Es gibt echte polizeiliche Leidensgeschichten, zum Beispiel die vom "Kommissar Zufall". So lange wie er im Geschäft ist und so erfolgreich er dabei war, müsste er längst zum Kriminaloberrat oder zum Innenminister befördert worden sein. Ist er aber nicht.

Das gilt ein wenig auch für den Kriminaloberkommissar Bull von der Polizeidirektion Lebenstedt im Vorharz, der sich besonders mit der Betrugs-, Wirtschafts- und Computerkriminalität auskennt. Seine Spezialität ist das Erfragen von Fakten bei der Anzeigenaufnahme. Er ist davon überzeugt ist, dass da draußen viele Schmutzfinken ('tschuldigung Klaus, das musste sein) am Werk sind, aber er traut auch den heulenden und scheinheiligen Anzeigeerstattern nicht immer.
 

 Das begann schon damals, Mitte der Neunziger Jahre, mit den Dialern. Es gab gemeine Programme, die nach Art der Homerschen Sirenen säuselten und dann doch nur ein Trojanisches Pferd waren: Ich helfe Dir beim Zugang zum Interne! Sie schufen die Einstellungen, um ein sprödes Windows mit dem Internet zu verbinden - unwiderruflich. Meistens waren die Sirenen aber leicht bekleidet und instinktoptimiert und lockten die großäugigen Anwender zu teuren Mehrwertdiensten unter dem Nummernkreis 01900 und der war seinerzeit frei tarifierbar, also manchmal teuer bis zum Ende. Heute müssen die Kosten genau angegeben werden, damals noch nicht. Was die Dialer manchmal verschwiegen, war, dass sie jeden Internetzugang zum Mehrwertdienst umleiteten: E-Mails, Suchmaschinen und alles andere zum Stöhntarif. Wer das Stöhnen und Flirten will, soll dafür auch bezahlen. Wenn solche Mehrwertdienste aber nicht geboten werden und einfach nur der Computer verbogen wird, dann kann man schon mal an Betrug oder an Computerbetrug denken ( §§ 263, 263a StGB). Manche Varianten stellten sich darauf ein und wurden zu Formwandlern: Waren sie erst einmal installiert, präsentierten sie sich als Saubermänner, die alles genau erklären, was sie tun und welche Folgen das hat. Der Schönheitsfehler war, dass das nicht auch bei der Erstinstallation gemeldet wurde. Ooh!
 

 
KOK Bull ist der Mann für die schwierigen Fälle, wenn's ums Geld geht. Nicht das Geld, das gestohlen wurde ( § 242 StGB), das der Finder irgendwie herrenlos wähnte (Unterschlagung: § 246 StGB) oder das ein unfreundlicher Mitmensch mit klaren Ansagen einforderte (räuberische Erpressung: §§ 255 i.V.m. 249 StGB), sondern das, das plötzlich auf dem Kontoauszug von der Bank als Soll-Buchung erscheint und deshalb weg ist, weil es das Guthaben schmälert oder den Verfügungsrahmen ausreizt. Die uniformierten Leute aus der Wache schicken deshalb alle aufgebrachten Anzeigeerstatter zu ihm vom Kriminalermittlungsdienst, die mit irgendwelchen Papieren wedeln, egal, ob es sich dabei um Kontoauszüge von Banken, Telefonrechnungen oder andere mehr oder weniger aussagekräftige Drucke handelt.

Skimming (1) ist ein mehraktiges Delikt, bei dem zunächst die auf der Zahlungskarte gespeicherten Daten und die Persönliche Identifikationsnummer - PIN - ausgespäht werden. Die Gelegenheit dafür gibt es an Geldausgabeautomaten von Banken, an den handlichen POS-Terminals (Point of Sale) im Einzelhandel, an Fahrkartenautomaten und an allen anderen Stellen, wo mit der Zahlungskarte und Eingabe der PIN Zahlungen autorisiert werden können, zum Beispiel an Tankstellen (2). Im zweiten Schritt werden die ausgespähten Kartendaten auf Dubletten kopiert. Das bewertet der Gesetzgeber grundsätzlich als Verbrechen und stellt das Delikt der Fälschung von Geld gleich: Fälschung von Zahlungskarten mit Garantiefunktion; § 152b StGB. Das finale Ziel der Täter ist der Gebrauch der gefälschten Zahlungskarten, um damit aus Geldausgabeautomaten Geld zu ziehen (Cashing). Das ist der Gebrauch gefälschter Zahlungskarten mit Garantiefunktion und ebenfalls als Verbrechen strafbar gemäß § 152b StGB. Gleichzeitig ist das ein Computerbetrug gemäß § 263a StGB, weil ein Datenverarbeitungsvorgang durch unbefugte Verwendung von Daten beeinflusst wird.

Mit Fragen eröffnet man kein Gespräch zwischen Polizei und Bürger, lernt man in der Klippklasse der Polizeischule. Das gilt besonders für das "Verkehrsquiz", bei dem der Beamte den aus dem Straßenverkehr gewunkenen Autofahrer einleitend fragt: "Wissen sie, was sie falsch gemacht haben?" Taktisch war Bulls Frage hingegen geschickt.

Über das maschinenlesbare Merkmal - MM - verfügen alle in Deutschland von den Banken herausgegebenen Zahlungskarten. Es handelt sich um kodierte Merkmalsstoffe im Körper der Karte, deren Code verschlüsselt auch auf dem Magnetstreifen und dem EMV-Chip abgelegt ist (3). In allen deutschen Banken werden die Kodierungen im Kartenkörper und auf dem Datenträger gegeneinander abgeglichen. Mit dem Ergebnis: An Geldausgabeautomaten in Deutschland lassen sich keine gefälschten Zahlungskarten verwenden, deren Original von einer deutschen Bank herausgegeben wurde. Bislang haben die Skimmingtäter das MM nicht fälschen können.

Wenn der Anzeigeerstatter tatsächlich das Geld selber abgehoben hätte, würde er gerade eine Straftat vortäuschen und könnte dafür bestraft werden ( § 145d StGB). Wenn er bei der Abhebung gewusst hätte, dass sein Konto ungedeckt ist, könnte er sich auch wegen des Missbrauchs einer Scheckkarte strafbar gemacht haben, wenn er den Geldautomaten einer anderen Bank als seiner Hausbank genutzt hätte ( § 266b StGB) (4), nicht aber wegen eines Betruges oder Computerbetruges ( §§ 263, 263a StGB).

Bull fragt nicht ohne Bedacht, weil es häufiger vorkommt, dass ein nach Freiheit drängendes Kind die Zahlungskarte der Eltern "ausleiht", um am Automaten Zigaretten zu ziehen oder das knappe Taschengeld aufzubessern. Das vorübergehende "Ausleihen" der Karte ist eine straflose Gebrauchsentwendung (5). Hebt es ohne Wissen und Billigung der Eltern Geld am Geldausgabeautomaten ab, dann begeht es einen Computerbetrug zum Nachteil der Bank ( § 263a StGB) (6).
 

Zahlungskarten haben eine vom Zahlungsdienstleister bestimmte Geltungsdauer und werden dann durch neue ersetzt. Allerdings wird bei einem solchen Kartentausch in aller Regel keine neue PIN vergeben. Das geschieht nur bei der ersten Zusendung oder wenn der Kunde eine neue Karte wegen des Verlust' der alten beantragt. Im Zusammenhang mit dem Diebstahl von Ersatz-Zahlungskarten auf dem Postweg muss der Dieb also weitere Anstrengungen unternehmen, um auch an die PIN zu gelangen. Entweder muss er sie beim Bankkunden irgendwie ausspähen oder der Bank vorgaukeln, es handele sich um den Ersatz einer verloren gegangenen Karte. Das sind nicht ganz einfache Unterfangen. Bulls Ermittlungen werden deshalb ebenfalls schwierig. Mit dem Anzeigeerstatter muss er zunächst ein ernstes Gespräch darüber führen, ob er nicht doch irgendwann irgendwem seine PIN mitgeteilt hat, zum Beispiel bei einer Zahlung im Internet. Mit der kartenausgebenden Bank ist zu klären, ob es eine Häufung vergleichbarer Fälle gegeben hat.

Alle Lösungen in diesem Fall sind eigentlich unbefriedigend. Es hat ziemlich sicher eine Bargeldauszahlung an einem Geldausgabeautomaten in Bayreuth gegeben und das funktioniert bei einem deutschen Bankkonto nur, wenn die Kodierung des MM mit dem Code im EMV-Chip auf der Karte überein stimmt. Das ist ein weiterer Grund dafür, dass es sich nicht um klassisches Skimming handeln kann: In Deutschland und in ganz Europa wird für die Autorisierung an Geldausgabeautomaten nur noch der EMV-Chip ausgelesen und nicht mehr der Magnetstreifen. Das Cashing findet deshalb nur noch außerhalb Europas statt.

Glaubt man dem Anzeigeerstatter, dass er nicht selber das Geld abgehoben hat, liegt ein Diebstahl am nächsten. Das Beispiel dafür gibt der klassische Lebanese Loop, wobei der Kunde zunächst bei der PIN-Eingabe beobachtet und dann seine Zahlungskarte gestohlen wird. Das würde aber bedeuten, dass er seine Zahlungskarte nicht mehr hätte. Hat er aber. Sollte vielleicht doch ein Familienmitglied eine Gebrauchsentwendung durchgeführt und sein Taschengeld aufgebessert haben? Dann müsste sich der Anzeigeerstatter irren, wenn er meint, die Karte immer bei sich geführt zu haben.

Bulls Idee mit der neuen Ersatzkarte ist nicht schlecht, aber sehr spekulativ. Bei der Bank muss nachgefragt werden, ob wegen ihr auch eine neue PIN vergeben wurde. Das würde einen Diebstahl beider Briefe auf dem Postweg plausibel machen. Vermutlich ist das aber eine Sackgasse, weil keine neue PIN mitgeteilt wurde.

Dass das Ausspähen von PINn mit dem Diebstahl von Ersatzkarten kombiniert wird, ist bislang noch nicht beobachtet worden. Ausgeschlossen ist ein solcher Modus nicht. Für ihn reicht es aber nicht, wahllos PIN-Eingaben an Geldausgabeautomaten oder POS-Terminals zu beobachten, sondern sie müssen auch noch Personen zugegordnet werden. Solche Aktionen müsste man vor allem Anfang November erwarten, weil die neuen Karten  etwa 4 bis 6 Wochen vor dem Jahresende versandt werden (9). Recht unwahrscheinlich ist es auch, dass die PIN per Internet ausgeforscht wurde. Sie wird für das Bezahlen im Internet nicht benötigt und wird deshalb nirgendwo auf einem angegriffenen PC gespeichert sein. Die Täter müssten sie deshalb beiläufig im Zusammenhang mit einem Bezahlvorgang beim Onlinebanking oder beim eCommerce abfragen (Phishing). Wenn sie das können, dann liegt es nahe, dass sie das Onlinebanking selber manipulieren und nicht auch noch den Aufwand betreiben, die neue Karte auf dem Postweg zu stehlen.

Richtig verschwörungstheoretisch und spekulativ wird es, wenn wir annehmen, ein Angehöriger oder Hausnachbar mit Zugriff auf den Briefkasten des Anzeigeerstatters habe sich vor Jahren die Nachricht mit der PIN abgriffen und dann weitergegeben (Entschuldigung, der Brief war in meinem Briefkasten und ich habe ihn versehentlich aufgemacht). Beim Zugang der neuen Karte hat er dann seine Chance ergriffen. Wahrscheinlicher wäre die Annahme, dass die aktuellen Skimmingtäter auch den EMV-Chip und das MM fälschen können.

Oder handelt es sich einfach nur um eine falsche Buchung?
 

(1) Einzelheiten: Dieter Kochheim, Skimming #3, März 2012.

(2) Ende der Überfahrt nach 60 Tagen, 28.06.2011, Anmerkung 11. Nach einem Datenabgriff an einer Tankstelle in Castrop-Rauxel sollen 1 Mio. € Schaden entstanden sein.

(3) Sicherheitsmerkmale und Merkmalstoffe, 06.02.2010

(4) Kontoeröffnung und Verfügungen unter einer Legende, 18.03.2012

(5) BGH, Beschluss vom 16.12.1987 - 3 StR 209/87 (furtum usus). Will der Täter tatsächlich die Karte stehlen, dann begeht er einen Diebstahl (Gewahrsamsbruch zu Lasten des Karteninhabers, § 242 StGB). Auf den Wert der Karte kommt es dabei nicht an. Sie ist ein auf die Person des Kontoinhabers ausgestelltes Zahlungsauthentifizierungsinstrument
( §§ 675k, 675l, 675m BGB), das wie ein Ausweis oder Führerschein zu behandeln und deshalb keine geringwertige Sache im Sinne von § 148a StGB ist (Fischer, § 248a StGB, Rn 4 unter Hinweis auf BGH, Urteil vom 12.02.1987 – 4 StR 224/87).
Wenn das Kind die Karte stiehlt, dann bedarf es zur Strafverfolgung eines ausdrücklichen Strafantrages der Eltern (Familiendiebstahl, § 247 StGB).

(6)  BGH, Beschluss vom 30.01.2001 – 1 StR 512/00, Abs. 5.

(7) Kreditkartenbetrug, 23.10.2010

(8) eierlegende Wollmilchsau, 20.03.2011

(9) Während die Laufzeit von Kreditkarten (zum Beispiel von Master) nach Monaten angegeben wird, ist die von Zahlungskarten zu Kontokorrentkonten (zum Beispiel Maestro) auf das ganze Jahr bezogen. Sie werden zwischen Mitte November und Mitte Dezember des Ablaufjahres durch neue ersetzt.