung (2), so dass der strafrechtliche Schutz nicht greife (3). Dabei hat der vierte Senat etwas getrickst, indem er die nach § 132 Abs. 3 Satz 1 GVG nötige Beteiligung der anderen Senate unterließ. Das hat er jetzt in einem anderen Fall nachgeholt (4).

Mit der neuen Auffassung des BGH setzt sich jetzt Goya Gräfin Tyszkiewicz bei HRR auseinander (5), die auch den Cyberfahnder zitiert (6).

Tyszkiewicz folgt im Ergebnis der neuen Ansicht des BGH, was mich nicht wundert.

Der BGH befasst sich auch mit dem Autorisierungsverfahren (Kasten unten links) und bestätigt damit das, was auch der Cyberfahnder veröffentlicht hat (7). Lediglich auf die Verschlüsselung mit dem DES-Algorithmus habe ich bislang nicht hingewiesen (8).
 

 
Zwei interessante Textpassagen steuert auch Tyszkiewicz bei. Sie beschäftigen sich mit dem Aufbau des Magnetstreifens (Kasten unten Mitte)  und ebenfalls mit dem Autorisierungsverfahren (Kasten unten rechts), das sie Authentifizierung nennt.

Streng genommen handelt es sich um zweierlei: Die Authentifizierung gilt der Karte und ihrem Benutzer und die Autorisierung zur Genehmigung der Verfügung./p>

Sie steuert jetzt die "Sicherungsnummer" bei, von der ich bislang wenig weiß. Sie ist mit Sicherheit nicht die PIN im Klartext, wohl aber ein Prüfwert, der in Korrelation mit der PIN und anderen Merkmalen der Karte steht.

Irgendwann einmal wird auch das von mir erklärte MM in der juristischen Literatur auftauchen (9).

Der Cyberfahnder hat das Urteil des Landgerichts Hannover vom 17.11.2009 - 6403 Js 43834/09 - veröffentlicht. Der BGH hat die dagegen gerichteten Revisionen Ende April 2010 ohne weitere Begründung verworfen.


 

zurück zum Verweis Zitate

 
Zwar erfolgt die Autorisierung bei der Verwendung einer Zahlungskarte mit Garantiefunktion ausschließlich über die Eingabe der PIN (...). Diese wird aber nicht durch Lesen der Daten aus dem Magnetstreifen ermittelt, sondern mit dem Triple-DES-Algorithmus, einem 128-Bit-Schlüssel, aus der auf dem Magnetstreifen gespeicherten Konto-Nummer, der Kartenfolge-Nummer und der jeweiligen Bankleitzahl des Karten ausgebenden Instituts - nunmehr ausschließlich online (...) - errechnet und mit der vom Benutzer des Geldautomaten eingegebenen PIN verglichen (...). Die Sicherung der der Berechnung der PIN zu Grunde liegenden Daten mittels eines kryptografischen Schlüssels (...) schützt die auf dem Magnetstreifen einer Zahlungskarte gespeicherten Daten zwar vor unbefugter Verwendung der Daten, nicht aber vor dem unberechtigten Zugang zu diesen Daten durch Auslesen mittels eines Lesegeräts. BGH (10)
 

 
Der Magnetstreifen einer EC-Karte enthält drei sog. Spuren. Die erste kann mit alphanumerischen Datensätzen, die zweite und dritte nur mit numerischen Datensätzen beschrieben werden. Für den Beschreibungsvorgang ist eine Codierung der Informationen erforderlich. Herangezogen wird dafür ein Code,... der einheitlich für Datenspeicherungen auf handelsüblichen Magnetstreifen verwendet wird. Nach der abgeschlossenen Beschreibung enthält der Magnetstreifen der EC-Karte folgende Informationen ...: Den Benutzernamen und dessen Kontonummer (die gleichzeitig die EC-Kartennummer ist), den Landescode und die Gültigkeitsdauer. Zudem befindet sich auf der dritten Spur eine verschlüsselte Sicherungsnummer. Diese Sicherungsnummer entspricht nicht der PIN. Sie ist jedoch der PIN dergestalt zugeordnet, dass sie als Referenzinformation bei der erforderlichen Authentifizierung am Geldautomaten durch Eingabe der PIN fungiert. Tyszkiewicz (11)
 
 
In dem Augenblick, in dem der Skimmer die Karten-Daten und die PIN durch das Auslesen/Filmen erhält, verfügt er über alle nötigen Voraussetzungen, um an Kontoinformationen zu gelangen, die ausschließlich dem Kontoinhaber und seiner Bank zustehen. Der Täter muss lediglich die Kartendaten auf einen Kartenrohling (sog. White Plastic) überspielen, um Geld abheben zu können ... – ein Vorgang, der nur Minuten dauert. Jeder Vorgang des Geldabhebens erfordert einen Datenaustausch. Sobald die EC-Karte (oder die Dublette) durch den Kartenleser in das Terminal gezogen wird, baut der Geldautomat über die Kopfstellen der Verbände eine Verbindung zum Autorisierungssystem der Kundenbank auf. Im Rahmen dieses Autorisierungssystems wird die Karte gegen eine Sperrdatei und die eingegebene PIN (anhand der Sicherungsnummer) auf Plausibilität geprüft. Schließlich wird der vom Benutzer eingegebene Zahlbetrag dem Kontostand (Guthaben und Dispokredit) des Kontoinhabers gegenübergestellt. ... Fällt die Prüfung eines Punktes negativ aus, wird die Zahlung abgewiesen. Tyszkiewicz (12)
 
zurück zum Verweis Anmerkungen
 


(1) BGH, Urteil vom 10.05.2005 – 3 StR 425/04

(2) BGH, Beschluss vom 14.01.2010 – 4 StR 93/09, S. 4

(3) Arbeitspapier Skimming #2

(4) BGH, Beschluss vom 18.03.2010 - 4 StR 555/09

(5) Goya Gräfin Tyszkiewicz, Skimming als Ausspähen von Daten gemäß § 202a StGB? HRR 4/2010, 207

(6) Tyszkiewicz, Fußnote 10.

(7) Autorisierung und Clearing, 02.08.2009

(8) Data Encryption Standard

(9) Sicherheitsmerkmale und Merkmalstoffe, 06.02.2010

 

 
(10) BGH (4), Rn 6 (S. 5 f.)

(11) Tyszkiewicz (6)

(12) Tyszkiewicz (6)
 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 03.07.2010