Alexander ist nervös, kein guter Tag heute. Aus London haben ihn schlechte Nachrichten erreicht, Freunde von ihm sind verhaftet worden. Leute, die mit ihm Geschäfte gemacht haben. Werden sie auspacken bei der Polizei? Auch über ihn? Wenn sie es tun, kommt er auch in den Knast, das ist klar. Er schaut sich um in dem Brüsseler Café, erblickt weiter hinten einen Mann. Ist das ein Zivilbulle? "Was ist das nur für ein Leben", sagt Alexander und verliert sich kurz in Selbstmitleid, "jeden Tag woanders sein, woanders schlafen, und immer die Angst, dass plötzlich einer kommt und dir Handschellen anlegt."

Alexander ist nach Brüssel gekommen, weil er ein Aussteiger ist. Deshalb ist er bereit, von einer neuen Methode zu erzählen, um Karten zu knacken. Eine Methode, mit der sich sogar die höchsten Sicherheitsstandards der Finanzindustrie überlisten ließen. Die auf Kriminelle genauso verführerisch wirke wie der Schlüssel zum Tresorraum einer Bank.

Alexander ist Mitte dreißig, Osteuropäer, er wollte sich unbedingt in Brüssel treffen, in einer anonymen, unübersichtlichen Stadt, die er mit dem Zug erreichen kann. Zug fahren ist gut, da gibt es keine Kontrollen. Die Gespräche mit ihm dauern viele Stunden, in Brüssel und später noch in einer zweiten Stadt. Beim Reden zieht er immer wieder eine Kreditkarte aus der Tasche und macht Handbewegungen, so als wäre er Dirigent und die Kreditkarte sein Taktstock. Im Zentrum seiner Erzählungen steht eine ganz besondere Software, die auf einen kleinen USB-Stick passt und deren Herzstück aus gerade einmal 40 Zeilen Programmcode besteht.

Kartenbetrug ist ein gewaltiges Geschäft. Dem Magazin Economist zufolge betrugen die weltweiten Schäden 2012 etwa 11,3 Milliarden Dollar. Allein in den USA haben Kriminelle die Banken und Kreditkartenfirmen um 3,4 Milliarden Dollar und die Einzelhändler um 1,9 Milliarden Dollar gebracht. Keine Überraschung in einem Land, dessen Bürger über 1,2 Milliarden Debit-, Kredit- und Prepaidkarten verfügen – rechnerisch fünf Karten für jeden erwachsenen Amerikaner. In den 32 europäischen Staaten der Single Euro Payments Area – dem Sepa-Verbund, in dem bargeldlose Zahlungen vereinheitlicht wurden – lag das Betrugsvolumen 2013 bei 1,44 Milliarden Euro. Auch das eine riesige Summe, selbst wenn nur 0,039 Prozent aller Transaktionen betroffen waren. Die deutsche Kriminalitätsstatistik weist für 2014 rund 26.000 Fälle von Betrug mittels gestohlener Karten oder Kartendaten aus.

Dieser Artikel stammt aus der ZEIT Nr. 5 vom 28.1.2016.

In zwei von drei Fällen aller Betrugsdelikte mit Kreditkarten werden entwendete Karteninformationen benutzt. Ende 2013 etwa besorgten sich Hacker 40 Millionen Datensätze über Transaktionen beim Handelsriesen Target in den USA. In der vergangenen Woche wurde bekannt, dass Banken 90.000 Kreditkarten von Mastercard und Visa vorsorglich austauschen werden – weil es Datenabgriffe gegeben haben könnte. Mit Kreditkartendaten können Kriminelle im Internet oder am Telefon auf Kosten der Opfer einkaufen, auch ohne PIN. Das übrige Drittel der Fälle entfällt auf Betrug direkt an der Kasse eines Geschäfts oder an einem mobilen Kartenlesegerät sowie beim Abheben am Geldautomaten. Das funktioniert indes nur, wenn Unterschriften gefälscht werden – oder die PIN samt Karte geklaut wurde.

Als Wunderwaffe gegen den Betrug galt der Bankenbranche die Kombination aus Chip und PIN. Der Chip kann einzigartige und veränderliche Prüfdaten generieren, das soll Transaktionen deutlich sicherer machen. Das System dahinter heißt EMV, nach den Initiatoren Europay International, Mastercard und Visa. Und nachdem es die Sepa-Staaten als Erste einführten, ging der Kreditkartenbetrug in Geschäften tatsächlich zurück. 2012 waren weltweit bereits 45 Prozent aller Karten mit Chips ausgerüstet und 76 Prozent aller Lesegeräte in der Lage, nach diesem Verfahren abzurechnen. Im vergangenen Jahr wurde auch in den USA mit der Umstellung begonnen. "Die Situation dürfte sich auch außerhalb der Sepa-Zone verbessern, je mehr Länder den EMV-Standard umsetzen", schrieb die Europäische Zentralbank im Juli 2015.