Alexander ist nervös, kein guter Tag heute. Aus London haben ihn schlechte Nachrichten erreicht, Freunde von ihm sind verhaftet worden. Leute, die mit ihm Geschäfte gemacht haben. Werden sie auspacken bei der Polizei? Auch über ihn? Wenn sie es tun, kommt er auch in den Knast, das ist klar. Er schaut sich um in dem Brüsseler Café, erblickt weiter hinten einen Mann. Ist das ein Zivilbulle? "Was ist das nur für ein Leben", sagt Alexander und verliert sich kurz in Selbstmitleid, "jeden Tag woanders sein, woanders schlafen, und immer die Angst, dass plötzlich einer kommt und dir Handschellen anlegt."

Alexander ist nach Brüssel gekommen, weil er ein Aussteiger ist. Deshalb ist er bereit, von einer neuen Methode zu erzählen, um Karten zu knacken. Eine Methode, mit der sich sogar die höchsten Sicherheitsstandards der Finanzindustrie überlisten ließen. Die auf Kriminelle genauso verführerisch wirke wie der Schlüssel zum Tresorraum einer Bank.

Alexander ist Mitte dreißig, Osteuropäer, er wollte sich unbedingt in Brüssel treffen, in einer anonymen, unübersichtlichen Stadt, die er mit dem Zug erreichen kann. Zug fahren ist gut, da gibt es keine Kontrollen. Die Gespräche mit ihm dauern viele Stunden, in Brüssel und später noch in einer zweiten Stadt. Beim Reden zieht er immer wieder eine Kreditkarte aus der Tasche und macht Handbewegungen, so als wäre er Dirigent und die Kreditkarte sein Taktstock. Im Zentrum seiner Erzählungen steht eine ganz besondere Software, die auf einen kleinen USB-Stick passt und deren Herzstück aus gerade einmal 40 Zeilen Programmcode besteht.

Kartenbetrug ist ein gewaltiges Geschäft. Dem Magazin Economist zufolge betrugen die weltweiten Schäden 2012 etwa 11,3 Milliarden Dollar. Allein in den USA haben Kriminelle die Banken und Kreditkartenfirmen um 3,4 Milliarden Dollar und die Einzelhändler um 1,9 Milliarden Dollar gebracht. Keine Überraschung in einem Land, dessen Bürger über 1,2 Milliarden Debit-, Kredit- und Prepaidkarten verfügen – rechnerisch fünf Karten für jeden erwachsenen Amerikaner. In den 32 europäischen Staaten der Single Euro Payments Area – dem Sepa-Verbund, in dem bargeldlose Zahlungen vereinheitlicht wurden – lag das Betrugsvolumen 2013 bei 1,44 Milliarden Euro. Auch das eine riesige Summe, selbst wenn nur 0,039 Prozent aller Transaktionen betroffen waren. Die deutsche Kriminalitätsstatistik weist für 2014 rund 26.000 Fälle von Betrug mittels gestohlener Karten oder Kartendaten aus.

Dieser Artikel stammt aus der ZEIT Nr. 5 vom 28.1.2016.

In zwei von drei Fällen aller Betrugsdelikte mit Kreditkarten werden entwendete Karteninformationen benutzt. Ende 2013 etwa besorgten sich Hacker 40 Millionen Datensätze über Transaktionen beim Handelsriesen Target in den USA. In der vergangenen Woche wurde bekannt, dass Banken 90.000 Kreditkarten von Mastercard und Visa vorsorglich austauschen werden – weil es Datenabgriffe gegeben haben könnte. Mit Kreditkartendaten können Kriminelle im Internet oder am Telefon auf Kosten der Opfer einkaufen, auch ohne PIN. Das übrige Drittel der Fälle entfällt auf Betrug direkt an der Kasse eines Geschäfts oder an einem mobilen Kartenlesegerät sowie beim Abheben am Geldautomaten. Das funktioniert indes nur, wenn Unterschriften gefälscht werden – oder die PIN samt Karte geklaut wurde.

Als Wunderwaffe gegen den Betrug galt der Bankenbranche die Kombination aus Chip und PIN. Der Chip kann einzigartige und veränderliche Prüfdaten generieren, das soll Transaktionen deutlich sicherer machen. Das System dahinter heißt EMV, nach den Initiatoren Europay International, Mastercard und Visa. Und nachdem es die Sepa-Staaten als Erste einführten, ging der Kreditkartenbetrug in Geschäften tatsächlich zurück. 2012 waren weltweit bereits 45 Prozent aller Karten mit Chips ausgerüstet und 76 Prozent aller Lesegeräte in der Lage, nach diesem Verfahren abzurechnen. Im vergangenen Jahr wurde auch in den USA mit der Umstellung begonnen. "Die Situation dürfte sich auch außerhalb der Sepa-Zone verbessern, je mehr Länder den EMV-Standard umsetzen", schrieb die Europäische Zentralbank im Juli 2015.

Der erste Versuch schlägt bei den Klonkarten immer fehl

Doch unangreifbar sei das neue System nicht, sagt Alexander. Es sei "broken", kaputt, geknackt. Der Beweis sei die besagte Software. Man brauche bloß noch den Datensatz einer echten Kreditkarte, den man von anderen Kriminellen kaufen könne; Blanko-Karten mit bereits aufgebrachtem Chip, die man problemlos im Internet beziehen könne und Geräte, mit denen sich Karten bedrucken ließen. Mithilfe der Software ließe sich dann eine Kopie der echten Karte herstellen, ein sogenannter Klon. Zusätzlich programmiere die Software den Chip so, dass jede beliebige Zahlenkombination als richtige PIN anerkannt werde. Heraus komme eine "Yes Card" , eine Ja-Karte, mit der man einkaufen könne.

Alexander ist kein Mathematik-Profi, kein Computerexperte, er versteht nicht, was auf dem kleinen, silbernen Chip in der Kreditkarte vor sich geht. Aber er begreift schnell, was andere ihm erklären – und was gut für seine Geschäfte ist. So war es schon, als er noch mit Handys und Autos handelte, und auch später, als er auf Cyberverbrechen umstieg und mit gestohlenen Kreditkartendaten einkaufte oder etwas verkaufte, was es gar nicht gab. Sein Partner, ein Hacker, knackte oder konstruierte eBay-Accounts, um dort zum Beispiel nicht existierende Autos für 9.000 Dollar anzubieten. Es wurde ein Konto unter einer falschen Identität eingerichtet – und der Käufer überredet, das Geld vorab auf das Konto zu überweisen. Rund sechzigmal haben sie so etwas in fünf Monaten in den USA durchgezogen. Alexander zeigt ein Foto auf seinem Handy: er, braun gebrannt, Sonnenbrille, irgendwo in den Südstaaten, blonde Freundin im Arm. "War ne schöne Zeit. Nur meine Freundin hat sich gewundert, warum ich immer alles bar bezahle." Skrupel? Achselzucken. "Nee, das verdrängt man."

Im Oktober 2014 hätten ihn erste Nachrichten von der Wundersoftware erreicht, die dafür sorge, dass jede PIN funktioniere. Alexander und seine Kumpane investierten, besorgten sich die Software und testeten sie in Deutschland und Luxemburg. Meistens funktionierte sie nicht, aber manchmal eben doch. Die neue Methode war verlockend. Aber auch riskant, weil die so eingekauften Güter ja weiterverkauft werden mussten. "90 Prozent meiner Freunde sind nach und nach verhaftet worden", sagt Alexander, "und ich wusste, es wird mich erwischen, wenn ich weitermache."

Die Methode, mit der Alexander auf Beutezug gegangen ist, gibt es nur, weil sich nicht nur die Wirtschaft globalisiert hat, sondern auch die Unterwelt. Die Software stammt höchstwahrscheinlich von Experten in Brasilien, geschrieben im Auftrag der dortigen Mafia. Die geklauten Datensätze für den Betrug liefern Profis, die man vor allem in Russland findet. Osteuropäische Banden bringen beides zusammen und testen in westeuropäischen Staaten aus, wie weit sie damit kommen: Welche indische Bank gibt Karten aus, deren Klone in Luxemburg funktionieren? Welche amerikanische Bank lässt es zu, dass man ihre Kunden in Berlin ausnimmt?

Die Software kann man kaufen. Oder wochenweise mieten. Doch es wäre schon illegal, sie auch nur auszuprobieren und den Klon einer Kreditkarte herzustellen; nicht einmal mit eigenen Karten wäre das erlaubt. Experten wie Frank Boldewin und Tillmann Werner können die Software aber durchleuchten, ohne sie auszuführen und sich damit strafbar zu machen. Boldewin ist Reverse-Engineer und befasste sich im Sommer 2010 als einer der Ersten mit der Cyberwaffe Stuxnet. Werner, ein junger Mann im Kapuzenpulli, arbeitet für das amerikanische Unternehmen CrowdStrike, das auf die Analyse von krimineller Software spezialisiert ist. Weitere Einblicke erlaubte ein Test der Software durch ein großes deutsches Rechenzentrum für Finanzdienstleister, das namentlich aber nicht erwähnt werden möchte. "Diese Software", urteilt Werner schließlich, "stammt definitiv von Fortgeschrittenen." Sie mag nicht ganz so viel können, wie Alexander glaubt, sei aber ein "wichtiges Puzzlestück", um zu verstehen, wie Kartenbetrug der neuesten Generation funktioniere.

Die Software nutzt die Komplexität des EMV-Standards aus. Indem sie nämlich davon ausgeht, dass keinesfalls alle Banken dieser Welt, die Kreditkarten ausgeben, in der Lage sind, diesen Standard fehlerfrei umzusetzen. "Man muss schon sehr genau wissen, wie EMV funktioniert, um auf diese Idee zu kommen", sagt Werner. Wer beispielsweise seine Kreditkarte in ein Lesegerät an einer Kasse einführt, setzt damit ein Prüfprotokoll in Gang. Im ersten Schritt muss sich der Besitzer der Karte ausweisen, das geschieht mit der PIN. Dieser Vorgang lässt sich manipulieren, aber für eine Zahlung reicht das noch nicht.

Denn dafür muss zusätzlich die Karte ihre Echtheit beweisen. Der erste Versuch – mit einer Art digitalem Zertifikat – schlägt bei den Klonkarten immer fehl. Weil aber möglichst wenige Transaktionen scheitern sollen, weicht das Lesegerät automatisch auf eine alternative Form der Abfrage aus. Online muss die Karte nun dem Gerät ein bestimmtes Kryptogramm übermitteln, das aus Daten zu Karte, Terminal und Transaktion besteht und darüber hinaus mit einem geheimen Schlüssel codiert ist. Das Gerät wiederum schickt dieses Kryptogramm an die Bank, die ihrerseits mit einem dazu passenden Kryptogramm antwortet: Die Transaktion wird genehmigt.

Versuch, Versuch, Fehlversuch, Fehlversuch

Eine geklonte Karte kann kein gültiges Kryptogramm erstellen; stattdessen sendet sie immer denselben falschen Datensatz. Trotzdem wird die Transaktion an diesem Punkt des Prüfverfahrens von einigen Banken autorisiert. Banken, die bei der technischen Umsetzung des EMV-Standards sorgfältig gewesen sind, können auf diese Weise nicht in die Irre geführt werden. Dazu zählen Experten so gut wie alle deutschen Banken. Zu den angreifbaren Banken gehören nach Recherchen der ZEIT und des Technikmagazin c’t aber zum Beispiel zwei Banken aus Indien und eine Bank aus den Vereinigten Staaten; in Darknet-Foren werden außerdem passende Kreditkartendaten für die Software angeboten, die von Banken aus Brasilien, Mexiko, Korea, Japan, Kanada und einigen arabischen Staaten stammen.

Die Kreditkartenfirmen geben sich gelassen. "Die Betrugsrate bei Visa-Transaktionen in Europa liegt derzeit bei 0,044 Prozent", teilt Visacard mit. "Seit der flächendeckenden Einführung der Chip-and-PIN-Technologie ist die Betrugsrate bei Kartenzahlungen deutlich gesunken, um mehr als die Hälfte." Weitere Verfahren erschwerten es, "Kartendaten abzugreifen und missbräuchlich zu verwenden". American Express antwortet: "Uns sind weltweit wenige Fälle bekannt, in denen es bei Karten mit Chips der ersten Generation (Static Data Authentication, SDA) vereinzelt zu missbräuchlichen Transaktionen kam. In Deutschland sind uns allerdings keine solchen Transaktionen bekannt. Die aktuelle Chip-Technologie (Dynamic Data Authentication, DDA) minimiert das Risiko betrügerischer Aktivitäten." Mastercard spricht von einem "vielschichtigen Sicherheitsansatz", zu dem der EMV-Standard gehöre. Die "dynamische Authentifizierung" nutze "einzigartige und individuelle Informationen", die "praktisch unmöglich zu kopieren" seien. Alles im Griff also?

Schon 2014 berichtete der amerikanische Fachjournalist Brian Krebs von einer betrügerischen Transaktion in Brasilien, bei der 100.000 Euro bei einer Bank in Neuengland abgebucht worden seien. Mastercard machte damals gegenüber der Bank geltend, die Transaktion sei mit Chip and PIN autorisiert worden. Tatsächlich hatte die Bank noch gar keine Karten mit Chip ausgegeben. Auch eine kanadische Bank wurde geprellt. In beiden Fällen deutet viel darauf hin, dass die Klon-Software zum Einsatz kam.

Erstmals hat nun auch das Bundeskriminalamt (BKA) bestätigt, dass es Spuren in Deutschland gibt und die Ermittler die von Alexander beschriebene Methode im Visier haben: "Der geschilderte Sachverhalt ist dem BKA bereits seit dem ersten Halbjahr 2015 bekannt", sagen die Experten, die in der Behörde für die Bekämpfung der Zahlungskartenkriminalität zuständig sind. "Mehrere nach der beschriebenen Vorgehensweise hergestellte ausländische Kreditkarten wurden zwischenzeitlich beim BKA begutachtet."

Die BKA-Experten stimmen auch der Einschätzung von Frank Boldewin und Tillmann Werner zu, dass solche Institute den Betrug ermöglichten, die Sicherheitsstandards schlecht umsetzten: "Diese Art des Angriffs auf das EMV-System konnte nur erfolgreich verlaufen, weil die Echtheitsprüfung der Karten nicht regelkonform erfolgte. Auch wenn dem BKA bisher nur Fälle mit ausländischen Kartendaten bekannt wurden, sollten alle beteiligten deutschen Stellen sicherstellen, dass eine regelkonforme Prüfung ihrer Karten beziehungsweise Kartendaten erfolgt."

Es ist unmöglich, zu sagen, wie verbreitet Betrug mit der Klonsoftware ist, zumal Fälle, die zum Beispiel in Deutschland stattfinden, unter Umständen nur im Ursprungsland der geklonten Karten, aber gar nicht hier auffallen würden. Die Berichte von Alexander, diversen Sicherheitsexperten und dem Bundeskriminalamt zeigen jedenfalls, dass auch der neueste, angeblich beste Standard angreifbar ist.

Das könnte ausgerechnet damit zu tun haben, dass Banken und Kreditkartenfirmen ihre Kunden nicht verunsichern und ihre Umsätze nicht gefährden wollen. "Der Hauptgrund dafür, dass Sicherheitschecks nicht ordentlich implementiert werden, ist die Sorge, dass Umstellungen in der Banken-IT ungewollt auch bestimmte legitime Transaktionen stoppen könnten", sagt Steven J. Murdoch von der Information Security Research Group am University College in London. Banken wägten schlicht ab, ob die zu erwartenden Schäden durch Betrug die Kosten für zusätzliche Sicherheit übersteigen würden.

Alexander kann mit Theorien nichts anfangen. Er ist ein Mann der Praxis. Er muss lachen, wenn behauptet wird, das Chip-and-PIN-System sei sicher. Wie bitte? Er zeigt auf seine Kreditkarte. "Ich habe mit der Software Geld geholt, und zwar nicht wenig. Und ich kenne viele Leute, die jetzt mit dieser Software arbeiten."

Alexander sagt "arbeiten". Natürlich funktioniere das nicht immer, "dann wäre ich in drei Tagen Millionär gewesen. Versuch, Versuch, Fehlversuch, Fehlversuch, und dann klappt es und dann wieder nicht. So ist das Geschäft." Er sagt, für diese Software würden auf dem Schwarzmarkt bis zu 20.000 Euro bezahlt, "und die Leute, die das bezahlen, sind nicht dumm". Er sagt, dass ständig neue Variationen der Software auf den Markt kämen, "es ist alles ein großes Wettrennen".

Die ersten Treffen mit Alexander fanden im vergangenen Sommer statt, die letzte Begegnung erst vor zwei Wochen, im Winter. Er trägt eine Jacke, die etwas zu leicht wirkt für die Temperaturen. Er versichert immer wieder, er sei nun raus, habe abgeschlossen mit dieser Welt. Alexander ist einer, dem man besser nicht alles glaubt, aber seine Angst vor dem Gefängnis nimmt man ihm ab. Wieder sucht er ein neues Geschäftsfeld. Ein guter Markt sei derzeit das Geschäft mit Flüchtlingen, sagt er, "man kassiert tausend Euro und bringt die irgendwo hin". Aber lieber mache er was mit Textilien. Import, Export, Schwerpunkt China. Das höre sich interessant an.

Mitarbeit: Daniel Popovic