Täternetzwerke nutzen den Wildwuchs bei der Entwicklung neuer Bezahlsysteme – auch deswegen, weil Bankinstitute zu wenig miteinander kooperieren.
Eine Person benutzt in der U-Bahn ihr Handy, eine zweite steht daneben, sie hat die Technik und die Fachkenntnis, um die leider in dem Fall recht offenen Mobildaten des ahnungslosen Fahrgastes abzurufen. Diese werden sofort an einen zweiten Betrüger übermittelt, der sich an einer Kassa – im Supermarkt oder in einer Bank – befindet und mit den übermittelten Daten eine Geldtransaktion durchführt. Sollte das Handygerät des U-Bahn-Benutzers über eine Zahlfunktion verfügen, die ein nicht sauber gebautes Payment-System in Verwendung hat, dann gelingt die betrügerische Aktion wahrscheinlich auch.
„Das ist ein theoretischer, so noch nicht aufgezeichneter Fall, die Wahrscheinlichkeit dafür nimmt aber mit der wachsenden Zahl und dem Wildwuchs neuer Systeme zu“, sagt der Informatiker und Systemdesigner Florian Fankhauser vom Forschungs- und Entwicklungsinstitut RISE (Research Industrial Systems Engineering). Eine derartige Replay-Attacke ist ein durchaus mögliches Zukunftsszenario. Fankhauser ist Projektleiter der von der Forschungsförderungsgesellschaft (FFG) unterstützten Forschungsgruppe 3B3M, genauer: „Bezahl Betrugs Bekämpfung bei Modernen Mobilen Methoden“. An der 3B3M sind unter anderem das Bundeskriminalamt (BK), Uni-Institute und Finanzdienstleister beteiligt, Ziel ist die Bezahlbetrugsbekämpfung bei allen neuen Formen des Bezahlens, insbesondere mit dem Mobiltelefon verschiedenster Hersteller.
Im Fokus stehen kontaktlose Medien, also die NFC-Bezahlung (Near Field Communication), bei der beispielsweise eine Bankomatkarte zum Abnahmegerät gehalten wird und einen elektronischen Datenaustausch ermöglicht. Neu ist, dass diese Systeme per Chip oder auch ohne Sicherheitschip in mobile Geräte wie Handys eingebaut werden. „Es soll alles schneller, einfacher und kundenfreundlicher ablaufen“, sagt Florian Fankhauser, „gleichzeitig ist es nicht unwahrscheinlich, dass die Betrugsfälle stark zunehmen, gerade weil viele unterschiedliche, neue Systeme auf den Markt drängen.“
Die Arbeit der Forschungsgruppe basiert auf drei Säulen. Erstens werden die Schwachstellen in modernen Bezahlsystemen analysiert und die Daten von isolierten Tatbeständen zusammengeführt. Da die Finanzdienstleister über unterschiedliche Systeme verfügen, kommt es auch immer weniger zum Austausch möglicher Betrugsfälle. Hier kann 3B3M ähnliche Betrugsmuster bei unterschiedlichen Systemen überprüfen und finden helfen.
Ziel ist die bessere Kooperation
Das betrifft auch die zweite Säule: Die Systeme der Geldinstitute werden auch mit international übermittelten Erfahrungen des BK und bereits praktizierten Betrugsfällen abgeglichen. Erkenntnisse der Banken und Kriminalisten können so schneller unterstützen. Diese Form des Austausches bereitet alle Partner auf eine stärkere digitale Zukunft vor, wo nicht nur in bar und mit der Karte bezahlt wird, sondern auch mit dem Handy oder z. B. aus und mit dem Auto.
Drittens wird ein Expertennetzwerk errichtet, bei dem sich die Finanzdienstleister untereinander sowie mit dem BK und den Forschern austauschen können. Auch die Bundeswirtschaftskammer hat sich angeschlossen. Bei allen drei Säulen spielen Richtlinien zu Datenschutz und Privatsphäre eine tragende Rolle, die durch die neue Europäische Datenschutzverordnung weiter auszubauen ist.
Die Denkweise der Täter
Die soziologische Seite, bei der die Uni Graz eingebunden ist, befasst sich mit der Denkweise der Täter. Aus deutschen Untersuchungen liegen Interviews mit festgenommenen Tätern vor, die vor allem eines ergeben: Es gibt kaum Einzeltäter. „Es handelt sich stets um ein Täternetzwerk, und da gibt es einen kompletten Markt, der sich über die ganze Welt verbreitet“, sagt Fankhauser. Das Forschungsprojekt ist bis Ende September 2017 angesetzt und wird dann in anderer Form verlängert. Über die konkreten Forschungsergebnisse will man erst dann sprechen, wenn Piloten in den Institutionen erprobt und mit dem Datenschutz ausgeleuchtet wurden. Mit Best-Practice Papers will man entsprechende Kurse in den betroffenen Instituten unterstützen.
LEXIKON
KIRAS ist ein Programm zur Förderung der Sicherheitsforschung in Österreich, geleitet vom Technologieministerium. Beteiligt sind Forschungsinstitute und Wirtschaftsunternehmen.
3B3M, eines der KIRAS-Programme, wird von Research Industrial Systems Engineering (RISE), dem Innenministerium und Bundeskriminalamt, der TU Wien (Bereich Rechtswissenschaften), Uni Graz (Soziologie), Erste Bank und Pay Life Bank durchgeführt.
("Die Presse", Print-Ausgabe, 18.03.2017)