Rechtsgrundlagen

Seminararbeit

Kreditkartenbetrug

Manuel FauxMarion Haller

15. Janner 2010

ii

Vorwort

Der bargeldlose Zahlungsverkehr befindet sich weiterhin auf dem Vormarsch. Ein immer großererAnteil der Handelsumsatze erfolgt mit dem Geld in elektronischer Form.

Der Markt von Kreditkartenanbietern und Abrechnern war in Osterreich bis vor einigenJahren realtiv unbeweglich; nicht zuletzt aufgrund der fur die Handler verbundenen Kosten derbargeldlosen Zahlung. Durch intensive Bemuhungen der Bundessektion und durch den Vorteiluberall und jederzeit Waren und Dienstleistungen zu erwerben geriet der Markt schließlich inBewegung.

In der taglichen Geschaftswelt, sowie im Privatleben gehort die Kreditkarte zum standigenBegleiter, man ist niemals ohne Geld; und dennoch hort man von der Kreditkarte als Schul-denfalle, wo doch die Voraussetzung zum Erhalt einer Kreditkarte die ausreichende Bonitatist, die haufig in Form regelmaßiger Zahlungseingange nachgewiesen werden muss.

Das internationale Zahlungsmittel wird sehr haufig fur online Geldtransaktionen verwendet,es wird von fast allen Webshops anerkannt und oft auch als einziges Zahlungsmittel akzeptiert.Doch wie sicher sind Kreditkartendaten im Internet? Wie sieht die Rechtslage bei Kreditkar-tenbetrug aus? Wer haften fur den entstandenen Schaden, wer kann belangt werden?

iii

iv

Inhaltsverzeichnis

1 Verbreitung und Entwicklung in Osterreich 11.1 Kreditkarten im Umlauf im Jahre 2008 . . . . . . . . . . . . . . . . . . . . . . . 11.2 Kreditkarten im Umlauf im ersten Halbjahr 2009 . . . . . . . . . . . . . . . . . 1

2 Polizeiliche Kriminalstatistiken 22.1 Kreditkartenbetrug in Osterreich . . . . . . . . . . . . . . . . . . . . . . . . . . 22.2 Kreditkartenbetrug in Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . 22.3 Die Dunkelfeldproblematik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

3 Erklarungsansatze fur den Kreditkartenmissbrauch 53.1 Der Einfluss des Verbreitungsgrades . . . . . . . . . . . . . . . . . . . . . . . . 53.2 Zugangsbarrieren und Entdeckungsrisiken . . . . . . . . . . . . . . . . . . . . . 6

3.2.1 Datenabgriff im Onlinebereich . . . . . . . . . . . . . . . . . . . . . . . 63.2.2 Datenabgriff im stationaren Handel . . . . . . . . . . . . . . . . . . . . . 73.2.3 Datenabgriff an Bankomaten . . . . . . . . . . . . . . . . . . . . . . . . 8

3.3 Illegale Markte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

4 Akzeptanzsstellen fur den betrugerischen Einsatz 94.1 Missbrauch im stationaren Handel . . . . . . . . . . . . . . . . . . . . . . . . . 94.2 Missbrauch an personalfreien Akzeptanzstellen . . . . . . . . . . . . . . . . . . 94.3 Missbrauch an Bankomaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

5 Arten zur rechtswidrigen Erlangung von Kreditkarten(-daten) 105.1 Der Diebstahl von Kreditkarten . . . . . . . . . . . . . . . . . . . . . . . . . . . 105.2 Das Skimming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105.3 Die Methode des Lebanese Loop . . . . . . . . . . . . . . . . . . . . . . . . . . . 115.4 Datendiebstahl im Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115.5 Kreditkartenantragsbetrug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

6 Kreditkartenmissbrauch aus juristischer Sicht 126.1 Kreditkartensysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

6.1.1 Das Zwei-Parteien-System . . . . . . . . . . . . . . . . . . . . . . . . . . 126.1.2 Das Drei-Parteien-System . . . . . . . . . . . . . . . . . . . . . . . . . . 136.1.3 Das Vier-Parteien-System . . . . . . . . . . . . . . . . . . . . . . . . . . 14

6.2 Haftungsfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146.2.1 Allgemeine Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 146.2.2 Rechtliche Situation bis November 2009 . . . . . . . . . . . . . . . . . . 156.2.3 Das Zahlungsdienstegesetz 2009 . . . . . . . . . . . . . . . . . . . . . . . 15

7 Sicherheitsmerkmale 167.1 Aufbau einer Kreditkarte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167.2 Der CVC 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

v

1 Verbreitung und Entwicklung in Osterreich

Die Anzahl der ausgegebenen Kreditkarten steigt von Jahr zu Jahr. Die folgenden aktuellenStatistiken befassen sich mit dem weiterhin beliebtesten Zahlungsmittel der Osterreicher.

Abbildung 1: Anzahl der ausgegebenen Kreditkarten in Osterreich [OeNB09]

1.1 Kreditkarten im Umlauf im Jahre 2008

Der Kreditkartenmarkt erfreute im Jahr sich eines Wachstums von 3,4%, dies sind 85 708 Kre-ditkarten mehr als im Jahre 2007. Mit 2,45 Mio. Kreditkarten von PayLife, card complete,Diners Club und American Express wurden 67 Mrd. Mal Zahlungen durchgefuhrt; das ent-spricht einem Anstieg von 7,1% oder 4,47 Mio. Transaktionen gegenuber dem Vorjahr.

Durchschnittlich wechselten 110 Euro pro Transaktion den Besitzer, im Jahre 2007 lag derdurchschnittliche Wert einer Transaktion bei 109 Euro. Das gesamte Zahlungsvolumen betrug2008 7,40 Mrd. Euro; ein Anstieg um 0,59 Mrd. (8,7%) gegenuber dem Vorjahr.

Bargeldbehebungen beliefen sich im Jahre 2008 auf 4,53 Mio., dies entspricht einem Gesamt-betrag von 0,89 Mrd. Euro. Im Jahre 2007 wurde 4,06 Mio. Mal Bargeld behoben (0,81 Mrd.).Die Anzahl der Abhebungen erhohte sich somit um 0,47 Mio. oder 11%. Es wurden 2008durchschnittlich 195 Euro behoben; im Jahre 2007 waren es 199 Euro.[APA09]

1.2 Kreditkarten im Umlauf im ersten Halbjahr 2009

Im Vergleich zu dem oben erwahnten Jahresultimo 2008 gab es Ende Juni 2009 um 32 579 Kre-ditkarten mehr. Dies bedeutet, dass im Juni 2009 zirka 2,48 Mio. Kreditkarten in Osterreichdurch die meldepflichtigen Kreditinstitute, wie PayLife, card complete, American Express Aus-tria und Air Plus, ausgegeben wurden.

Mit den Kreditkarten erfolgten 34 Mio. Transaktion im In- und Ausland. Der Prozentsatzder Zahlungen stieg um 6,6% im 1. Halbjahr 2009 im Vergleich zum 1. Halbjahr 2008; dieswaren 2,12 Mio. Zahlungen mehr. Der Gesamtwert dieser Zahlungen betrug 3,77 Mrd. Euro,

1

er stieg somit um 0,19 Mrd. (5,3%) gegenuber dem 1. Halbjahr 2008. Der durchschnittlicheWert einer Transaktion betrug 110 Euro; um einen Euro weniger als im 1. Halbjahr 2008.

Bargeld wurde im 1. Halbjahr 2009 um 0,02 Mio. oder 0,9% weniger behoben als im 1.Halbjahr 2008. Im ersten Halbjahr 2009 belief sich der Gesamtwert der Bargeldabhebungenauf 0,44 Mrd. Euro; im Halbjahr 2008 betrug dieser 0,45 Mrd. Es errechnet sich ein Durch-schnittswert der Transaktion von 192 Euro, statt 194 Euro im 1. Halbjahr 2008. [OeNB09]

2 Polizeiliche Kriminalstatistiken

Derzeit werden etwa 40 Prozent aller Zahlungen in Osterreich ohne Bargeld abgewickelt. Essind mehr Bankomatkarten im Umlauf als es Erwachsene Osterreicher gibt. Interessant ist inweiterer Folge die Aufklarungsrate von Kreditkartendelikten.

In den PKS ist nur ein geringer Anteil der tatsachlich bekannten Kreditkartendelikten zuvermuten. Hauptsachlich liegt dies daran, dass zum einen die Betroffenen den Missbauch nichtzur Anzeige bringen und zum anderen daran, dass Banken und Kreditkartenorganisationen nurbei konkreten Verdachtsmomenten Anzeigen gegen Tatverdachtige erstatten.

Die folgenden Kapiteln befassen sich mit Statistiken aus Osterreich, sowie Deutschland.

2.1 Kreditkartenbetrug in Osterreich

Das beziehen einer vertrauenswurdige Statistik ist in Osterreich nur sehr schwer bis hin zuuberhaupt nicht moglich, da zum einen die Kreditkarteninstitute diese Zahlen verbergen mochtenund zum anderen der Missbrauch von Kreditkarten in §§ 147 oder 148 StGB fallt, welcher ei-gentlich jeglichen Betrug im Bereich der IT umfasst. Die Statistik Austria erfasst die Deliktein der Kriminalstatistik in Deliktgruppen. Die fur diese kriminellen Handlungen passende De-liktgruppe ware ”Betrug insgesamt“, welche jedes Delikt das in §§ 146-147 StGB fallt abdeckt.

2.2 Kreditkartenbetrug in Deutschland

In Deutschland wird der Betrug mit Kreditkarten als strafrechtlich relevante Deliktart unterdem Straftatenschlussel mit der Nummer 5164 als Unterart der Vermogens- und Falschungsdeliktejahrlich vom BKA aufgefuhrt. Es werden die Betrugsfalle, von den polizeilichen Behorden, mitzuvor rechtswidrig erlangten Kreditkarten registriert.

Abbildung 2 veranschaulicht den polizeilich registrierten Betrug mit Kreditkarten und diezahlenmaßige Entwicklung fur den Zeitraum von 1996 bis 2006 in Deutschland. Anhand dergrafischen Auswertung, kann man erkennen, dass nach der relativ unveranderten Betrugsrate,mit zirka 26 000 Fallen pro Jahr im Zeitraum zwischen 1996 und 1998, ein enormer Anstieg furden Zeitraum von 1999 bis 2001 zu beobachten ist. Aus dem Vergleich des Jahres 2000 zum Jahr1998 ist ersichtlich, dass sich die Betrugsraten mit 55 747 Fallen mehr als verdoppelt haben.Nach dem hochsten Wert im Jahre 2002 ist zuerst ein starker und dann ein koninuierlicherRuckgang der Kriminaldelikte im Bereich Kreditkartenbetrug zu verzeichnen.

Anzumerken sei, dass samtliche Erscheinungsformen des Kreditkartenbetrugs unter demStraftatenschlussel summiert wurden. Einen Nachweis fur jeden Tatbestand gibt es daher nichtund auch der Einblick nach dem betrugerischen Einsatz von Kreditkarten an Bankomaten, imstationaren Handel sowie im E-Commerce ist nicht gewahrleistet.

Daher bleibt unbekannt, ob man von einem Ruckgang in allen Akzeptanzfelden sprechenkann oder ob der Betrug mit Kreditkartendaten in einzelnen Bereichen sogar gestiegen ist.

2

Abbildung 2: Polizeilich erfasste Falle von Kreditkartenbetrug in Deutschland

Eine weitere Statistik vom Bundeskriminalamt in Deutschland erlaubt eine differenzierung dereinzelnen Delikte in Verbindung mit Zahlungskarten allgemein, fur die Verwendung in einerKreditkarten-Betrugsstatistik sind diese jedoch nicht zu gebrauchen. Dabei handelt es sichum folgenden Straftatenschlussel: 4955 Diebstahl von unbaren Zahlungsmitteln, 5165 Betrugmittels rechtswidrig erlangter Daten von Zahlungskarten, 5530 Falschung von Zahlungskartenund 5531 Gebrauch falscher Zahlungskarten.

Besondere Regelungen gelten beim Erfassen von Straftaten in die PKS; bestellt ein Betrugermit zuvor gestohlenen Kreditkartendaten im Rahmen des Fernabsatzgeschafts Waren uber dasInternet und wird dieser Tatbestand und erfolgt eine Anzeige, wird diese Straftat als Betrugmittels rechtswidrig erfassten Straftat die betrugerische Benutzung einer Kreditkarte zugrunde,so hat die Zuweisung dieser Staftat zu der Staftatenschlusselnummer 5164 auch Vorrang zuallen ubrigen Betrugsdelikten wie etwa zum Computerbetrug.

Debitkarten Eine Debitkarte ist in Deutschland rechtlich eine Zahlungskarte nach § 152aAbs. 1 Nr. 1 StGB in Verbindung mit Abs. 4, bei dieser das Girokonto des Karteninhabers sofortoder innerhalb weniger Tage belastet (debitiert) wird. Umgangssprachlich wird die Debitkartefalschlicherweise als ”Scheckkarte“ beziehungsweise ”EC-Karte“ bezeichnet.

In Deutschland im Jahr 2008 ist der Betrug mittels Debitkarten um 24,6% auf 21 820 regis-trierte Falle gesunken. Ausloser fur diese Abnahme konnten die vermehrte Kontrolltatigkeitdes Handels oder die Einrichtung einer zentralen Sperrdatei fur das elektronische Lastschrift-verfahren beim EuroHandelsinstitut sowie die Umstellung auf das sicherere PIN-Verfahrensein.

Es konnen nurmehr 7 940 Falle, das entspricht einem Ruckgang von 14,4%, mittels rechts-widrig erlangter Kreditkarten beklagt werden. [Sic09]

3

Abbildung 3: Zahl der Tatverdachtigen im Verhaltnis zu den polizeilich erfassten Fallen

2.3 Die Dunkelfeldproblematik

Ein ausreichender Nachweis ist nicht nur aus den oben genannten Grunden nicht moglich, wiebei allen amtlich registrierten Straftaten gibt es auch beim Kreditkartenbetrug eine Dunkelzif-fer. Die Dunkelfeldproblematik beinhaltet zwei Aspekte, einen taterspezifischen und einen aufdie Anzahl der amtlich nicht bekannt gewordenen Straftaten, der so genannten Dunkelziffer.Nur bei einem sehr geringen Teil polizeilich erfasster Delikte sind Straftater zu ermitteln undnicht jeder Betrug wird von Seiten der Opfer bei der Polizei angezeigt. Grunde dafur ergebensich aus den zwei wesentlichen Einflussfaktoren, die auf das Anzeigeverhalten der Opfer ein-wirkten: die opferspezifische Faktoren, wie Alter, Geschlecht oder die Zugehorigkeit zu einerMinderheit und deliktspezifischen Faktoren.

Der Kreditkartenbetrug im Ausland ist eines der haufig behandelten Themen. Kreditkartenwerden gestohlen und im Ausland fur Transaktionen verwendet, was eine erschwerte polizeilicheErmittlung zur Folge hat. Innerhalb der Cyberkriminalitat wird ebenfalls eine geographischeund politische Erschwernis verzeichnet. [Muj09]

Die Dunkelziffer in Deutschland In der folgenden Abbildung, aus Deutschland, wird dieabsolute Anzahl der polizeilich ermittelten Tatverdachtigen im Vergleich zu den absolut regis-trierten Tatbestanden betrachtet.

Auffallig ist der Zusammenhang zwischen der Anzahl polizeilich registrierter Tatbestandeund der absoluten Anzahl polizeilich ermittelter Tatverdachtiger. Im Gegenatz zu den poli-zeilich erfassten Fallen weist, die Anzahl der jahrlich absolut ermittelten Tatverdachtigen nurwenige Veranderungen auf. Zwar ist mit dem Anstieg und dem Ruckgang der Falle auch einAnstieg und Ruckgang der ermittelten Tatverdachtigen zu beobachte, jedoch ist das Verhaltnisder beiden Raten sehr unproportional.

Ein Tatverdachtiger beispielsweise, dem vorgeworfen wird, mehrere rechtswidrig erlangteKreditkarten eingesetzt zu haben, wir nicht als solcher auch mehrfach entsprechend der An-zahl in die PKS aufgenommen; man spricht von der Abschaffung der Mehrfachzahlung. Unteranderem ist es ausschlaggebend, dass Kreditkartendelikte meist unbemerkt fur die Betroffe-

4

Abbildung 4: Auszug aus der Polizeilichen Kriminalstatistik Deutschland von 1996–2006

nen bleiben und die Anzeigen somit erst zu einem spateren Zeitpunkt, bei Vollendung derTat aufgegeben werden. Es ist schwierig, den oder die Straftater noch ausfindig zu machen.Demzufolge ist die Aussage der Tatverdachtigenquote keine verlassliche, vor allem wenn manweiters in Betracht zieht, dass es professionelle Zahlungskartenbetruger schaffen in den Besitzvon zuvor gestohlenen oder kopierten Karten zu kommen. Durch diesen Aspekt wird eine Stei-gung der Tatverdachtigen hervorgerufen, was wiederum zu einer Unproportionalitat zwischender Tatverdachtigenquote und der Anzahl der verubten Delikte darstellt. [Muj09]

3 Erklarungsansatze fur den Kreditkartenmissbrauch

Von den nicht-menschlichen Faktoren abgesehen gibt es die situativen Faktoren, sie nehmenEinfluss auf einen gegebenen Handlungsrahmen und somit auf die Wahrscheinlichkeit fur eineerfolgreiche Begehung eines Deliktes. Im Hinblick auf die Kreditkartenkriminalitat spielen sonicht unbedingt menschliche Faktoren eine Rolle; die haufigsten Ursachen um einen Kreditkar-tendelikt zu begehen basieren auf der nichtsozialen Ebene. In den folgenden Kapiteln werdennur situative, nicht-menschliche Faktoren behandelt. [Muj09]

3.1 Der Einfluss des Verbreitungsgrades

Bei fruheren Studien wurde einen Korrelation zwischen der Haufigkeit verfugbarer Tatobjekteund der Haufigkeit von objektspezifischen Delikten untersucht. [Kil02] Diese Studien gebenAnlass zur Uberlegung, dass im Hinblick auf die Haufigkeit der im Umlauf befindlicher Kre-ditkarten und die Haufigkeit des Missbrauchs der potentielle Tatobjekte ein Zusammenhangin der Kriminalitatsrate besteht.

Beispiel Deutschland Wurde man versuchen einen Vergleich zwischen der in Deutschland,im Zeitraum von 1996 bis 2005, im Umlauf befindlicher Kreditkarten [Pag07] und den im sel-ben Zeitraum polizeilich registrierten Fallen von Kreditkartenbetrug zu ziehen, so kann kein

5

direkter Zusammenhang festgestellt werden. Da aber die PKS als Quelle, aus in Kapitel 2bereits genannten Grunden, keinen verlasslichen Aussagegehalt im Hinblick auf die Kreditkar-tenkriminalitat bietet, kann dahingehend keine ausreichende Beurteilung des Zusammenhangsabgegeben werden.

Beispiel Osterreich In Osterreich ware ebenso wie in Deutschland, kein Vergleich und eindaraus relevantes Ergebnis moglich, vor allem aufgrund der hohen Dunkelziffer bei Kredit-kartenmissbrauch. Kreditkartenmissbrauch findet in Osterreich haufig uber das Internet statt;Kreditkartebetrug im stationaren Handel ist in Osterreich, prozentuell gesehen, nicht so weitverbreitet wie beispielsweise in Deutschland.

Da der Kreditkartenbetrug ein sehr vielseitiges Phanomen ist, kann man sich auch die Fragestellen, ob es eine Korrelation zwischen einem bestimmten Akzeptanzfeld, wie zum Beispiel desE-Commerce im Vergleich zu dem stationaren Handel, und der steigenden Kriminalitatsrategibt. Man konnte eine Verbindung von der zahlenmaßigen Entwicklung der privaten Internet-anschlusse zu den stetig wachsenden Betrugsraten feststellen.

Die Haufigkeit der verfugbaren Tatobjekte stellt im Bezug auf die Vorhersage oder die Be-stimmung der Kriminalitatsrate leider keinen ausreichenden Indikator dar. Es gibt weitere Fak-toren wie Attrativitat eines Objekts und bestehende Sicherheitsmaßnahmen, die uberwundenwerden mussten, die sich auf die Kriminalitatsrate auswirken. Im Bezug auf die Sicherheits-maßnahmen beziehungsweise Zugangsbarrieren gibt es wieder die Akzeptanzfelder, die beach-tet werden mussen. Im stationaren Handel sind die Sicherheitsmaßnahmen, genau so wie dierechtswidrige Beschaffung der Kreditkartendaten gesondert von denen im Online Handel zubetrachten; auch die Rechtslage ist unterschiedlich.

3.2 Zugangsbarrieren und Entdeckungsrisiken

Der Kreditkartenmissbrauch hat ein facettenreiches Auftreten, von der die illegale Beschaffungvon Kreditkarten(-daten) bis hin zum betrugerischen Gebrauch. Die verschiedenen Gelegen-heitsstrukturen, in Form von Zugangsbarrieren, tragen zu der Kriminalitatsrate bei. Es spieltweniger der klassische Raub- oder Diebstahldelikt eine Rolle, sondern die einfache Erlangungpersonlich bezogener Daten mittels verschiedenster Kommunikationskanale und technologi-scher Hilfsmittel in den unterschiedlichen Akzeptanzfeldern. Grundsatzlich sollte man nichtden rechtswidrigen Zugang zu Kreditkarten(-daten) im Allgemeinen betrachten. Es ist sinn-voller die unterschiedlichen Akzeptanz- und Einsatzfelder und die damit zusammenhangendePrufung der kartenspezifischen Sicherheitsmerkmale zu beurteilen.

3.2.1 Datenabgriff im Onlinebereich

Im E-Commerce wird Kreditkartenmissbrauch großtenteils dort betrieben, wo Transaktioneneingesetzt werden. Der Kommunikationskanal Internet ermoglicht den Tatern auf diversestenWegen an die vertraulichen Daten einer Karte zu kommen. Es besteht die Moglichkeit derVerwendung einer Spionagesoftware, des Betrugs mittels Phishing und Pharming sowie dieManipulation von Datenbanken in Form von Serverattacken.

Es werden zwar moderne Technologien beim Gebrauch von Personalcomputern, Routernund dem Kabel-, Satteliten- oder WLAN-Anschluss eingesetzt, dennoch stellen diese modernenKomponenten aus Tatersicht keine außergewohnlichen Investitionen zu Begehung der Straftatdar. Zusatzlich stellt das Internet als Tatmittel ein fur Jeden zugangliches Gut dar, bei dem

6

die Betruger in der Lage sind global zu handeln und sich grenzuberschreitend auch Zugang zuim Auslang gespeicherter Daten verschaffen konnen.

Ein wichtiger Aspekt beim Internet als Informationskanal im Gegensatz zu anderen Akzep-tanzfeldern ist, dass erfahrene Straftater sich sehr schnell einen Zugang zu weitaus großeren Da-tenquellen holen konnen. Der Erfolg des Datenabgriffes hangt letztlich nur von den Fahigkeitendes Hackers ab, die Zugangsbarrieren in Form von Firewalls oder Passwortschutz zu umgehen.Ohne gute Programmierkenntnisse bleibt dem Tater noch immer der Angriff mittels Phishing(siehe Kapitel 5.4). Das Erstellen von Internetseiten bedarf keiner großen Kenntnisse und istdaher ein Grund von dem immer haufigeren Auftreten von Phishingfallen.

Ein weiterer wichtiger Aspekt ist das Entdeckungsrisiko; Moglichkeiten, wie zum Beispieldie Nutzung offentlicher Internetzugange, sowie den Gebrauch von spezieller Software zur Ver-schleierung der Identitat bestatigen das geringe Entdeckungsrisiko bei Onlinedelikten.

Der Kostenaufwand ist mitunter auch ein Grund der steigenden Delikte im Onlinebereich.Straftaten verlangen vielmehr tatrelevantes Wissen, beispielsweise in Form von Programmier-kenntnissen, als großes Privatkapital. [Muj09]

3.2.2 Datenabgriff im stationaren Handel

Um Daten an POS-Terminals im stationaren Handel abzugreifen, spielt der Gebrauch spezi-eller Technologien, wie Skimmer, eine vorranige Rolle. Dabei kann der Tater in zwei Rollenschlupfen: in die Rolle eines Verkaufers, der seinem ahnungslosen Opfer gegenubersteht oder indie Rolle des Manipulators, der zusieht, wie Verkaufer und Karteninhaber in seine Falle tappen.Beim letzen Fall wird vorrausgesetzt, dass eine vorherige Manipulation des Zahlungsterminalserfolgt ist.

Die Tater haben im stationaren Handel immer nur Zugang zu einer beschrankten Anzahlvon vertraulichen Daten. An Points of Compromise im POS-Segment konnen nur die Datenderjenigen Kreditkarten abgegriffen werden, die innerhalb einer bestimmten Zeitspanne dorteingesetzt wurden. Bei dem Betrug im POS-Bereich wird davon ausgegangen, dass die meistenVerkaufer als Tauschende im Auftrag Dritter handeln. Die Auftraggeber nehmen die Daten,von den Auftragnehmern, gegen Bezahlung entgegen, um somit gefalschte Kreditkarten herzu-stellen. Effektive Schutzmaßnahmen gegen den Einsatz von Skimmern gibt es an den meistenAkzeptanzstellen im POS-Bereich noch nicht.

Der Zugang zu Tatmitteln, wie zum Beispiel die Beschaffung eines Kartenlesegerats, ist durchlegale Methoden gewahrleistet. Der Aufwand der Herstellung einer gefalschten Kreditkarte istdagegen relativ hoch. Es mussen Datenrohlinge als Datentrager beschafft und die mit denrechtswidrig beschafften Daten beschrieben werden. Fur eine solche Produktion werden eineReihe technologischer Komponenten benotigt: spezielle Drucker, Stanzgerate, Computer, etc.

Der Kostenaufwand ist ein weitaus hoherer als bei Onlinedelikten. Insbesondere im asia-tischen Raum wird der Datenabgriff an POS-Terminals in Verbindung gebracht. MoglicheUrsachen dafur sind wohl Gruppen, die auf Kreditkartendelikte spezialisiert sind, der hoheVerbreitungsgrad moderner Technologien sowie ein entsprechender Grad an technologischemWissen. Angesichts der starken betrugerischen Aktivitaten in Landern mit geringerem Brut-tosozialprodukt, wird davon ausgegangen, dass derartige technologische Komponenten undgestohlene Daten von Land zu Land weitergegeben werden. Unter anderem werden auch Kre-ditkartendelikte im amerikanischen Raum in gewissen Maße mit Verbrechersyndikaten, die indiesen Landern beheimatet sind, in Verbindung gebracht. [OH03]

7

3.2.3 Datenabgriff an Bankomaten

Nicht nur im online und stationar basierenden Handel besteht die Gefahr, Opfer eines Kre-ditkartenbetruges zu werden. Immer haufiger ubernehmen die Tater die Kreditkartendatendirekt an Bankomaten mit Hilfe spezieller Technologien, wie zum Beispiel Skimming (sieheKapitel 5.2).

Beim Datenabgriff an Bankomaten steht, gleich wie beim stationaren Handel, auch nur einebeschrankte Anzahl von Daten zu Verfugung. Es konnen nur die Kartendaten der Inhaber abge-griffen werden, die in einem bestimmten Zeitraum an einem bestimmten, vorher manipuliertenBankomat Geld abgehoben haben.

Hinsichtlich der Zugangsbarrieren gibt es jedoch gewisse Unterschiede. In Deutschland wur-den zusatzliche Komponenten an Bankomaten angebracht, die das Anbringen von Skimmernerschweren oder von Betrugern angebrachte Gerate in ihrer Funktionalitat, durch die Imple-mentierung von Storfeldern, beeintrachtigen. Es ist damit zu rechnen, dass sich durch dasErschweren des Zugangs sich der Trend des Kreditkartenbetrugs, aus dem Bereich der rechts-widrigen Erlangung der Kreditkarten an Bankomaten, in eher ungeschutzere Bereiche, wie zumBeispiel den E-Commerce oder den stationaren Handel verlagert. Die Haufung der Betrugsfallenmittels Lebanese Loop (siehe Kapitel 5.3) konnte als ein Anzeichen fur eine solche Verlagerunggewertet werden. Bei dieser Technik wird der Einsatz technologischer Hilfsmittel durch dieUberredungskunst ersetzt; es zahlt vielmehr das personliche Handeln und das Auftreten desBetrugers. Erfolgreich ist die Tauschung, wenn es dem Tater gelingt, den Kreditkarteninhaberunter einem falschen Vorwand, meistens um einem Opfer zu helfen, zu uberreden ihm seinepersonliche Geheimzahl seiner Kreditkarte zu verraten.

Der Aspekt des Entdeckungsrisikos ist bei der oben genannten Variante hoher als bei eineranonymen Kommunikation. Es ist dennoch zu berucksichtigen, dass bei dem Lebanese Loopoder auch bei dem Shoulder Surfing erhohte Chancen auf einen materiellen Gewinn pro Tat-objekt einhergehen. Noch bevor der betrogene Karteninhaber den Schaden bemerkt und seinKonto sperren lasst, hat der Tater die Moglichkeit den maximalen Gewinn auszuschopfen.[Muj09]

3.3 Illegale Markte

Seit Jahrzehnten ist unter Betrugsexperten bekannt, dass illegale Markte, auf denen manrechtswidrig erlangte Kreditkarten(-daten) kaufen kann, existieren. Diese Markte ermoglichenorganisierten Verbrechersyndikaten aus unterschiedlichen Landern, aber auch Privatbetrugern,den Handel beziehungsweise den Ankauf von rechtswidrig erlangten Kreditkarteninformatio-nen.

Heutzutage ist der Kommunikations- und Informationskanal, das Internet, fur die kommer-zielle Verbreitung gestohlener Daten mehr als ausschlaggebend. In geheimen Foren kann manbereits fur nur 10 Euro Kreditkartendaten, je nach Vollstandigkeit, kaufen. Derartige Quellenermoglichen potentiellen Kreditkartenbetrugern einen einfachen und schnellen Zugang zu dengewunschten Daten und das Entdeckungsrisiko halt sich dabei in Grenzen.

Angesichts der Tatsache, dass der Kreditkartenbetrug in erster Linie mit organisiertem Ver-brechen zusammenhangt, ist die Moglichkeit des globalen Infomationsaustausch uber das In-ternet und die damit verbundene Identitatsverschleierung ein verstarkender Faktor fur dieKredikartenkriminalitat. [Muj09]

8

4 Akzeptanzsstellen fur den betrugerischen Einsatz

Um eine genaue Unterscheidung der verschiedenen Arten von Akzeptanzbereichen zu ermoglichensind vor allem folgende Kriterien zu berucksichtigen:

1. Die Art der Interaktion, die bei einem Zahlungsvorgang stattfindet. Ist eine Interaktionzwischen zwei Individuen notigt, also gemaß einer Dyade1 zwischen Handler und Betrugerkommt es zu einer face-to-face Situation. Jetzt stellt sich die Frage ob eine Kreditkartebei dem Zahlungsvorgang physisch vorgelegt wird oder nicht.

2. Die Rollenverteilung der Akteure innerhalb der Zeitspanne des Betrugs. Es ist zu klaren,wer die Rolle des Tauschenden und welche Person die Rolle des Getauschten tragt. Dem-zufolge kann man klaren, ob die Betrugshandlung eine Selbst- oder Fremdschadigung zurFolge hat.

3. Die Art des Kanals, welcher fur eine Kreditkartentransaktion von Noten ist. Hierbeispielen neben der telefonischen Kommunikation, beispielsweise bei einem Versandhandel,auch der elektronische Handel via Internet, der E-Commerce. Dahingehend gelten eigeneMaßnahmen zur Sicherheitsprufung als bei Transaktionen im stationaren Handel.

4.1 Missbrauch im stationaren Handel

POS-Terminals sind stationare Zahlungseinrichtungen in Form von Hardwarekomponenten,an denen durch das physische Vorlegen der Kreditkarte bezahlt werden kann. Beispiele furAkzeptanzstellen waren Tankstellen, Restaurants, Kaufhauser und Flughafen. Anders als beider Mensch-Maschine-Interaktion findet hier eine face-to-face-Interaktion statt.

Die Magnetstreifen an den Kreditkarten werden mittels der dafur vorgesehenen Gerate ge-lesen und an den Server des jeweiligen Kreditkartenemittenten elektronisch gesendet, um eineAutorisierung der Geldbetrage genehmigen zu lassen.

Der Kreditkartenmissbrauch kommt an POS-Terminals hauptsachlich mit dem Einsatz vongestohlenen, verlorenen und vom Tater gefundenen oder mit dem Einsatz von Totalfalschungenvor. Beim Einsatz von Originalkarten muss der Betruger die falsche Identitat, die des rechtmaßigenKreditkarteninhabers vortauschen und die Originalunterschrift falschen. Es besteht die Gefahr,dass der Handler bei der Unterschriftenprufung Verdacht schopft.

Die Rollen sind auf die Akteure klar verteilt. Handelt der Tater im Auftrag einer drittenPerson oder einer Gruppe, kann die Rolle des Nutznießers2 auf mehrere Individuen gleichverteilt sein.

4.2 Missbrauch an personalfreien Akzeptanzstellen

POI-Terminals sind personalfreie Akzeptanzstellen wie Geldausgabeautomaten oder Handels-einrichtungen wie beispielsweise offentliche Telefonzellen mit Kreditkartenakzeptanz. Der wich-tigste Unterschied liegt zu den POS in dem Fehlen von Verkaufspersonal, es kommt nicht zueiner sozialen Interkation und somit nicht zu der Unterschriftenprufung. Welche Sicherheits-merkmale von der Maschine uberpruft werden hangt von der Einsatzart des Terminals ab.

1Eine Dyade ist aus sozialpsychologischer Sicht eine Zweiergruppe mit einer intensiven und einer besondersemotionalen Beziehung

2Eine Person die von jemanden oder von etwas profitiert.

9

4.3 Missbrauch an Bankomaten

Der Kreditkartenmissbrauch an Bankomaten ist bei Betrugern sehr beliebt. Allein wegen dergroßen Anzahl ausgegebener Debitkarten (siehe Kapitel 2.2) und deren primare Funktion, dasAbheben von Bargeld, ist deren Anteil an betrugerischer Verwendung klar. Es sind trotz allemauch Kreditkartenbetruge an Bankomaten nicht zu unterschatzen.

Um das Risiko an Bankomaten beurteilen zu konnen werden Sicherheitsmaßnahmen wiebestehende Vorschriften der Legitimationsprufung der Karteninhaber und deren Verwund- be-ziehungsweise Umgehbarkeit berucksichtigt. Anders als bei dem stationaren Handel, wo dierechtswidrig Erworbenen Ware zuerst als Hehlerware verkauft werden muss, kommt man beidem Kreditkartenbetrug an Bankomaten sofort an Bargeld. Ein weiterer Vorteil ist die Mensch-Maschine-Interaktion, welche das Risiko verhindert, dass der Verkaufer Verdacht schopft undsofort die Polizei alarmiert. Weiters gibt es noch dem Vorteil von sogenannten White Plastics,sogenannte Kreditkartenrohlinge. Mit diesen Karten ware es unmoglich im stationaren Handelzu zahlen.

Um an Bankomaten auf die vertraulichen Kontoinformationen Zugriff zu erhalten muss sichder Inhaber mittels einer Eingabe eines vierstelligen personlichen Identifikationsnummer le-gitimieren. Die eingegebenen Daten werden mit einem speziellen Verschlusselungsverfahrennamens Triple-DES bei Debitkarten und DES bei Kreditkarten, uber einen direkt mit derTastatur verbundenen so genannten Krypto-Prozessor an den Autorisierungscomputer der je-weiligen Bank gesendet. Der eingegebene PIN sowie die gespeicherten Daten auf dem Magnet-streifen, wie Daten- und Kontonummer werden gepruft. Die Verschlusselungsverfahren geltenaus Sicht der Jurisprudenz als sicher. Weitere Sicherheitsmerkmale und -maßnahemn sind imKapitel 7 aufgefuhrt.

5 Arten zur rechtswidrigen Erlangung von Kreditkarten(-daten)

Nachdem die verschiedenen Akzeptanzstellen fur den Kreditkarteneinsatz naher erlautert wur-den, sieht man bereits, dass die Motivation fur das Erlangen von Kreditkarteninformationendurchaus gegeben ist. Dieses Kapitel soll die Art und Weise naher betrachten, wie Betruger zurelevanten Informationen kommen und damit unautorisierte Tranaktionen durchfuhren.

5.1 Der Diebstahl von Kreditkarten

Die einfachste Moglichkeit an alle notigen Informationen zu kommen ist sicherlich der einfacheDiebstahl einer Kreditkarte. Durch den Diebstahl der Kreditkarte erlangt der Tater sowohl dieKreditkartennummer wie auch die CVC 2 (siehe Kapitel 7.2).

In Osterreich und Deutschland ist diese Methode zwar vorhanden, jedoch kann man davonausgehen, dass Kreditkarten eher als Teil einer gesamten Geldtasche gestohlen werden, da auf-grund der raren Verbreitung von Kreditkarten ein expliziter Diebstahl dieser eher ein wenigerinteressantes Konzept ware.

5.2 Das Skimming

Eine durchaus attraktivere Methodik stellt hier das Skimming dar. Unter Skimming verstehtman das – meist elektronische – Ausspahen relevanter Informationen. Dies kann beispielsweisedurch den Verkaufer selbst passieren, indem er den Kunden dahingehend tauscht, dass er ihn

10

im Glauben lasst, er fuhre nur die Transaktion durch, in Wirklichkeit aber ließt er mit einemelektronischen Gerat namens ”Skimmer“ die Daten der Kreditkarte aus. Mit diesen Daten kannder Betruger anschließend eine Kopie – sogenannte White Plastics – anfertigen und diese zumdurchfuhren von Zahlungen benutzen oder sie verkaufen.

Eine andere Methode des Skimmings ist das Aufgreifen der Informationen direkt am Ban-komaten oder POS-Gerat. Hierzu installiert der Betruger eine Vorrichtung am Gerat, dass dieKreditkarteninformationen nicht nur an das Kreditkartenunternehmen sendet, sondern auchauf einen Speicherchip im Gerat abspeichert.

5.3 Die Methode des Lebanese Loop

Eine weitere Methode ist die Methode des Lebanese Loop. Bei dieser Methode blockiert derBetruger den Kartenschlitz eines Bankomaten dahingehend, dass dieser nur noch Karten auf-nehmen kann, beim Auswerfen der Karte jedoch blockiert. Dies lasst sich zum Beispiel miteinem geschickt eingeschnittenem Videoband realisieren. Der Betruger positioniert sich ge-schickt in Position und wartet auf einen Kunden. Fuhrt ein Kunde eine erfolgreiche Trans-aktion durch oder bricht dieser die Aktion ab, so versucht der Automat die Karte durch denKartenschacht auszuwerfen. Da dieser jedoch von Betruger manipuliert wurde, gerat der Kun-de in die seltsame Situation, seine Kreditkarte nichtmehr zu bekommen. Der Tater bietet sichnun als freundlicher Helfer an und versucht mit dem Kunden das Problem zu beheben, indemer ihm schenbar nutzliche Tipps gibt, wie zum Beispiel das erneute Eingeben der PIN. Durchdiese gut uberlegten Tipps gelingt es dem Betruger letztendlich alle – auch geheimen – Infor-mationen zu erlangen und hinterlasst mit dem Kunden den Bankomat, da er ihm klarmachte,dass auch er das Problem nicht losen konne. Nachdem sich der Kunde entfernt hat, kann derBetruger nun die Kreditkarte aus dem Schacht entfernen und selbst Bargeld abheben oderandere Transaktionen durchfuhren. [Muj09]

5.4 Datendiebstahl im Internet

Eine sehr beliebte und weit verbreitete Methode ist das Phishing. Beim Phishing – welches alsspezielle Methode des Social Engineering gesehen werden kann – versucht der Betruger dasOpfer dazu zu bringen, seine Kreditkarteninformationen freiwillig preiszugeben. Dies machter zum Beispiel durch Versenden von E-Mails die aussehen als kamen sie von der Bank desKunden. In Wirklichkeit jedoch verbirgt sich hinter den Links der Mail eine betrugerischeWebseite, auf die der Kunde beim Versuch den Anweisungen der E-Mail folgezuleisen stoßt.Diese Webseite sollte so ahnlich wie nur moglich der, der Bank entsprechen, sodass der Kundenicht merkt, in Wirklichkeit auf einen anderen Webseite seine Daten einzugeben. Durch ge-schickte Wortwahl versucht nun der Betruger seinem Opfer alle relevanter Informationen zuentlocken. Oftmals wird auf technische Schwierigkeiten oder Wartungsarbeiten verwiesen, diees anscheinend erfordern, dass der Kunde seine geheime PIN veroffenbahrt.

Eine weitere sehr verbreitete Moglichkeit ist die Installation von bosartiger Software auf denComputern der Opfer. Diese durchsucht die Festplatte nach Kreditkarteninformationen dieder Computer bei vorhergehenden Transaktionen gespeichert hat. Dies war Haupteinsatzgebieteiniger in letzter Zeit aufgekommenen Computerviren.

Eine weitere bekannte Art, mittels der Betruger an vertrauliche Kreditkartendaten gelan-gen, stellt das temporare Erstellen vermeintlicher Handler-Websites dar. Geworben wird mitscheinbar gunstigen Angeboten, welche die Preise auffallig weit unter den Preisen von regularen

11

Anbietern haben. Bestellt ein Kunde ein Produkt so werden lediglich die Kreditkartennummerund andere fur den Betruger interessante Informationen gespeichert. Zu eine Lieferung kommtes nicht, da das Unternehmen nicht existiert sondern nur als Vorwand gilt, an Kreditkartenin-formationen zu kommen.

Weitere Methoden sind vorstellbar und auch im Einsatz. Hackingangriffe auf Bestellwebsiteszum Beispiel, legen tausende Kreditkartendaten gleichzeitig offen. Der Kreativitat sind hierkeine Grenzen gesetzt.

5.5 Kreditkartenantragsbetrug

Um in den Besitz einer Kreditkarte zu kommen, mussen Bankkunden einen Kreditkartenantragstellen. Neben der Angaben personlicher Daten wie auch von Daten uber die finanzielle Situati-on durch den Antragsteller, ist auch das Einreichen weiterer Dokumente notig. Die Prufung unddie anschließende Beglaubigung dieser Dokumente werden von Bankangestellten durchgefuhrt.Diese Sicherheitsvorkehrungen dienen der Verhinderung von betrugerischen Kreditkartenan-tragen mittels gefalschter Dokumente. Doch gerade auf diesen Weg haben sich einige Betrugerspezialisiert. Diese benutzen gefalschte oder gestohlene Dokumente um im Namen andererPersonen an eine Kreditkarte zu gelangen. [Muj09]

6 Kreditkartenmissbrauch aus juristischer Sicht

Der Missbrauch einer Kreditkarte wirft fur die Beteiligten einige Fragen auf. Zum einen mussgeklart werden, wer im Falle eines Missbrauchs haftet beziehungsweise wessen Schaden ausge-glichen werden muss. Zum anderen wird die Frage nach der strafrechtlichen Verfolgbarkeit undSanktionierung gestellt.

Diese Punkte sollen in diesem Kapitel naher betrachtet werden und die Rechtssituation imosterreichischen Recht aufzeigen.

6.1 Kreditkartensysteme

Wenn man verschiedene Kreditkartensysteme genauer betrachtet, kann man mehrere Konzeptewiederfinden. Der Unterschied zwischen diesen Systemen liegt einerseits an den verschiedenenbeteiligten Parteien und andererseits an der Haftung.

6.1.1 Das Zwei-Parteien-System

Beim Zwei-Parteien-System handigt ein Unternehmen einem Kunden eine Karte aus, welcheder Kunde zum Kauf von Waren einsetzen kann. Der Kauf des Kunden stellt einen Kaufvertragi. S. d. § 1053 ABGB dar. Der Kaufvertrag setzt voraus, dass der Kunde den Kaufpreis zahlt unddass der Verkaufer das Eigentum an der Sache an den Kaufer ubertragt (siehe § 1053 ABGB).Die Zahlung des Kaufpreises stellt eine Erfullung der kaufvertraglichen Pflicht dar und fuhrtzum Erloschen des Kaufpreisanspruchs. Dieses Interesse des Verkaufers wird durch den Ein-satz der Karte befriedigt. Das verkaufende Unternehmen stellt dem Kunden die Kreditkartezur Verfugung und gibt ihm so die Moglichkeit, ein anderes Zahlungsmittel außer Bargeld ein-zusetzen. Durch die Vorlage der Karte und der Unterschrift des Kunden ermachtigt dieser denVerkaufer im Rahmen deiner Einzugsermachtigung (Lastschrift) vom Girokonto des Kunden

12

den Kaufpres einzuziehen. Diese Form der Kreditkarte wird oft als ”Konsumentenkarte“ oder

”Konsumentenkarten“ ausgegeben. [Muj09, Oh10]Das Zwei-Parteien-System entspricht der ursprunglichen Funktion einer (Waren-) Kredit-

karte seit ihrer Einfuhrung in den USA Anfang des 20. Jahrhunderts. Die Kreditkarte stelltin diesem System ein sehr beschranktes Zahlungsmedium dar, welches als solches nur bei demherausgebenden Unternehmen akzeptiert und eingesetzt werden kann. Es galt und gilt heutenoch als Strategie, auf diese Weise Kunden an ein Unternehmen zu binden. [Muj09]

In Osterreich wird dieses Konzept durch § 1 Bankwesengesetz erschwert. Demnach ist dieAusgabe von Kreditkarten ein Bankgeschaft und Bankgeschafte durfen nur von Kreditinstitu-ten (Banken) betrieben werden. [Oh10] Eine leichte Abwandlung stellt hier eBay mit seinemKreditinstitut PayPal3 dar. Es handelt sich bei PayPal jedoch nicht um ein Kreditkarteninsti-tut, jedoch findet man das beschriebene Prinzip des Zwei-Parteien-Systems wieder.

6.1.2 Das Drei-Parteien-System

Das Drei-Parteien-System – auch oft als Interchange-System bezeichnet – fuhrt eine drittePartei ein, die Kreditkartengesellschaft. Zwischen dem Kunden und er Kreditkartengesellschaft(z. B. Mastercard oder VISA) besteht ein Kreditkartenvertrag. Der Kunde muss als Gegenleis-tung zum Beispiel eine Jahresgebuhr fur die Benutzung der Kreditkarte bezahlen.

Kreditkartengesellschaft

VertragshandlerKunde

Gara

ntiev

ertrag

Valutaverhaltnis

Deckungsch

uld

Abbildung 5: Beziehungen im Drei-Parteien-System.

Im Verhaltnis zwischen dem Kunden und dem Vertragshandler kommt es zunachst wiederzu einem Kaufvertrag. Der Vertragshandler hat zugleich mit dem Kreditkartenunternehmeneinen Garantievertrag auf Zahlung des Kaufpreises abgeschlossen. Ein Unterschied zum Zwei-Parteien-System besteht darin, dass die Kreditkarte hier als ein universelles Zahlungsmittelverstanden wird, das an mehreren verschiedenen Akzeptanzstellen benutzt werden kann.

Der Zahlungsverkehr findet wie folgt statt: Beim Kauf einer Ware oder Dienstleistungwird das Kreditkartenkonto des Kunden belastet. Die Belastung tragt zunachst die Kre-ditkartengesellschaft. Diese Belastung gleicht sie durch eine vom Kunden erteilte Einzugs-ermachtigung aus, indem sie zunachst dem Kunden die monatliche Rechnung zusendet undzum Falligkeitszeitpunkt den offenen Betrag vom Girokonto einzieht. Zugleich schreibt dasKreditkartenunternehmen dem Vertragshandler den Kaufpreis abzuglich einer Provision gut.[Muj09, Lom09] unbare Zahlungsmittel Beispiele fur dieses System waren Kreditkarten der

3PayPal ist eine Bank mit europaweiter Genehmigung. [Ste07]

13

Firmen American Express sowie Diners Club. Diese Firmen geben Ihre Kreditkarten selbst ausund verzichten auf eine Kooperation mit Kreditinstituten (siehe Kapitel 6.1.3). [Oh10]

6.1.3 Das Vier-Parteien-System

Im Vier-Parteien-System kommt die Besonderheit hinzu, dass nicht die Kreditkartengesell-schaft die Kreditkarte ausgibt, sondern das Kreditinstitut des Kunden. Der Kreditkartenvertragbesteht hier also zwischen dem Kunden (Karteninhaber) und dem Kreditinstitut (Bank). Zwi-schen dem Kreditinstitut und der Kreditkartengesellschaft besteht ein Forderungskauf, indemdas Kreditinstitut die Kaufpreisforderung, welche die Kreditkartengesellschaft vom Hander er-worben hat, wiederum fur sich erwirbt, um gegen den Kunden einen Anspruch auf Belastungdes Girokontos in Hohe des Kaufpreises zu haben. Die restlichen Modalitaten sind mit demDrei-Parteien-System (siehe Kapitel 6.1.2) ident. [Muj09]

Kreditkartengesellschaft

VertragshandlerKunde

Kreditinstitut

Gara

ntiev

ertrag

Valutaverhaltnis

Dec

kungsc

huld

Forderungskauf

Abbildung 6: Beziehungen im Vier-Parteien-System.

Beispiele fur dieses System waren Kreditkarten von MasterCard oder VISA, da diese vonBanken in Zusammenarbeit mit den Kreditkartenorganisationen ausgegeben werden. [Oh10] InOsterreich ubernehmen meist eigens hierfur eingerichtete Banken, wie die PayLife Bank GmbH([Pay10]) oder die card complete Service Bank AG, diese Tatigkeit fur diese Firmen.

6.2 Haftungsfragen

In den in Kapitel 6.1 genannten Systemen des Kreditkartenzahlungsverkehrs konnen Fehlerpassieren und Mangel auftauchen. Die Frage fur jede beteiligte Partei ist, wer fur welchenSchaden haftet. Die Antwort auf diese Fragen ergibt sich haufig aus dem Gesetz, den allgemei-nen Geschaftsbedingungen fur den Kreditkartenverkehr des jeweiligen Kreditkartengesellschaftoder vergangenen Rechtssprechungen.

6.2.1 Allgemeine Regelungen

In einem Schadensfall hat generell gemaß den gesetzlichen Regelungen jeder der Beteiligtensein eigenes Fehlverhalten zu verantworten. Ist der Kaufvertrag zwischen einem Kunden unddem Vertragshandler nichtig, weil beispielsweise der Kunde zum Zeitpunkt des Kaufs wegenMinderjahrigkeit geschaftsunfahig war, so greift hier (zumeist) nicht der Garantievertrag zwi-schen dem Kreditkartenunternehmen und dem Handler. Der Vertragshandler muss in so einem

14

Fall den entstandenen Schaden allein tragen, da dieser sich nicht an vertraglich festgelegteSicherheitsvorkehrungen, in diesem Fall an eine Altersprufung, gehalten hat.4 Hat der Kun-de seine Obliegenheitspflicht grob fahrlassig verletzt, etwa indem er die Kreditkarte samt derGeheimnummer in der Geldborse aufbewahrte und ihm diese gestohlen wurde, so haftet er biszur Sperrung der Kreditkarte selbst fur den dadurch entstandenen Schaden. [Muj09]

Fraglich ist jedoch noch, wer den Schaden zu tragen hat, wenn keiner der Beteiligten denSchaden zu verantworten hat, weil sich alle Parteien richtig und vertraglich korrekt verhielten.Dabei handelt es sich um die Falle, in den der Tater uber fremde Kreditkarteninformationverfugt, weil er etwa diese zuvor online ausgespaht hat. In einem solchen Fall greift der Ga-rantievertrag zwischen Kreditkartengesellschaft und dem Handler, sodass der Handler die ihmzustehende Kaufsumme erhalt. Das Kreditkartenunternehmen erhalt – aufgrund vertraglicherVereinbarungen mit der Bank – die Belastung, die ihm aufgrund der Zahlung an den Handlerentstanden ist, von der Bank5 erstattet. Der Kunde kann jedoch nicht zur Verantwortung gezo-gen werden, weil er sich nicht außervertraglich verhalten hat. Mithin bleibt die Bank auf ihremSchaden sitzen. Sie ist darauf angewiesen, gegen den Tater, sofern dieser ermittelt werdenkann, zivil- und strafrechtliche Schritte einzuleiten.

6.2.2 Rechtliche Situation bis November 2009

Bis zum 31. Oktober 2009 wurde in § 31a KSchG geregelt, dass bei Missbrauchlicher Verwen-dung der Karteninhaber vom Kartenaussteller eine Ruckbuchung veranlassen kann.

§ 31a. Wenn bei einem Vertragsabschluß im Fernabsatz (§ 5a oder § 1 des Fern-Finanzdienstleistungs-Gesetzes, BGBl. I Nr. 62/2004) eine Zahlungskarte oder de-ren Daten mißbrauchlich verwendet werden, so kann der berechtigte Karteninhabervom Aussteller der Karte verlangen, daß eine Buchung oder Zahlung ruckgangiggemacht bzw. erstattet wird. Von dieser Bestimmung kann zum Nachteil eines Ver-brauchers nicht abgewichen werden.

Desweiteren konnte eine Person die vorsatzlich eine Kreditkarte zur missbrauchlichen Ver-wendung einsetzte nach § 148a StGB mit Freiheitsstrafe bis zu zehn Jahren bestraft werden.

6.2.3 Das Zahlungsdienstegesetz 2009

Seit dem 1. November 2009 regelt das neue Zahlungsdienstegesetz die Haftung bei ”nichtautorisierten Zahlungen“. Die Rechtssituation ist seitdem genauer und umfangreicher geregelt.

§ 35 ZaDiG regelt die ”Sorgfaltspflichten des Zahlungsdienstleisters“ (Kreditkartenunter-nehmen). Dieser ist unter anderem verpflichtet sicherzustellen, dass (1) die ”personalisiertenSicherheitsmerkmale des Zahlungsinstruments“ – also die Karten-PIN – nur dem Benutzer derKreditkarte zuganglich sind, (2) der Nutzer jederzeit die Moglichkeit hat, einen Verlust, Dieb-stahl oder die missbrauchliche Verwendung (”nicht autorisierte Nutzung“) dem Kreditkarten-institut zu melden, (3) die Nutzung der Kreditkarte nach einer solchen Meldung ausgeschlossenist. Desweiteren ist das Kreditkartenunternehmen verpflichtet bei Verdacht auf missbrauchlicheVerwendung den Zahlungsdienstnutzer, also den rechtmaßigen Vertragspartner und Kreditkar-teninhaber, zu informieren und jegliche Transaktionen ab diesem Zeitpunkt zuruckzuweisen.

4Naturlich hangt dies vom genauen Inhalt des Vertrags zwischen Kreditkarteninstitut und Handler ab.5Dieser Schritt kommt naturlich nur im Vier-Parteien-System zum Einsatz. Im Drei-Parteien-System kann

bereits das Kreditkartenunternehmen den Betrag nicht vom Kunden einfordern und ist somit der Geschadigte.

15

Auch muss das Kreditkartenunternehmen auf Verlangen des Zahlungsdienstnutzers den Zah-lungsvekehr zuruckzuverfolgen und diesen uber das Ergebnis informieren.

§ 36 hingegen regelt die ”Sorgfalts- und Anzeigepflichten des Zahlungsdienstnutzers“. Dieserist verpflichtet die Karten-PIN vor Unbefugten zu schutzen, bei Verlust, Diebstahl oder miss-brauchlicher Verwendung umgehend Anzeige beim Kreditkartenunternehmen zu erstatten unddas Unternehmen auf einen moglichen unautorisierten Zahlungsverker hinzuweisen6.

Der Kunde selbst haftet jedoch in den seltensten Fallen, denn § 44 regelt die ”Haftung furnicht autorisierte Zahlungsvorgange“ wie folgt:

§ 44. (1) Unbeschadet des § 36 Abs. 3 hat der Zahlungsdienstleister des Zahlersdiesem im Falle eines nicht autorisierten Zahlungsvorganges den Betrag des nichtautorisierten Zahlungsvorganges unverzuglich zu erstatten und das belastete Kontowieder auf den Stand zu bringen, auf dem es sich ohne den nicht autorisiertenZahlungsvorgang befunden hatte. Daruber hinaus gehende Anspruche des Zahlersaus Vertrag oder Gesetz werden dadurch nicht ausgeschlossen.

Der Kunde haftet lediglich, wenn er fahrlassig handelt. Dies ist der Fall, wenn er seineSorgfalts- oder Anzeigepflicht verletzt hat, also einen Verlust oder Diebstahl nachweislich be-merkte, jedoch nicht Anzeigte, oder wenn er selbst auf anderen Weg dazu beigetragen hat, dassdie unautorisierte Nutzung stattfinden kann. In diesen Fallen ist die Haftung des Kunden, wenner leicht Fahrlassig handelte auf 150 Euro beschrankt, wenn er jedoch grob fahrlassig handeltenicht beschrankt und er haftet fur den gesamten entstandenen Schaden.

7 Sicherheitsmerkmale

Schnell erkennt man, dass das Medium ”Kreditkarte“ eigentlich ein fur den heutigen Stand derTechnik, recht unsicheres Bezahlmedium darstellt. Das haben auch die Kreditkarteninstituteerkannt und reagierten mit Einfuhrung diverser – teilweise inkompatiblen – Verifikationsme-thoden.

7.1 Aufbau einer Kreditkarte

Grundsatzlich ist eine Kreditkarte nur eine aus Plastik bestehende Karte im Format einerScheckkarte nach ISO 7810. Die Vorderseite der Karte erhalt in den meisten Fallen eine Hoch-pragung mit der Kreditkartennummer sowie dem Namen des Karteninhabers. Diese Hoch-pragung wurde vorallem fruher benutzt um ein maschinelles Lesen mittels Imprinter zu ermoglichen.Zusatzlich hat die Karte auf der Ruckseite einen Magnetstreifen, auf dem die Daten der Kartegespeichert sind. Einige Banken bringen zusatzlich zum Magnetstreifen noch einen EMV7-Chipauf, welcher jedoch im Laufe des Jahres 2010 auf jede Kreditkarte kommen wird, um SEPA8-Kompatibilitat zu erreichen. [Glo09] Um die Echtheit der Kreditkarte zu gewahrleisten befin-det sich oft ein Hologramm auf der Vorder- oder Ruckseite der Karte, jenachdem ob ein Chipvorhanden ist. Seit einiger Zeit stellten viele Kreditkarteninstitute jedoch dieses Hologrammauf einen Hologramm-Magnetstreifen um, welcher mehr Sicherheit bieten soll.

6Hierfur hat der Nutzer sogar bis 13 Monate nach dieser Belastung Zeit.7EMV steht fur eine Interoperation von IC-Karten und POS-Terminals zur Authentifizierung von Kredit- und

Debitkartenzahlungen.8Single Euro Payments Area bezeichnet das Projekt der Einfuhrung eines europaweit einheitlichen Zahlungs-

raums fur Transaktionen in Euro.

16

Die genauen Sicherheitsmerkmale einen Kreditkarte sind meist von Unternehmen zu Un-ternmehmen grundlegend verschieden und oft auch Kartenabhangig. Bei MasterCard gibt esbeispielsweise sowohl Karten mit, wie auch ohne Chip, Hologramm oder Hologramm-Magnet-streifen, sowie Karten im Hoch- oder Querformat. Abbildung 7 zeigt einen Auszug aus dem Do-kument ”MasterCard Card Identification Features“ ([Mas05]), das die Sicherheitsmerkmale derKreditkarte erklaren soll. Man sieht bereits, dass alleine die wenigen gezeigten Merkmale durch-aus viele Variationen vom Erscheinungsbild der Karte erlauben. Auch gestattet MasterCardden Vertragsbanken das Anbringen eigener Logos und Aufschriften. [Mas05] Dieses “Chaos“ anunterschiedlichen Sicherheitsmerkmalen lasst eigenlich kaum eine Echtheitsuberprufung durchPersonen zu.

Abbildung 7: Beispiel einer MasterCard Kreditkarte mit sichtbarem Hologramm und CVC 2

7.2 Der CVC 2

Aus diesem Grund ist man dazu ubergegangen die Kreditkarten auch mit technisch verifizier-bare Sicherheitsmerkmalen auszustatten. Die meisten Kreditkarten verfugen heutzutage ubereinen Card Verification Code – oder auch CVC 2 genannt. Es handelt sich dabei um einenCode, der zwar auf die Karte aufgedruckt ist, jedoch weder mathematisch mit der Kredit-kartennummer in Verbindung steht, noch auf dem Magnetstreifen oder dem Chip gespeichertist. Diese Nummer ist – im Gegensatz zur hochgepragten Kreditkartennummer – flach aufder Karte aufgebracht und somit nicht maschinell lesbar. Beim Bezahlen mit der Karte hatder Verkaufer nun die Moglichkeit diesen CVC 2 beim Kreditkarteninstitut zu verifizierenlassen. Dieses errechnet anhand der Kreditkartennummer und einem geheimen Schlussel nunden korrekten CVC 2 und teilt dem Anfragenden mit, ob der ubermittelte Code mit demwirklichen ubereinstimmt. Somit kann der Verkaufer prufen, ob sich die Karte physikalischbeim Kaufer befindet und dieser nicht nur uber die Kartennummer verfugt. Der PCI9 fordert,dass diese CVC 2 weder gespeichert noch auf einen anderen Weg festgehalten werden darf(etwa durch Aufdrucken auf einen Zahlungsbeleg oder der Rechnung). Dadurch wird einerseitsgewahrleistet, dass der Kunde den CVC 2 bei jeder Bezahlung erneut angeben muss, anderer-seits sind Kreditkartennummern kompromittierter Kundendatenbanken von Kaufern wertlos,da der CVC 2 von jedem Verkaufer uberpruft werden sollte. Wahrend MasterCard, VISA,Diners Club, Discover und JCB einen dreistelligen CVC 2 verwenden, verwendet AmericanExpress eine vierstellige CID (Unique Card Code).

9Der Payment Card Industry Data Security Standard, kurz PCI, ist ein Regelwerk das sich auf die Abwicklungvon Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkarteninstitutionen unterstutzt wird.

17

Abkurzungsverzeichnis

CVC 2 Card Verification Code Version 2

i. S. d. im Sinne des

PCI Payment Card Industry Data Security Standard

PIN Personal Identification Number

PKS polizeiliche Kriminalstatistik

POS Point-of-Sale

BKA Bundeskriminalamt

Abbildungsverzeichnis

1 Anzahl der ausgegebenen Kreditkarten in Osterreich [OeNB09] . . . . . . . . . 12 Polizeilich erfasste Falle von Kreditkartenbetrug in Deutschland . . . . . . . . 33 Zahl der Tatverdachtigen im Verhaltnis zu den polizeilich erfassten Fallen . . . 44 Auszug aus der Polizeilichen Kriminalstatistik Deutschland von 1996–2006 . . . 55 Beziehungen im Drei-Parteien-System. . . . . . . . . . . . . . . . . . . . . . . . 136 Beziehungen im Vier-Parteien-System. . . . . . . . . . . . . . . . . . . . . . . . 147 Beispiel einer MasterCard Kreditkarte mit sichtbarem Hologramm und CVC 2 17

Literatur

[APA09] APA (Hrsg.): 2,45 Millionen Kreditkarten in Osterreich im Umlauf. OsterreichischeNationalbank, Marz 2009

[Glo09] GlobalSmart: Aconite is awarded MasterCard Chip Centre of Excellence (CCoE)Accreditation. http://www.globalsmart.com/ Aconite is awarded MasterCard.Version: Oktober 2009

[Kil02] Kapitel Seite 312. In: Killias, Martin: Grundriss der Kriminologie. Stampfli Verlag,2002. – ISBN 978–3–7272–0940–6

[Lom09] Lomasi, Lyn: How the credit card interchange process works.http://www.merchantaccountguide.com/ merchant-account-news/how-credit-card-interchange-process-works.php. Version: Mai 2009

[Mas05] MasterCard (Hrsg.): MasterCard Card Identification Features. 2005. New York,United States: MasterCard, 2005

[Muj09] Mujkanovic, Samir: Kreditkartenbetrug. Diplomica Verlag, 2009. – ISBN 978–3–8366–7613–7

[OeNB09] Osterreichische Nationalbank (Hrsg.): Kreditkarten weiterhin beliebtes Zah-lungsmittel. Osterreichische Nationalbank, September 2009

18

[OH03] Osborne, David L. ; Helfand, Neil S.: Asian Organized Crime and Terrorist Activityin Canada / Federal Research Division, Library of Congress. 2003 (1). – Forschungs-bericht. – A Report Prepared by the Federal Research Division, Library of Congressunder an Interagency Agreement with the United States Government

[Pag07] Pago eTransaction Services GmbH (Hrsg.). Pago eTransaction ServicesGmbH: Trends im Kauf- und Zahlverhalten in den relevanten E-Commerce-Branchenim Jahr 2005/2006 / Pago eTransaction Services GmbH. 2007 (004). – Forschungsbe-richt. – Pago Report 2007

[Pay10] PayLife Bank GmbH: Uber PayLife. http://www.paylife.at/ web/ content/de/ Home/ Ueber Europay/ index.html. Version: 2010

[Sic09] Sicherheit.info: Kriminalitatsentwicklung rucklaufig. In: Sicherheit.info (2009)

[Ste07] Stevenson, Tom: PayPal becomes a bank to fight off Google. In: Telegraph (2007)

[Oh10] Ohlbock, Dr. J.: Kreditkarte. http://www.rechtsfreund.at/ kreditkarten/kreditkarte.htm. Version: Januar 2010

19