Sie sind auf Seite 1von 24

Rechtsgrundlagen

Seminararbeit

Kreditkartenbetrug

Manuel Faux
Marion Haller

15. Jänner 2010


ii
Vorwort
Der bargeldlose Zahlungsverkehr befindet sich weiterhin auf dem Vormarsch. Ein immer größerer
Anteil der Handelsumsätze erfolgt mit dem Geld in elektronischer Form.
Der Markt von Kreditkartenanbietern und Abrechnern war in Österreich bis vor einigen
Jahren realtiv unbeweglich; nicht zuletzt aufgrund der für die Händler verbundenen Kosten der
bargeldlosen Zahlung. Durch intensive Bemühungen der Bundessektion und durch den Vorteil
überall und jederzeit Waren und Dienstleistungen zu erwerben geriet der Markt schließlich in
Bewegung.
In der täglichen Geschäftswelt, sowie im Privatleben gehört die Kreditkarte zum ständigen
Begleiter, man ist niemals ohne Geld; und dennoch hört man von der Kreditkarte als Schul-
denfalle, wo doch die Voraussetzung zum Erhalt einer Kreditkarte die ausreichende Bonität
ist, die häufig in Form regelmäßiger Zahlungseingänge nachgewiesen werden muss.
Das internationale Zahlungsmittel wird sehr häufig für online Geldtransaktionen verwendet,
es wird von fast allen Webshops anerkannt und oft auch als einziges Zahlungsmittel akzeptiert.
Doch wie sicher sind Kreditkartendaten im Internet? Wie sieht die Rechtslage bei Kreditkar-
tenbetrug aus? Wer haften für den entstandenen Schaden, wer kann belangt werden?

iii
iv
Inhaltsverzeichnis
1 Verbreitung und Entwicklung in Österreich 1
1.1 Kreditkarten im Umlauf im Jahre 2008 . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Kreditkarten im Umlauf im ersten Halbjahr 2009 . . . . . . . . . . . . . . . . . 1

2 Polizeiliche Kriminalstatistiken 2
2.1 Kreditkartenbetrug in Österreich . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2.2 Kreditkartenbetrug in Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . 2
2.3 Die Dunkelfeldproblematik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

3 Erklärungsansätze für den Kreditkartenmissbrauch 5


3.1 Der Einfluss des Verbreitungsgrades . . . . . . . . . . . . . . . . . . . . . . . . 5
3.2 Zugangsbarrieren und Entdeckungsrisiken . . . . . . . . . . . . . . . . . . . . . 6
3.2.1 Datenabgriff im Onlinebereich . . . . . . . . . . . . . . . . . . . . . . . 6
3.2.2 Datenabgriff im stationären Handel . . . . . . . . . . . . . . . . . . . . . 7
3.2.3 Datenabgriff an Bankomaten . . . . . . . . . . . . . . . . . . . . . . . . 8
3.3 Illegale Märkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

4 Akzeptanzsstellen für den betrügerischen Einsatz 9


4.1 Missbrauch im stationären Handel . . . . . . . . . . . . . . . . . . . . . . . . . 9
4.2 Missbrauch an personalfreien Akzeptanzstellen . . . . . . . . . . . . . . . . . . 9
4.3 Missbrauch an Bankomaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

5 Arten zur rechtswidrigen Erlangung von Kreditkarten(-daten) 10


5.1 Der Diebstahl von Kreditkarten . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
5.2 Das Skimming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
5.3 Die Methode des Lebanese Loop . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
5.4 Datendiebstahl im Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
5.5 Kreditkartenantragsbetrug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

6 Kreditkartenmissbrauch aus juristischer Sicht 12


6.1 Kreditkartensysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
6.1.1 Das Zwei-Parteien-System . . . . . . . . . . . . . . . . . . . . . . . . . . 12
6.1.2 Das Drei-Parteien-System . . . . . . . . . . . . . . . . . . . . . . . . . . 13
6.1.3 Das Vier-Parteien-System . . . . . . . . . . . . . . . . . . . . . . . . . . 14
6.2 Haftungsfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
6.2.1 Allgemeine Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
6.2.2 Rechtliche Situation bis November 2009 . . . . . . . . . . . . . . . . . . 15
6.2.3 Das Zahlungsdienstegesetz 2009 . . . . . . . . . . . . . . . . . . . . . . . 15

7 Sicherheitsmerkmale 16
7.1 Aufbau einer Kreditkarte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
7.2 Der CVC 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

v
1 Verbreitung und Entwicklung in Österreich
Die Anzahl der ausgegebenen Kreditkarten steigt von Jahr zu Jahr. Die folgenden aktuellen
Statistiken befassen sich mit dem weiterhin beliebtesten Zahlungsmittel der Österreicher.

Abbildung 1: Anzahl der ausgegebenen Kreditkarten in Österreich [OeNB09]

1.1 Kreditkarten im Umlauf im Jahre 2008


Der Kreditkartenmarkt erfreute im Jahr sich eines Wachstums von 3,4%, dies sind 85 708 Kre-
ditkarten mehr als im Jahre 2007. Mit 2,45 Mio. Kreditkarten von PayLife, card complete,
Diners Club und American Express wurden 67 Mrd. Mal Zahlungen durchgeführt; das ent-
spricht einem Anstieg von 7,1% oder 4,47 Mio. Transaktionen gegenüber dem Vorjahr.
Durchschnittlich wechselten 110 Euro pro Transaktion den Besitzer, im Jahre 2007 lag der
durchschnittliche Wert einer Transaktion bei 109 Euro. Das gesamte Zahlungsvolumen betrug
2008 7,40 Mrd. Euro; ein Anstieg um 0,59 Mrd. (8,7%) gegenüber dem Vorjahr.
Bargeldbehebungen beliefen sich im Jahre 2008 auf 4,53 Mio., dies entspricht einem Gesamt-
betrag von 0,89 Mrd. Euro. Im Jahre 2007 wurde 4,06 Mio. Mal Bargeld behoben (0,81 Mrd.).
Die Anzahl der Abhebungen erhöhte sich somit um 0,47 Mio. oder 11%. Es wurden 2008
durchschnittlich 195 Euro behoben; im Jahre 2007 waren es 199 Euro.[APA09]

1.2 Kreditkarten im Umlauf im ersten Halbjahr 2009


Im Vergleich zu dem oben erwähnten Jahresultimo 2008 gab es Ende Juni 2009 um 32 579 Kre-
ditkarten mehr. Dies bedeutet, dass im Juni 2009 zirka 2,48 Mio. Kreditkarten in Österreich
durch die meldepflichtigen Kreditinstitute, wie PayLife, card complete, American Express Aus-
tria und Air Plus, ausgegeben wurden.
Mit den Kreditkarten erfolgten 34 Mio. Transaktion im In- und Ausland. Der Prozentsatz
der Zahlungen stieg um 6,6% im 1. Halbjahr 2009 im Vergleich zum 1. Halbjahr 2008; dies
wären 2,12 Mio. Zahlungen mehr. Der Gesamtwert dieser Zahlungen betrug 3,77 Mrd. Euro,

1
er stieg somit um 0,19 Mrd. (5,3%) gegenüber dem 1. Halbjahr 2008. Der durchschnittliche
Wert einer Transaktion betrug 110 Euro; um einen Euro weniger als im 1. Halbjahr 2008.
Bargeld wurde im 1. Halbjahr 2009 um 0,02 Mio. oder 0,9% weniger behoben als im 1.
Halbjahr 2008. Im ersten Halbjahr 2009 belief sich der Gesamtwert der Bargeldabhebungen
auf 0,44 Mrd. Euro; im Halbjahr 2008 betrug dieser 0,45 Mrd. Es errechnet sich ein Durch-
schnittswert der Transaktion von 192 Euro, statt 194 Euro im 1. Halbjahr 2008. [OeNB09]

2 Polizeiliche Kriminalstatistiken
Derzeit werden etwa 40 Prozent aller Zahlungen in Österreich ohne Bargeld abgewickelt. Es
sind mehr Bankomatkarten im Umlauf als es Erwachsene Österreicher gibt. Interessant ist in
weiterer Folge die Aufklärungsrate von Kreditkartendelikten.
In den PKS ist nur ein geringer Anteil der tatsächlich bekannten Kreditkartendelikten zu
vermuten. Hauptsächlich liegt dies daran, dass zum einen die Betroffenen den Missbauch nicht
zur Anzeige bringen und zum anderen daran, dass Banken und Kreditkartenorganisationen nur
bei konkreten Verdachtsmomenten Anzeigen gegen Tatverdächtige erstatten.
Die folgenden Kapiteln befassen sich mit Statistiken aus Österreich, sowie Deutschland.

2.1 Kreditkartenbetrug in Österreich


Das beziehen einer vertrauenswürdige Statistik ist in Österreich nur sehr schwer bis hin zu
überhaupt nicht möglich, da zum einen die Kreditkarteninstitute diese Zahlen verbergen möchten
und zum anderen der Missbrauch von Kreditkarten in §§ 147 oder 148 StGB fällt, welcher ei-
gentlich jeglichen Betrug im Bereich der IT umfasst. Die Statistik Austria erfasst die Delikte
in der Kriminalstatistik in Deliktgruppen. Die für diese kriminellen Handlungen passende De-
liktgruppe wäre Betrug insgesamt“, welche jedes Delikt das in §§ 146-147 StGB fällt abdeckt.

2.2 Kreditkartenbetrug in Deutschland


In Deutschland wird der Betrug mit Kreditkarten als strafrechtlich relevante Deliktart unter
dem Straftatenschlüssel mit der Nummer 5164 als Unterart der Vermögens- und Fälschungsdelikte
jährlich vom BKA aufgeführt. Es werden die Betrugsfälle, von den polizeilichen Behörden, mit
zuvor rechtswidrig erlangten Kreditkarten registriert.
Abbildung 2 veranschaulicht den polizeilich registrierten Betrug mit Kreditkarten und die
zahlenmäßige Entwicklung für den Zeitraum von 1996 bis 2006 in Deutschland. Anhand der
grafischen Auswertung, kann man erkennen, dass nach der relativ unveränderten Betrugsrate,
mit zirka 26 000 Fällen pro Jahr im Zeitraum zwischen 1996 und 1998, ein enormer Anstieg für
den Zeitraum von 1999 bis 2001 zu beobachten ist. Aus dem Vergleich des Jahres 2000 zum Jahr
1998 ist ersichtlich, dass sich die Betrugsraten mit 55 747 Fällen mehr als verdoppelt haben.
Nach dem höchsten Wert im Jahre 2002 ist zuerst ein starker und dann ein koninuierlicher
Rückgang der Kriminaldelikte im Bereich Kreditkartenbetrug zu verzeichnen.
Anzumerken sei, dass sämtliche Erscheinungsformen des Kreditkartenbetrugs unter dem
Straftatenschlüssel summiert wurden. Einen Nachweis für jeden Tatbestand gibt es daher nicht
und auch der Einblick nach dem betrügerischen Einsatz von Kreditkarten an Bankomaten, im
stationären Handel sowie im E-Commerce ist nicht gewährleistet.
Daher bleibt unbekannt, ob man von einem Rückgang in allen Akzeptanzfelden sprechen
kann oder ob der Betrug mit Kreditkartendaten in einzelnen Bereichen sogar gestiegen ist.

2
Abbildung 2: Polizeilich erfasste Fälle von Kreditkartenbetrug in Deutschland

Eine weitere Statistik vom Bundeskriminalamt in Deutschland erlaubt eine differenzierung der
einzelnen Delikte in Verbindung mit Zahlungskarten allgemein, für die Verwendung in einer
Kreditkarten-Betrugsstatistik sind diese jedoch nicht zu gebrauchen. Dabei handelt es sich
um folgenden Straftatenschlüssel: 4955 Diebstahl von unbaren Zahlungsmitteln, 5165 Betrug
mittels rechtswidrig erlangter Daten von Zahlungskarten, 5530 Fälschung von Zahlungskarten
und 5531 Gebrauch falscher Zahlungskarten.
Besondere Regelungen gelten beim Erfassen von Straftaten in die PKS; bestellt ein Betrüger
mit zuvor gestohlenen Kreditkartendaten im Rahmen des Fernabsatzgeschäfts Waren über das
Internet und wird dieser Tatbestand und erfolgt eine Anzeige, wird diese Straftat als Betrug
mittels rechtswidrig erfassten Straftat die betrügerische Benutzung einer Kreditkarte zugrunde,
so hat die Zuweisung dieser Staftat zu der Staftatenschlüsselnummer 5164 auch Vorrang zu
allen übrigen Betrugsdelikten wie etwa zum Computerbetrug.

Debitkarten Eine Debitkarte ist in Deutschland rechtlich eine Zahlungskarte nach § 152a
Abs. 1 Nr. 1 StGB in Verbindung mit Abs. 4, bei dieser das Girokonto des Karteninhabers sofort
oder innerhalb weniger Tage belastet (debitiert) wird. Umgangssprachlich wird die Debitkarte
fälschlicherweise als Scheckkarte“ beziehungsweise EC-Karte“ bezeichnet.
” ”
In Deutschland im Jahr 2008 ist der Betrug mittels Debitkarten um 24,6% auf 21 820 regis-
trierte Fälle gesunken. Auslöser für diese Abnahme könnten die vermehrte Kontrolltätigkeit
des Handels oder die Einrichtung einer zentralen Sperrdatei für das elektronische Lastschrift-
verfahren beim EuroHandelsinstitut sowie die Umstellung auf das sicherere PIN-Verfahren
sein.
Es können nurmehr 7 940 Fälle, das entspricht einem Rückgang von 14,4%, mittels rechts-
widrig erlangter Kreditkarten beklagt werden. [Sic09]

3
Abbildung 3: Zahl der Tatverdächtigen im Verhältnis zu den polizeilich erfassten Fällen

2.3 Die Dunkelfeldproblematik


Ein ausreichender Nachweis ist nicht nur aus den oben genannten Gründen nicht möglich, wie
bei allen amtlich registrierten Straftaten gibt es auch beim Kreditkartenbetrug eine Dunkelzif-
fer. Die Dunkelfeldproblematik beinhaltet zwei Aspekte, einen täterspezifischen und einen auf
die Anzahl der amtlich nicht bekannt gewordenen Straftaten, der so genannten Dunkelziffer.
Nur bei einem sehr geringen Teil polizeilich erfasster Delikte sind Straftäter zu ermitteln und
nicht jeder Betrug wird von Seiten der Opfer bei der Polizei angezeigt. Gründe dafür ergeben
sich aus den zwei wesentlichen Einflussfaktoren, die auf das Anzeigeverhalten der Opfer ein-
wirkten: die opferspezifische Faktoren, wie Alter, Geschlecht oder die Zugehörigkeit zu einer
Minderheit und deliktspezifischen Faktoren.
Der Kreditkartenbetrug im Ausland ist eines der häufig behandelten Themen. Kreditkarten
werden gestohlen und im Ausland für Transaktionen verwendet, was eine erschwerte polizeiliche
Ermittlung zur Folge hat. Innerhalb der Cyberkriminalität wird ebenfalls eine geographische
und politische Erschwernis verzeichnet. [Muj09]

Die Dunkelziffer in Deutschland In der folgenden Abbildung, aus Deutschland, wird die
absolute Anzahl der polizeilich ermittelten Tatverdächtigen im Vergleich zu den absolut regis-
trierten Tatbeständen betrachtet.
Auffällig ist der Zusammenhang zwischen der Anzahl polizeilich registrierter Tatbestände
und der absoluten Anzahl polizeilich ermittelter Tatverdächtiger. Im Gegenatz zu den poli-
zeilich erfassten Fällen weist, die Anzahl der jährlich absolut ermittelten Tatverdächtigen nur
wenige Veränderungen auf. Zwar ist mit dem Anstieg und dem Rückgang der Fälle auch ein
Anstieg und Rückgang der ermittelten Tatverdächtigen zu beobachte, jedoch ist das Verhältnis
der beiden Raten sehr unproportional.
Ein Tatverdächtiger beispielsweise, dem vorgeworfen wird, mehrere rechtswidrig erlangte
Kreditkarten eingesetzt zu haben, wir nicht als solcher auch mehrfach entsprechend der An-
zahl in die PKS aufgenommen; man spricht von der Abschaffung der Mehrfachzählung. Unter
anderem ist es ausschlaggebend, dass Kreditkartendelikte meist unbemerkt für die Betroffe-

4
Abbildung 4: Auszug aus der Polizeilichen Kriminalstatistik Deutschland von 1996–2006

nen bleiben und die Anzeigen somit erst zu einem späteren Zeitpunkt, bei Vollendung der
Tat aufgegeben werden. Es ist schwierig, den oder die Straftäter noch ausfindig zu machen.
Demzufolge ist die Aussage der Tatverdächtigenquote keine verlässliche, vor allem wenn man
weiters in Betracht zieht, dass es professionelle Zahlungskartenbetrüger schaffen in den Besitz
von zuvor gestohlenen oder kopierten Karten zu kommen. Durch diesen Aspekt wird eine Stei-
gung der Tatverdächtigen hervorgerufen, was wiederum zu einer Unproportionalität zwischen
der Tatverdächtigenquote und der Anzahl der verübten Delikte darstellt. [Muj09]

3 Erklärungsansätze für den Kreditkartenmissbrauch


Von den nicht-menschlichen Faktoren abgesehen gibt es die situativen Faktoren, sie nehmen
Einfluss auf einen gegebenen Handlungsrahmen und somit auf die Wahrscheinlichkeit für eine
erfolgreiche Begehung eines Deliktes. Im Hinblick auf die Kreditkartenkriminalität spielen so
nicht unbedingt menschliche Faktoren eine Rolle; die häufigsten Ursachen um einen Kreditkar-
tendelikt zu begehen basieren auf der nichtsozialen Ebene. In den folgenden Kapiteln werden
nur situative, nicht-menschliche Faktoren behandelt. [Muj09]

3.1 Der Einfluss des Verbreitungsgrades


Bei früheren Studien wurde einen Korrelation zwischen der Häufigkeit verfügbarer Tatobjekte
und der Häufigkeit von objektspezifischen Delikten untersucht. [Kil02] Diese Studien geben
Anlass zur Überlegung, dass im Hinblick auf die Häufigkeit der im Umlauf befindlicher Kre-
ditkarten und die Häufigkeit des Missbrauchs der potentielle Tatobjekte ein Zusammenhang
in der Kriminalitätsrate besteht.

Beispiel Deutschland Würde man versuchen einen Vergleich zwischen der in Deutschland,
im Zeitraum von 1996 bis 2005, im Umlauf befindlicher Kreditkarten [Pag07] und den im sel-
ben Zeitraum polizeilich registrierten Fällen von Kreditkartenbetrug zu ziehen, so kann kein

5
direkter Zusammenhang festgestellt werden. Da aber die PKS als Quelle, aus in Kapitel 2
bereits genannten Gründen, keinen verlässlichen Aussagegehalt im Hinblick auf die Kreditkar-
tenkriminalität bietet, kann dahingehend keine ausreichende Beurteilung des Zusammenhangs
abgegeben werden.

Beispiel Österreich In Österreich wäre ebenso wie in Deutschland, kein Vergleich und ein
daraus relevantes Ergebnis möglich, vor allem aufgrund der hohen Dunkelziffer bei Kredit-
kartenmissbrauch. Kreditkartenmissbrauch findet in Österreich häufig über das Internet statt;
Kreditkartebetrug im stationären Handel ist in Österreich, prozentuell gesehen, nicht so weit
verbreitet wie beispielsweise in Deutschland.
Da der Kreditkartenbetrug ein sehr vielseitiges Phänomen ist, kann man sich auch die Frage
stellen, ob es eine Korrelation zwischen einem bestimmten Akzeptanzfeld, wie zum Beispiel des
E-Commerce im Vergleich zu dem stationären Handel, und der steigenden Kriminalitätsrate
gibt. Man könnte eine Verbindung von der zahlenmäßigen Entwicklung der privaten Internet-
anschlüsse zu den stetig wachsenden Betrugsraten feststellen.
Die Häufigkeit der verfügbaren Tatobjekte stellt im Bezug auf die Vorhersage oder die Be-
stimmung der Kriminalitätsrate leider keinen ausreichenden Indikator dar. Es gibt weitere Fak-
toren wie Attrativität eines Objekts und bestehende Sicherheitsmaßnahmen, die überwunden
werden müssten, die sich auf die Kriminalitätsrate auswirken. Im Bezug auf die Sicherheits-
maßnahmen beziehungsweise Zugangsbarrieren gibt es wieder die Akzeptanzfelder, die beach-
tet werden müssen. Im stationären Handel sind die Sicherheitsmaßnahmen, genau so wie die
rechtswidrige Beschaffung der Kreditkartendaten gesondert von denen im Online Handel zu
betrachten; auch die Rechtslage ist unterschiedlich.

3.2 Zugangsbarrieren und Entdeckungsrisiken


Der Kreditkartenmissbrauch hat ein facettenreiches Auftreten, von der die illegale Beschaffung
von Kreditkarten(-daten) bis hin zum betrügerischen Gebrauch. Die verschiedenen Gelegen-
heitsstrukturen, in Form von Zugangsbarrieren, tragen zu der Kriminalitätsrate bei. Es spielt
weniger der klassische Raub- oder Diebstahldelikt eine Rolle, sondern die einfache Erlangung
persönlich bezogener Daten mittels verschiedenster Kommunikationskanäle und technologi-
scher Hilfsmittel in den unterschiedlichen Akzeptanzfeldern. Grundsätzlich sollte man nicht
den rechtswidrigen Zugang zu Kreditkarten(-daten) im Allgemeinen betrachten. Es ist sinn-
voller die unterschiedlichen Akzeptanz- und Einsatzfelder und die damit zusammenhängende
Prüfung der kartenspezifischen Sicherheitsmerkmale zu beurteilen.

3.2.1 Datenabgriff im Onlinebereich


Im E-Commerce wird Kreditkartenmissbrauch größtenteils dort betrieben, wo Transaktionen
eingesetzt werden. Der Kommunikationskanal Internet ermöglicht den Tätern auf diversesten
Wegen an die vertraulichen Daten einer Karte zu kommen. Es besteht die Möglichkeit der
Verwendung einer Spionagesoftware, des Betrugs mittels Phishing und Pharming sowie die
Manipulation von Datenbanken in Form von Serverattacken.
Es werden zwar moderne Technologien beim Gebrauch von Personalcomputern, Routern
und dem Kabel-, Satteliten- oder WLAN-Anschluss eingesetzt, dennoch stellen diese modernen
Komponenten aus Tätersicht keine außergewöhnlichen Investitionen zu Begehung der Straftat
dar. Zusätzlich stellt das Internet als Tatmittel ein für Jeden zugängliches Gut dar, bei dem

6
die Betrüger in der Lage sind global zu handeln und sich grenzüberschreitend auch Zugang zu
im Auslang gespeicherter Daten verschaffen können.
Ein wichtiger Aspekt beim Internet als Informationskanal im Gegensatz zu anderen Akzep-
tanzfeldern ist, dass erfahrene Straftäter sich sehr schnell einen Zugang zu weitaus größeren Da-
tenquellen holen können. Der Erfolg des Datenabgriffes hängt letztlich nur von den Fähigkeiten
des Hackers ab, die Zugangsbarrieren in Form von Firewalls oder Passwortschutz zu umgehen.
Ohne gute Programmierkenntnisse bleibt dem Täter noch immer der Angriff mittels Phishing
(siehe Kapitel 5.4). Das Erstellen von Internetseiten bedarf keiner großen Kenntnisse und ist
daher ein Grund von dem immer häufigeren Auftreten von Phishingfällen.
Ein weiterer wichtiger Aspekt ist das Entdeckungsrisiko; Möglichkeiten, wie zum Beispiel
die Nutzung öffentlicher Internetzugänge, sowie den Gebrauch von spezieller Software zur Ver-
schleierung der Identität bestätigen das geringe Entdeckungsrisiko bei Onlinedelikten.
Der Kostenaufwand ist mitunter auch ein Grund der steigenden Delikte im Onlinebereich.
Straftaten verlangen vielmehr tatrelevantes Wissen, beispielsweise in Form von Programmier-
kenntnissen, als großes Privatkapital. [Muj09]

3.2.2 Datenabgriff im stationären Handel


Um Daten an POS-Terminals im stationären Handel abzugreifen, spielt der Gebrauch spezi-
eller Technologien, wie Skimmer, eine vorranige Rolle. Dabei kann der Täter in zwei Rollen
schlüpfen: in die Rolle eines Verkäufers, der seinem ahnungslosen Opfer gegenübersteht oder in
die Rolle des Manipulators, der zusieht, wie Verkäufer und Karteninhaber in seine Falle tappen.
Beim letzen Fall wird vorrausgesetzt, dass eine vorherige Manipulation des Zahlungsterminals
erfolgt ist.
Die Täter haben im stationären Handel immer nur Zugang zu einer beschränkten Anzahl
von vertraulichen Daten. An Points of Compromise im POS-Segment können nur die Daten
derjenigen Kreditkarten abgegriffen werden, die innerhalb einer bestimmten Zeitspanne dort
eingesetzt wurden. Bei dem Betrug im POS-Bereich wird davon ausgegangen, dass die meisten
Verkäufer als Täuschende im Auftrag Dritter handeln. Die Auftraggeber nehmen die Daten,
von den Auftragnehmern, gegen Bezahlung entgegen, um somit gefälschte Kreditkarten herzu-
stellen. Effektive Schutzmaßnahmen gegen den Einsatz von Skimmern gibt es an den meisten
Akzeptanzstellen im POS-Bereich noch nicht.
Der Zugang zu Tatmitteln, wie zum Beispiel die Beschaffung eines Kartenlesegeräts, ist durch
legale Methoden gewährleistet. Der Aufwand der Herstellung einer gefälschten Kreditkarte ist
dagegen relativ hoch. Es müssen Datenrohlinge als Datenträger beschafft und die mit den
rechtswidrig beschafften Daten beschrieben werden. Für eine solche Produktion werden eine
Reihe technologischer Komponenten benötigt: spezielle Drucker, Stanzgeräte, Computer, etc.
Der Kostenaufwand ist ein weitaus höherer als bei Onlinedelikten. Insbesondere im asia-
tischen Raum wird der Datenabgriff an POS-Terminals in Verbindung gebracht. Mögliche
Ursachen dafür sind wohl Gruppen, die auf Kreditkartendelikte spezialisiert sind, der hohe
Verbreitungsgrad moderner Technologien sowie ein entsprechender Grad an technologischem
Wissen. Angesichts der starken betrügerischen Aktivitäten in Ländern mit geringerem Brut-
tosozialprodukt, wird davon ausgegangen, dass derartige technologische Komponenten und
gestohlene Daten von Land zu Land weitergegeben werden. Unter anderem werden auch Kre-
ditkartendelikte im amerikanischen Raum in gewissen Maße mit Verbrechersyndikaten, die in
diesen Ländern beheimatet sind, in Verbindung gebracht. [OH03]

7
3.2.3 Datenabgriff an Bankomaten
Nicht nur im online und stationär basierenden Handel besteht die Gefahr, Opfer eines Kre-
ditkartenbetruges zu werden. Immer häufiger übernehmen die Täter die Kreditkartendaten
direkt an Bankomaten mit Hilfe spezieller Technologien, wie zum Beispiel Skimming (siehe
Kapitel 5.2).
Beim Datenabgriff an Bankomaten steht, gleich wie beim stationären Handel, auch nur eine
beschränkte Anzahl von Daten zu Verfügung. Es können nur die Kartendaten der Inhaber abge-
griffen werden, die in einem bestimmten Zeitraum an einem bestimmten, vorher manipulierten
Bankomat Geld abgehoben haben.
Hinsichtlich der Zugangsbarrieren gibt es jedoch gewisse Unterschiede. In Deutschland wur-
den zusätzliche Komponenten an Bankomaten angebracht, die das Anbringen von Skimmern
erschweren oder von Betrügern angebrachte Geräte in ihrer Funktionalität, durch die Imple-
mentierung von Störfeldern, beeinträchtigen. Es ist damit zu rechnen, dass sich durch das
Erschweren des Zugangs sich der Trend des Kreditkartenbetrugs, aus dem Bereich der rechts-
widrigen Erlangung der Kreditkarten an Bankomaten, in eher ungeschützere Bereiche, wie zum
Beispiel den E-Commerce oder den stationären Handel verlagert. Die Häufung der Betrugsfällen
mittels Lebanese Loop (siehe Kapitel 5.3) könnte als ein Anzeichen für eine solche Verlagerung
gewertet werden. Bei dieser Technik wird der Einsatz technologischer Hilfsmittel durch die
Überredungskunst ersetzt; es zählt vielmehr das persönliche Handeln und das Auftreten des
Betrügers. Erfolgreich ist die Täuschung, wenn es dem Täter gelingt, den Kreditkarteninhaber
unter einem falschen Vorwand, meistens um einem Opfer zu helfen, zu überreden ihm seine
persönliche Geheimzahl seiner Kreditkarte zu verraten.
Der Aspekt des Entdeckungsrisikos ist bei der oben genannten Variante höher als bei einer
anonymen Kommunikation. Es ist dennoch zu berücksichtigen, dass bei dem Lebanese Loop
oder auch bei dem Shoulder Surfing erhöhte Chancen auf einen materiellen Gewinn pro Tat-
objekt einhergehen. Noch bevor der betrogene Karteninhaber den Schaden bemerkt und sein
Konto sperren lässt, hat der Täter die Möglichkeit den maximalen Gewinn auszuschöpfen.
[Muj09]

3.3 Illegale Märkte


Seit Jahrzehnten ist unter Betrugsexperten bekannt, dass illegale Märkte, auf denen man
rechtswidrig erlangte Kreditkarten(-daten) kaufen kann, existieren. Diese Märkte ermöglichen
organisierten Verbrechersyndikaten aus unterschiedlichen Ländern, aber auch Privatbetrügern,
den Handel beziehungsweise den Ankauf von rechtswidrig erlangten Kreditkarteninformatio-
nen.
Heutzutage ist der Kommunikations- und Informationskanal, das Internet, für die kommer-
zielle Verbreitung gestohlener Daten mehr als ausschlaggebend. In geheimen Foren kann man
bereits für nur 10 Euro Kreditkartendaten, je nach Vollständigkeit, kaufen. Derartige Quellen
ermöglichen potentiellen Kreditkartenbetrügern einen einfachen und schnellen Zugang zu den
gewünschten Daten und das Entdeckungsrisiko hält sich dabei in Grenzen.
Angesichts der Tatsache, dass der Kreditkartenbetrug in erster Linie mit organisiertem Ver-
brechen zusammenhängt, ist die Möglichkeit des globalen Infomationsaustausch über das In-
ternet und die damit verbundene Identitätsverschleierung ein verstärkender Faktor für die
Kredikartenkriminalität. [Muj09]

8
4 Akzeptanzsstellen für den betrügerischen Einsatz
Um eine genaue Unterscheidung der verschiedenen Arten von Akzeptanzbereichen zu ermöglichen
sind vor allem folgende Kriterien zu berücksichtigen:

1. Die Art der Interaktion, die bei einem Zahlungsvorgang stattfindet. Ist eine Interaktion
zwischen zwei Individuen nötigt, also gemäß einer Dyade 1 zwischen Händler und Betrüger
kommt es zu einer face-to-face Situation. Jetzt stellt sich die Frage ob eine Kreditkarte
bei dem Zahlungsvorgang physisch vorgelegt wird oder nicht.

2. Die Rollenverteilung der Akteure innerhalb der Zeitspanne des Betrugs. Es ist zu klären,
wer die Rolle des Täuschenden und welche Person die Rolle des Getäuschten trägt. Dem-
zufolge kann man klären, ob die Betrugshandlung eine Selbst- oder Fremdschädigung zur
Folge hat.

3. Die Art des Kanals, welcher für eine Kreditkartentransaktion von Nöten ist. Hierbei
spielen neben der telefonischen Kommunikation, beispielsweise bei einem Versandhandel,
auch der elektronische Handel via Internet, der E-Commerce. Dahingehend gelten eigene
Maßnahmen zur Sicherheitsprüfung als bei Transaktionen im stationären Handel.

4.1 Missbrauch im stationären Handel


POS-Terminals sind stationäre Zahlungseinrichtungen in Form von Hardwarekomponenten,
an denen durch das physische Vorlegen der Kreditkarte bezahlt werden kann. Beispiele für
Akzeptanzstellen wären Tankstellen, Restaurants, Kaufhäuser und Flughäfen. Anders als bei
der Mensch-Maschine-Interaktion findet hier eine face-to-face-Interaktion statt.
Die Magnetstreifen an den Kreditkarten werden mittels der dafür vorgesehenen Geräte ge-
lesen und an den Server des jeweiligen Kreditkartenemittenten elektronisch gesendet, um eine
Autorisierung der Geldbeträge genehmigen zu lassen.
Der Kreditkartenmissbrauch kommt an POS-Terminals hauptsächlich mit dem Einsatz von
gestohlenen, verlorenen und vom Täter gefundenen oder mit dem Einsatz von Totalfälschungen
vor. Beim Einsatz von Originalkarten muss der Betrüger die falsche Identität, die des rechtmäßigen
Kreditkarteninhabers vortäuschen und die Originalunterschrift fälschen. Es besteht die Gefahr,
dass der Händler bei der Unterschriftenprüfung Verdacht schöpft.
Die Rollen sind auf die Akteure klar verteilt. Handelt der Täter im Auftrag einer dritten
Person oder einer Gruppe, kann die Rolle des Nutznießers2 auf mehrere Individuen gleich
verteilt sein.

4.2 Missbrauch an personalfreien Akzeptanzstellen


POI-Terminals sind personalfreie Akzeptanzstellen wie Geldausgabeautomaten oder Handels-
einrichtungen wie beispielsweise öffentliche Telefonzellen mit Kreditkartenakzeptanz. Der wich-
tigste Unterschied liegt zu den POS in dem Fehlen von Verkaufspersonal, es kommt nicht zu
einer sozialen Interkation und somit nicht zu der Unterschriftenprüfung. Welche Sicherheits-
merkmale von der Maschine überprüft werden hängt von der Einsatzart des Terminals ab.

1
Eine Dyade ist aus sozialpsychologischer Sicht eine Zweiergruppe mit einer intensiven und einer besonders
emotionalen Beziehung
2
Eine Person die von jemanden oder von etwas profitiert.

9
4.3 Missbrauch an Bankomaten
Der Kreditkartenmissbrauch an Bankomaten ist bei Betrügern sehr beliebt. Allein wegen der
großen Anzahl ausgegebener Debitkarten (siehe Kapitel 2.2) und deren primäre Funktion, das
Abheben von Bargeld, ist deren Anteil an betrügerischer Verwendung klar. Es sind trotz allem
auch Kreditkartenbetrüge an Bankomaten nicht zu unterschätzen.
Um das Risiko an Bankomaten beurteilen zu können werden Sicherheitsmaßnahmen wie
bestehende Vorschriften der Legitimationsprüfung der Karteninhaber und deren Verwund- be-
ziehungsweise Umgehbarkeit berücksichtigt. Anders als bei dem stationären Handel, wo die
rechtswidrig Erworbenen Ware zuerst als Hehlerware verkauft werden muss, kommt man bei
dem Kreditkartenbetrug an Bankomaten sofort an Bargeld. Ein weiterer Vorteil ist die Mensch-
Maschine-Interaktion, welche das Risiko verhindert, dass der Verkäufer Verdacht schöpft und
sofort die Polizei alarmiert. Weiters gibt es noch dem Vorteil von sogenannten White Plastics,
sogenannte Kreditkartenrohlinge. Mit diesen Karten wäre es unmöglich im stationären Handel
zu zahlen.
Um an Bankomaten auf die vertraulichen Kontoinformationen Zugriff zu erhalten muss sich
der Inhaber mittels einer Eingabe eines vierstelligen persönlichen Identifikationsnummer le-
gitimieren. Die eingegebenen Daten werden mit einem speziellen Verschlüsselungsverfahren
namens Triple-DES bei Debitkarten und DES bei Kreditkarten, über einen direkt mit der
Tastatur verbundenen so genannten Krypto-Prozessor an den Autorisierungscomputer der je-
weiligen Bank gesendet. Der eingegebene PIN sowie die gespeicherten Daten auf dem Magnet-
streifen, wie Daten- und Kontonummer werden geprüft. Die Verschlüsselungsverfahren gelten
aus Sicht der Jurisprudenz als sicher. Weitere Sicherheitsmerkmale und -maßnahemn sind im
Kapitel 7 aufgeführt.

5 Arten zur rechtswidrigen Erlangung von Kreditkarten(-daten)


Nachdem die verschiedenen Akzeptanzstellen für den Kreditkarteneinsatz näher erläutert wur-
den, sieht man bereits, dass die Motivation für das Erlangen von Kreditkarteninformationen
durchaus gegeben ist. Dieses Kapitel soll die Art und Weise näher betrachten, wie Betrüger zu
relevanten Informationen kommen und damit unautorisierte Tranaktionen durchführen.

5.1 Der Diebstahl von Kreditkarten


Die einfachste Möglichkeit an alle nötigen Informationen zu kommen ist sicherlich der einfache
Diebstahl einer Kreditkarte. Durch den Diebstahl der Kreditkarte erlangt der Täter sowohl die
Kreditkartennummer wie auch die CVC 2 (siehe Kapitel 7.2).
In Österreich und Deutschland ist diese Methode zwar vorhanden, jedoch kann man davon
ausgehen, dass Kreditkarten eher als Teil einer gesamten Geldtasche gestohlen werden, da auf-
grund der raren Verbreitung von Kreditkarten ein expliziter Diebstahl dieser eher ein weniger
interessantes Konzept wäre.

5.2 Das Skimming


Eine durchaus attraktivere Methodik stellt hier das Skimming dar. Unter Skimming versteht
man das – meist elektronische – Ausspähen relevanter Informationen. Dies kann beispielsweise
durch den Verkäufer selbst passieren, indem er den Kunden dahingehend täuscht, dass er ihn

10
im Glauben lässt, er führe nur die Transaktion durch, in Wirklichkeit aber ließt er mit einem
elektronischen Gerät namens Skimmer“ die Daten der Kreditkarte aus. Mit diesen Daten kann

der Betrüger anschließend eine Kopie – sogenannte White Plastics – anfertigen und diese zum
durchführen von Zahlungen benutzen oder sie verkaufen.
Eine andere Methode des Skimmings ist das Aufgreifen der Informationen direkt am Ban-
komaten oder POS-Gerät. Hierzu installiert der Betrüger eine Vorrichtung am Gerät, dass die
Kreditkarteninformationen nicht nur an das Kreditkartenunternehmen sendet, sondern auch
auf einen Speicherchip im Gerät abspeichert.

5.3 Die Methode des Lebanese Loop


Eine weitere Methode ist die Methode des Lebanese Loop. Bei dieser Methode blockiert der
Betrüger den Kartenschlitz eines Bankomaten dahingehend, dass dieser nur noch Karten auf-
nehmen kann, beim Auswerfen der Karte jedoch blockiert. Dies lässt sich zum Beispiel mit
einem geschickt eingeschnittenem Videoband realisieren. Der Betrüger positioniert sich ge-
schickt in Position und wartet auf einen Kunden. Führt ein Kunde eine erfolgreiche Trans-
aktion durch oder bricht dieser die Aktion ab, so versucht der Automat die Karte durch den
Kartenschacht auszuwerfen. Da dieser jedoch von Betrüger manipuliert wurde, gerät der Kun-
de in die seltsame Situation, seine Kreditkarte nichtmehr zu bekommen. Der Täter bietet sich
nun als freundlicher Helfer an und versucht mit dem Kunden das Problem zu beheben, indem
er ihm schenbar nützliche Tipps gibt, wie zum Beispiel das erneute Eingeben der PIN. Durch
diese gut überlegten Tipps gelingt es dem Betrüger letztendlich alle – auch geheimen – Infor-
mationen zu erlangen und hinterlässt mit dem Kunden den Bankomat, da er ihm klarmachte,
dass auch er das Problem nicht lösen könne. Nachdem sich der Kunde entfernt hat, kann der
Betrüger nun die Kreditkarte aus dem Schacht entfernen und selbst Bargeld abheben oder
andere Transaktionen durchführen. [Muj09]

5.4 Datendiebstahl im Internet


Eine sehr beliebte und weit verbreitete Methode ist das Phishing. Beim Phishing – welches als
spezielle Methode des Social Engineering gesehen werden kann – versucht der Betrüger das
Opfer dazu zu bringen, seine Kreditkarteninformationen freiwillig preiszugeben. Dies macht
er zum Beispiel durch Versenden von E-Mails die aussehen als kämen sie von der Bank des
Kunden. In Wirklichkeit jedoch verbirgt sich hinter den Links der Mail eine betrügerische
Webseite, auf die der Kunde beim Versuch den Anweisungen der E-Mail folgezuleisen stößt.
Diese Webseite sollte so ähnlich wie nur möglich der, der Bank entsprechen, sodass der Kunde
nicht merkt, in Wirklichkeit auf einen anderen Webseite seine Daten einzugeben. Durch ge-
schickte Wortwahl versucht nun der Betrüger seinem Opfer alle relevanter Informationen zu
entlocken. Oftmals wird auf technische Schwierigkeiten oder Wartungsarbeiten verwiesen, die
es anscheinend erfordern, dass der Kunde seine geheime PIN veroffenbahrt.
Eine weitere sehr verbreitete Möglichkeit ist die Installation von bösartiger Software auf den
Computern der Opfer. Diese durchsucht die Festplatte nach Kreditkarteninformationen die
der Computer bei vorhergehenden Transaktionen gespeichert hat. Dies war Haupteinsatzgebiet
einiger in letzter Zeit aufgekommenen Computerviren.
Eine weitere bekannte Art, mittels der Betrüger an vertrauliche Kreditkartendaten gelan-
gen, stellt das temporäre Erstellen vermeintlicher Händler-Websites dar. Geworben wird mit
scheinbar günstigen Angeboten, welche die Preise auffällig weit unter den Preisen von regulären

11
Anbietern haben. Bestellt ein Kunde ein Produkt so werden lediglich die Kreditkartennummer
und andere für den Betrüger interessante Informationen gespeichert. Zu eine Lieferung kommt
es nicht, da das Unternehmen nicht existiert sondern nur als Vorwand gilt, an Kreditkartenin-
formationen zu kommen.
Weitere Methoden sind vorstellbar und auch im Einsatz. Hackingangriffe auf Bestellwebsites
zum Beispiel, legen tausende Kreditkartendaten gleichzeitig offen. Der Kreativität sind hier
keine Grenzen gesetzt.

5.5 Kreditkartenantragsbetrug
Um in den Besitz einer Kreditkarte zu kommen, müssen Bankkunden einen Kreditkartenantrag
stellen. Neben der Angaben persönlicher Daten wie auch von Daten über die finanzielle Situati-
on durch den Antragsteller, ist auch das Einreichen weiterer Dokumente nötig. Die Prüfung und
die anschließende Beglaubigung dieser Dokumente werden von Bankangestellten durchgeführt.
Diese Sicherheitsvorkehrungen dienen der Verhinderung von betrügerischen Kreditkartenan-
trägen mittels gefälschter Dokumente. Doch gerade auf diesen Weg haben sich einige Betrüger
spezialisiert. Diese benutzen gefälschte oder gestohlene Dokumente um im Namen anderer
Personen an eine Kreditkarte zu gelangen. [Muj09]

6 Kreditkartenmissbrauch aus juristischer Sicht


Der Missbrauch einer Kreditkarte wirft für die Beteiligten einige Fragen auf. Zum einen muss
geklärt werden, wer im Falle eines Missbrauchs haftet beziehungsweise wessen Schaden ausge-
glichen werden muss. Zum anderen wird die Frage nach der strafrechtlichen Verfolgbarkeit und
Sanktionierung gestellt.
Diese Punkte sollen in diesem Kapitel näher betrachtet werden und die Rechtssituation im
österreichischen Recht aufzeigen.

6.1 Kreditkartensysteme
Wenn man verschiedene Kreditkartensysteme genauer betrachtet, kann man mehrere Konzepte
wiederfinden. Der Unterschied zwischen diesen Systemen liegt einerseits an den verschiedenen
beteiligten Parteien und andererseits an der Haftung.

6.1.1 Das Zwei-Parteien-System


Beim Zwei-Parteien-System händigt ein Unternehmen einem Kunden eine Karte aus, welche
der Kunde zum Kauf von Waren einsetzen kann. Der Kauf des Kunden stellt einen Kaufvertrag
i. S. d. § 1053 ABGB dar. Der Kaufvertrag setzt voraus, dass der Kunde den Kaufpreis zahlt und
dass der Verkäufer das Eigentum an der Sache an den Käufer überträgt (siehe § 1053 ABGB).
Die Zahlung des Kaufpreises stellt eine Erfüllung der kaufvertraglichen Pflicht dar und führt
zum Erlöschen des Kaufpreisanspruchs. Dieses Interesse des Verkäufers wird durch den Ein-
satz der Karte befriedigt. Das verkaufende Unternehmen stellt dem Kunden die Kreditkarte
zur Verfügung und gibt ihm so die Möglichkeit, ein anderes Zahlungsmittel außer Bargeld ein-
zusetzen. Durch die Vorlage der Karte und der Unterschrift des Kunden ermächtigt dieser den
Verkäufer im Rahmen deiner Einzugsermächtigung (Lastschrift) vom Girokonto des Kunden

12
den Kaufpres einzuziehen. Diese Form der Kreditkarte wird oft als Konsumentenkarte“ oder

Konsumentenkarten“ ausgegeben. [Muj09, Öh10]

Das Zwei-Parteien-System entspricht der ursprünglichen Funktion einer (Waren-) Kredit-
karte seit ihrer Einführung in den USA Anfang des 20. Jahrhunderts. Die Kreditkarte stellt
in diesem System ein sehr beschränktes Zahlungsmedium dar, welches als solches nur bei dem
herausgebenden Unternehmen akzeptiert und eingesetzt werden kann. Es galt und gilt heute
noch als Strategie, auf diese Weise Kunden an ein Unternehmen zu binden. [Muj09]
In Österreich wird dieses Konzept durch § 1 Bankwesengesetz erschwert. Demnach ist die
Ausgabe von Kreditkarten ein Bankgeschäft und Bankgeschäfte dürfen nur von Kreditinstitu-
ten (Banken) betrieben werden. [Öh10] Eine leichte Abwandlung stellt hier eBay mit seinem
Kreditinstitut PayPal 3 dar. Es handelt sich bei PayPal jedoch nicht um ein Kreditkarteninsti-
tut, jedoch findet man das beschriebene Prinzip des Zwei-Parteien-Systems wieder.

6.1.2 Das Drei-Parteien-System


Das Drei-Parteien-System – auch oft als Interchange-System bezeichnet – führt eine dritte
Partei ein, die Kreditkartengesellschaft. Zwischen dem Kunden und er Kreditkartengesellschaft
(z. B. Mastercard oder VISA) besteht ein Kreditkartenvertrag. Der Kunde muss als Gegenleis-
tung zum Beispiel eine Jahresgebühr für die Benutzung der Kreditkarte bezahlen.

Kreditkartengesellschaft

sch
uld Garantievertrag
n g
cku
De

Valutaverhältnis
Kunde Vertragshändler

Abbildung 5: Beziehungen im Drei-Parteien-System.

Im Verhältnis zwischen dem Kunden und dem Vertragshändler kommt es zunächst wieder
zu einem Kaufvertrag. Der Vertragshändler hat zugleich mit dem Kreditkartenunternehmen
einen Garantievertrag auf Zahlung des Kaufpreises abgeschlossen. Ein Unterschied zum Zwei-
Parteien-System besteht darin, dass die Kreditkarte hier als ein universelles Zahlungsmittel
verstanden wird, das an mehreren verschiedenen Akzeptanzstellen benutzt werden kann.
Der Zahlungsverkehr findet wie folgt statt: Beim Kauf einer Ware oder Dienstleistung
wird das Kreditkartenkonto des Kunden belastet. Die Belastung trägt zunächst die Kre-
ditkartengesellschaft. Diese Belastung gleicht sie durch eine vom Kunden erteilte Einzugs-
ermächtigung aus, indem sie zunächst dem Kunden die monatliche Rechnung zusendet und
zum Fälligkeitszeitpunkt den offenen Betrag vom Girokonto einzieht. Zugleich schreibt das
Kreditkartenunternehmen dem Vertragshändler den Kaufpreis abzüglich einer Provision gut.
[Muj09, Lom09] unbare Zahlungsmittel Beispiele für dieses System wären Kreditkarten der
3
PayPal ist eine Bank mit europaweiter Genehmigung. [Ste07]

13
Firmen American Express sowie Diners Club. Diese Firmen geben Ihre Kreditkarten selbst aus
und verzichten auf eine Kooperation mit Kreditinstituten (siehe Kapitel 6.1.3). [Öh10]

6.1.3 Das Vier-Parteien-System


Im Vier-Parteien-System kommt die Besonderheit hinzu, dass nicht die Kreditkartengesell-
schaft die Kreditkarte ausgibt, sondern das Kreditinstitut des Kunden. Der Kreditkartenvertrag
besteht hier also zwischen dem Kunden (Karteninhaber) und dem Kreditinstitut (Bank). Zwi-
schen dem Kreditinstitut und der Kreditkartengesellschaft besteht ein Forderungskauf, indem
das Kreditinstitut die Kaufpreisforderung, welche die Kreditkartengesellschaft vom Händer er-
worben hat, wiederum für sich erwirbt, um gegen den Kunden einen Anspruch auf Belastung
des Girokontos in Höhe des Kaufpreises zu haben. Die restlichen Modalitäten sind mit dem
Drei-Parteien-System (siehe Kapitel 6.1.2) ident. [Muj09]

Forderungskauf
Kreditinstitut Kreditkartengesellschaft

Garantievertrag
Deckungschuld

Valutaverhältnis
Kunde Vertragshändler

Abbildung 6: Beziehungen im Vier-Parteien-System.

Beispiele für dieses System wären Kreditkarten von MasterCard oder VISA, da diese von
Banken in Zusammenarbeit mit den Kreditkartenorganisationen ausgegeben werden. [Öh10] In
Österreich übernehmen meist eigens hierfür eingerichtete Banken, wie die PayLife Bank GmbH
([Pay10]) oder die card complete Service Bank AG, diese Tätigkeit für diese Firmen.

6.2 Haftungsfragen
In den in Kapitel 6.1 genannten Systemen des Kreditkartenzahlungsverkehrs können Fehler
passieren und Mängel auftauchen. Die Frage für jede beteiligte Partei ist, wer für welchen
Schaden haftet. Die Antwort auf diese Fragen ergibt sich häufig aus dem Gesetz, den allgemei-
nen Geschäftsbedingungen für den Kreditkartenverkehr des jeweiligen Kreditkartengesellschaft
oder vergangenen Rechtssprechungen.

6.2.1 Allgemeine Regelungen


In einem Schadensfall hat generell gemäß den gesetzlichen Regelungen jeder der Beteiligten
sein eigenes Fehlverhalten zu verantworten. Ist der Kaufvertrag zwischen einem Kunden und
dem Vertragshändler nichtig, weil beispielsweise der Kunde zum Zeitpunkt des Kaufs wegen
Minderjährigkeit geschäftsunfähig war, so greift hier (zumeist) nicht der Garantievertrag zwi-
schen dem Kreditkartenunternehmen und dem Händler. Der Vertragshändler muss in so einem

14
Fall den entstandenen Schaden allein tragen, da dieser sich nicht an vertraglich festgelegte
Sicherheitsvorkehrungen, in diesem Fall an eine Altersprüfung, gehalten hat.4 Hat der Kun-
de seine Obliegenheitspflicht grob fahrlässig verletzt, etwa indem er die Kreditkarte samt der
Geheimnummer in der Geldbörse aufbewahrte und ihm diese gestohlen wurde, so haftet er bis
zur Sperrung der Kreditkarte selbst für den dadurch entstandenen Schaden. [Muj09]
Fraglich ist jedoch noch, wer den Schaden zu tragen hat, wenn keiner der Beteiligten den
Schaden zu verantworten hat, weil sich alle Parteien richtig und vertraglich korrekt verhielten.
Dabei handelt es sich um die Fälle, in den der Täter über fremde Kreditkarteninformation
verfügt, weil er etwa diese zuvor online ausgespäht hat. In einem solchen Fall greift der Ga-
rantievertrag zwischen Kreditkartengesellschaft und dem Händler, sodass der Händler die ihm
zustehende Kaufsumme erhält. Das Kreditkartenunternehmen erhält – aufgrund vertraglicher
Vereinbarungen mit der Bank – die Belastung, die ihm aufgrund der Zahlung an den Händler
entstanden ist, von der Bank5 erstattet. Der Kunde kann jedoch nicht zur Verantwortung gezo-
gen werden, weil er sich nicht außervertraglich verhalten hat. Mithin bleibt die Bank auf ihrem
Schaden sitzen. Sie ist darauf angewiesen, gegen den Täter, sofern dieser ermittelt werden
kann, zivil- und strafrechtliche Schritte einzuleiten.

6.2.2 Rechtliche Situation bis November 2009


Bis zum 31. Oktober 2009 wurde in § 31a KSchG geregelt, dass bei Missbräuchlicher Verwen-
dung der Karteninhaber vom Kartenaussteller eine Rückbuchung veranlassen kann.

§ 31a. Wenn bei einem Vertragsabschluß im Fernabsatz (§ 5a oder § 1 des Fern-


Finanzdienstleistungs-Gesetzes, BGBl. I Nr. 62/2004) eine Zahlungskarte oder de-
ren Daten mißbräuchlich verwendet werden, so kann der berechtigte Karteninhaber
vom Aussteller der Karte verlangen, daß eine Buchung oder Zahlung rückgängig
gemacht bzw. erstattet wird. Von dieser Bestimmung kann zum Nachteil eines Ver-
brauchers nicht abgewichen werden.

Desweiteren konnte eine Person die vorsätzlich eine Kreditkarte zur missbräuchlichen Ver-
wendung einsetzte nach § 148a StGB mit Freiheitsstrafe bis zu zehn Jahren bestraft werden.

6.2.3 Das Zahlungsdienstegesetz 2009


Seit dem 1. November 2009 regelt das neue Zahlungsdienstegesetz die Haftung bei nicht

autorisierten Zahlungen“. Die Rechtssituation ist seitdem genauer und umfangreicher geregelt.
§ 35 ZaDiG regelt die Sorgfaltspflichten des Zahlungsdienstleisters“ (Kreditkartenunter-

nehmen). Dieser ist unter anderem verpflichtet sicherzustellen, dass (1) die personalisierten

Sicherheitsmerkmale des Zahlungsinstruments“ – also die Karten-PIN – nur dem Benutzer der
Kreditkarte zugänglich sind, (2) der Nutzer jederzeit die Möglichkeit hat, einen Verlust, Dieb-
stahl oder die missbräuchliche Verwendung ( nicht autorisierte Nutzung“) dem Kreditkarten-

institut zu melden, (3) die Nutzung der Kreditkarte nach einer solchen Meldung ausgeschlossen
ist. Desweiteren ist das Kreditkartenunternehmen verpflichtet bei Verdacht auf missbräuchliche
Verwendung den Zahlungsdienstnutzer, also den rechtmäßigen Vertragspartner und Kreditkar-
teninhaber, zu informieren und jegliche Transaktionen ab diesem Zeitpunkt zurückzuweisen.
4
Natürlich hängt dies vom genauen Inhalt des Vertrags zwischen Kreditkarteninstitut und Händler ab.
5
Dieser Schritt kommt natürlich nur im Vier-Parteien-System zum Einsatz. Im Drei-Parteien-System kann
bereits das Kreditkartenunternehmen den Betrag nicht vom Kunden einfordern und ist somit der Geschädigte.

15
Auch muss das Kreditkartenunternehmen auf Verlangen des Zahlungsdienstnutzers den Zah-
lungsvekehr zurückzuverfolgen und diesen über das Ergebnis informieren.
§ 36 hingegen regelt die Sorgfalts- und Anzeigepflichten des Zahlungsdienstnutzers“. Dieser

ist verpflichtet die Karten-PIN vor Unbefugten zu schützen, bei Verlust, Diebstahl oder miss-
bräuchlicher Verwendung umgehend Anzeige beim Kreditkartenunternehmen zu erstatten und
das Unternehmen auf einen möglichen unautorisierten Zahlungsverker hinzuweisen6 .
Der Kunde selbst haftet jedoch in den seltensten Fällen, denn § 44 regelt die Haftung für

nicht autorisierte Zahlungsvorgänge“ wie folgt:

§ 44. (1) Unbeschadet des § 36 Abs. 3 hat der Zahlungsdienstleister des Zahlers
diesem im Falle eines nicht autorisierten Zahlungsvorganges den Betrag des nicht
autorisierten Zahlungsvorganges unverzüglich zu erstatten und das belastete Konto
wieder auf den Stand zu bringen, auf dem es sich ohne den nicht autorisierten
Zahlungsvorgang befunden hätte. Darüber hinaus gehende Ansprüche des Zahlers
aus Vertrag oder Gesetz werden dadurch nicht ausgeschlossen.

Der Kunde haftet lediglich, wenn er fahrlässig handelt. Dies ist der Fall, wenn er seine
Sorgfalts- oder Anzeigepflicht verletzt hat, also einen Verlust oder Diebstahl nachweislich be-
merkte, jedoch nicht Anzeigte, oder wenn er selbst auf anderen Weg dazu beigetragen hat, dass
die unautorisierte Nutzung stattfinden kann. In diesen Fällen ist die Haftung des Kunden, wenn
er leicht Fahrlässig handelte auf 150 Euro beschränkt, wenn er jedoch grob fahrlässig handelte
nicht beschränkt und er haftet für den gesamten entstandenen Schaden.

7 Sicherheitsmerkmale
Schnell erkennt man, dass das Medium Kreditkarte“ eigentlich ein für den heutigen Stand der

Technik, recht unsicheres Bezahlmedium darstellt. Das haben auch die Kreditkarteninstitute
erkannt und reagierten mit Einführung diverser – teilweise inkompatiblen – Verifikationsme-
thoden.

7.1 Aufbau einer Kreditkarte


Grundsätzlich ist eine Kreditkarte nur eine aus Plastik bestehende Karte im Format einer
Scheckkarte nach ISO 7810. Die Vorderseite der Karte erhält in den meisten Fällen eine Hoch-
prägung mit der Kreditkartennummer sowie dem Namen des Karteninhabers. Diese Hoch-
prägung wurde vorallem früher benutzt um ein maschinelles Lesen mittels Imprinter zu ermöglichen.
Zusätzlich hat die Karte auf der Rückseite einen Magnetstreifen, auf dem die Daten der Karte
gespeichert sind. Einige Banken bringen zusätzlich zum Magnetstreifen noch einen EMV7 -Chip
auf, welcher jedoch im Laufe des Jahres 2010 auf jede Kreditkarte kommen wird, um SEPA8 -
Kompatibilität zu erreichen. [Glo09] Um die Echtheit der Kreditkarte zu gewährleisten befin-
det sich oft ein Hologramm auf der Vorder- oder Rückseite der Karte, jenachdem ob ein Chip
vorhanden ist. Seit einiger Zeit stellten viele Kreditkarteninstitute jedoch dieses Hologramm
auf einen Hologramm-Magnetstreifen um, welcher mehr Sicherheit bieten soll.
6
Hierfür hat der Nutzer sogar bis 13 Monate nach dieser Belastung Zeit.
7
EMV steht für eine Interoperation von IC-Karten und POS-Terminals zur Authentifizierung von Kredit- und
Debitkartenzahlungen.
8
Single Euro Payments Area bezeichnet das Projekt der Einführung eines europaweit einheitlichen Zahlungs-
raums für Transaktionen in Euro.

16
Die genauen Sicherheitsmerkmale einen Kreditkarte sind meist von Unternehmen zu Un-
ternmehmen grundlegend verschieden und oft auch Kartenabhängig. Bei MasterCard gibt es
beispielsweise sowohl Karten mit, wie auch ohne Chip, Hologramm oder Hologramm-Magnet-
streifen, sowie Karten im Hoch- oder Querformat. Abbildung 7 zeigt einen Auszug aus dem Do-
kument MasterCard Card Identification Features“ ([Mas05]), das die Sicherheitsmerkmale der

Kreditkarte erklären soll. Man sieht bereits, dass alleine die wenigen gezeigten Merkmale durch-
aus viele Variationen vom Erscheinungsbild der Karte erlauben. Auch gestattet MasterCard
den Vertragsbanken das Anbringen eigener Logos und Aufschriften. [Mas05] Dieses “Chaos“ an
unterschiedlichen Sicherheitsmerkmalen lässt eigenlich kaum eine Echtheitsüberprüfung durch
Personen zu.

Abbildung 7: Beispiel einer MasterCard Kreditkarte mit sichtbarem Hologramm und CVC 2

7.2 Der CVC 2


Aus diesem Grund ist man dazu übergegangen die Kreditkarten auch mit technisch verifizier-
bare Sicherheitsmerkmalen auszustatten. Die meisten Kreditkarten verfügen heutzutage über
einen Card Verification Code – oder auch CVC 2 genannt. Es handelt sich dabei um einen
Code, der zwar auf die Karte aufgedruckt ist, jedoch weder mathematisch mit der Kredit-
kartennummer in Verbindung steht, noch auf dem Magnetstreifen oder dem Chip gespeichert
ist. Diese Nummer ist – im Gegensatz zur hochgeprägten Kreditkartennummer – flach auf
der Karte aufgebracht und somit nicht maschinell lesbar. Beim Bezahlen mit der Karte hat
der Verkäufer nun die Möglichkeit diesen CVC 2 beim Kreditkarteninstitut zu verifizieren
lassen. Dieses errechnet anhand der Kreditkartennummer und einem geheimen Schlüssel nun
den korrekten CVC 2 und teilt dem Anfragenden mit, ob der übermittelte Code mit dem
wirklichen übereinstimmt. Somit kann der Verkäufer prüfen, ob sich die Karte physikalisch
beim Käufer befindet und dieser nicht nur über die Kartennummer verfügt. Der PCI9 fordert,
dass diese CVC 2 weder gespeichert noch auf einen anderen Weg festgehalten werden darf
(etwa durch Aufdrucken auf einen Zahlungsbeleg oder der Rechnung). Dadurch wird einerseits
gewährleistet, dass der Kunde den CVC 2 bei jeder Bezahlung erneut angeben muss, anderer-
seits sind Kreditkartennummern kompromittierter Kundendatenbanken von Käufern wertlos,
da der CVC 2 von jedem Verkäufer überprüft werden sollte. Während MasterCard, VISA,
Diners Club, Discover und JCB einen dreistelligen CVC 2 verwenden, verwendet American
Express eine vierstellige CID (Unique Card Code).
9
Der Payment Card Industry Data Security Standard, kurz PCI, ist ein Regelwerk das sich auf die Abwicklung
von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkarteninstitutionen unterstützt wird.

17
Abkürzungsverzeichnis
CVC 2 Card Verification Code Version 2

i. S. d. im Sinne des

PCI Payment Card Industry Data Security Standard

PIN Personal Identification Number

PKS polizeiliche Kriminalstatistik

POS Point-of-Sale

BKA Bundeskriminalamt

Abbildungsverzeichnis
1 Anzahl der ausgegebenen Kreditkarten in Österreich [OeNB09] . . . . . . . . . 1
2 Polizeilich erfasste Fälle von Kreditkartenbetrug in Deutschland . . . . . . . . 3
3 Zahl der Tatverdächtigen im Verhältnis zu den polizeilich erfassten Fällen . . . 4
4 Auszug aus der Polizeilichen Kriminalstatistik Deutschland von 1996–2006 . . . 5
5 Beziehungen im Drei-Parteien-System. . . . . . . . . . . . . . . . . . . . . . . . 13
6 Beziehungen im Vier-Parteien-System. . . . . . . . . . . . . . . . . . . . . . . . 14
7 Beispiel einer MasterCard Kreditkarte mit sichtbarem Hologramm und CVC 2 17

Literatur
[APA09] APA (Hrsg.): 2,45 Millionen Kreditkarten in Österreich im Umlauf. Österreichische
Nationalbank, März 2009

[Glo09] GlobalSmart: Aconite is awarded MasterCard Chip Centre of Excellence (CCoE)


Accreditation. http://www.globalsmart.com/ Aconite is awarded MasterCard.
Version: Oktober 2009

[Kil02] Kapitel Seite 312. In: Killias, Martin: Grundriss der Kriminologie. Stämpfli Verlag,
2002. – ISBN 978–3–7272–0940–6

[Lom09] Lomasi, Lyn: How the credit card interchange process works.
http://www.merchantaccountguide.com/ merchant-account-news/
how-credit-card-interchange-process-works.php. Version: Mai 2009

[Mas05] MasterCard (Hrsg.): MasterCard Card Identification Features. 2005. New York,
United States: MasterCard, 2005

[Muj09] Mujkanovic, Samir: Kreditkartenbetrug. Diplomica Verlag, 2009. – ISBN 978–3–


8366–7613–7

[OeNB09] Österreichische Nationalbank (Hrsg.): Kreditkarten weiterhin beliebtes Zah-


lungsmittel. Österreichische Nationalbank, September 2009

18
[OH03] Osborne, David L. ; Helfand, Neil S.: Asian Organized Crime and Terrorist Activity
in Canada / Federal Research Division, Library of Congress. 2003 (1). – Forschungs-
bericht. – A Report Prepared by the Federal Research Division, Library of Congress
under an Interagency Agreement with the United States Government

[Pag07] Pago eTransaction Services GmbH (Hrsg.). Pago eTransaction Services


GmbH: Trends im Kauf- und Zahlverhalten in den relevanten E-Commerce-Branchen
im Jahr 2005/2006 / Pago eTransaction Services GmbH. 2007 (004). – Forschungsbe-
richt. – Pago Report 2007

[Pay10] PayLife Bank GmbH: Über PayLife. http://www.paylife.at/ web/ content/


de/ Home/ Ueber Europay/ index.html. Version: 2010

[Sic09] Sicherheit.info: Kriminalitätsentwicklung rückläufig. In: Sicherheit.info (2009)

[Ste07] Stevenson, Tom: PayPal becomes a bank to fight off Google. In: Telegraph (2007)

[Öh10] Öhlböck, Dr. J.: Kreditkarte. http://www.rechtsfreund.at/ kreditkarten/


kreditkarte.htm. Version: Januar 2010

19