Sonntag, 4. April 2010

Wie illegaler Datenhandel abläuft

Geld verschwindet vom Konto, es gibt rätselhafte Abbuchungen - wie ist das passiert? Buchautor Detlef Tiegel kennt die Hintergründe aus erster Hand: Er hat in einem Trickser-Callcenter gearbeitet. Mit der Veröffentlichung illegaler Datensätze löste er einen bundesweiten Skandal aus.

Plötzlich fehlt Geld auf dem Konto, eine merkwürdige Abbuchung wurde vorgenommen. 200 Euro für ein Gewinnspiel, 300 Euro für einen Reisegutschein. Irgendwer hat diese Beträge abgebucht, sie auf sein Konto überwiesen und ist dann verschwunden. Zum Glück können wir dieses Geld meist ohne große Probleme zurückholen. Doch eine Frage stellt sich immer wieder: Wie kommen die Verantwortlichen an unsere Bankdaten?

Eine Antwort ist: durch unsere Sorglosigkeit. Wer Überweisungsträger ausfüllt und in einen ungeschützten Briefkasten wirft, lädt Betrüger ein, sich mit einem Handgriff zu bedienen. Wer Kontoauszüge sorglos liegen lässt, macht es anderen ebenfalls leicht. Auch Altpapiercontainer und Papiertonnen sind ein bevorzugtes Jagdgebiet für Kontodaten. Es wird allerdings seltener genutzt, denn die Suche im Müll ist mühsam.

Wer wirklich im großen Stil illegale Daten beschaffen will, geht anders vor, einfacher und effektiver. Er braucht dazu nur ein wenig Geld. Damit versucht er, an die Datenbanken zu kommen, in denen alle Informationen gespeichert sind, die er braucht. Praktisch sind die, und sie lassen sich mit einem Mausklick anwenden. Automatisiert werden Kontodaten und Namen ausgelesen, die Lastschriften werden auch gleich in Auftrag gegeben. Einfacher geht es kaum.

Aber: Es ist nicht erlaubt, mit diesen Daten zu handeln. Das stellt für die Betrüger jedoch kein großes Hindernis dar. 14.500 Euro für 2000 Kreditkartennummern, 1700 gemischte Kartensätze für 7100 Euro: Im Netz wird um Kartennummern und Bankkonten gefeilscht. Hier bietet jemand "Frische Daten, SKL" an. Das sind die, die ich auch bei dem Callcenter, in dem ich angestellt war, zu fassen bekam, sie kursieren immer noch in den illegalen Adressenbörsen. Dort sucht jemand dringend neue Datensätze. Es ist einfach, sich diese Angebote zu sichern: Kontakt aufnehmen, Geld per Vorkasse überweisen und hoffen, dass die Daten auch tatsächlich ankommen.

In vielen Fällen tun sie das und ermöglichen den Zugriff auf Giro- und Kreditkartenkonten. Wenn die Erfolgsquote unter 80 Prozent sinkt, werden sogar frische Adressen nachgeliefert. Verbraucherschützer schafften es, eine CD mit den Daten von sechs Millionen Deutschen zu kaufen, Kontodaten inbegriffen. Das Ganze zum Schnäppchenpreis von 850 Euro, für weniger Geld, als der gleiche Satz im regulären Adressenhandel ohne Kontodaten kosten würde. Für die Datenhändler lohnen sich auch Dumping-Preise. Denn zum einen zahlen sie keine Steuern, zum anderen verkaufen sie die Daten mehrmals. Jedes kleine Callcenter, das Mauscheleien plant, braucht diese Daten. Und bezahlt willig.

Woher das Material stammt, ist selten klar. Im Fall der Daten bei "meinem" Callcenter deutet alles darauf hin, dass sie aus einem Callcenter stammen, das für die Süddeutsche Klassenlotterie gearbeitet hat. Diese Callcenter verkaufen Lose für die Lottogesellschaft, genauso wie mein temporärer Arbeitgeber Gewinnspiele verkaufen wollte. Dazu braucht das Callcenter natürlich die Daten der Teilnehmer: Adresse, Telefonnummer, Geburtsdatum und Bankdaten. Das war legitim, bis der Verkauf von Glücksspielen am Telefon Anfang 2008 verboten wurde. Danach sollten die Daten direkt an die Lottogesellschaft zurückgegeben werden. Vorgabe war auch, dass die Callcenter die Daten nicht speichern, sondern löschen. Denn dort dürfen sie aus Datenschutzgründen nicht gelagert werden, eigentlich.

Natürlich geschieht das doch, aus Bequemlichkeit, aus Sturheit oder aufgrund von krimineller Energie. Es überprüft ja niemand. Solange aber Daten irgendwo liegen, wecken sie Begehrlichkeiten. Gerade dort, wo Menschen für wenig Geld viel arbeiten, zudem unter schlechten Bedingungen. Dort, wo die Daten ungenügend gesichert sind, wo Mitarbeiter Zugriff darauf haben und sie einfach kopieren können.

Ich habe es ja genauso gemacht, und es war überhaupt kein Problem. Wer glaubt, dass mein ehemaliger Arbeitgeber aufgrund seiner mangelhaften Ausstattung ein Einzelfall ist, irrt. Es gibt viele dieser kleinen Callcenter in Deutschland. Und viele davon hantieren mit sensiblen Daten, ohne angemessen ausgestattet zu sein. In dem undurchsichtigen Geflecht aus Subunternehmern und Subsubunternehmern geben Firmen Aufträge an Callcenter heraus, die diese wiederum weitervermitteln. Sei es, weil der Auftrag zu groß ist, sei es, weil sich so Geld sparen lässt. Überprüfen lässt sich das kaum noch.

Und so war es dann auch eines dieser kleinen Callcenter, ansässig in Bremerhaven, das für die Weitergabe von weiteren Millionen Kunden- und Kontendaten auf dem schwarzen Markt verantwortlich war. Weitere betreiben ihre Geschäfte in Hannover, Lübeck, Schwerin oder Cottbus, in großen Städten, auf dem Land. Sie alle teilen sich große Aufträge, sie alle sind potentielle Sicherheitslücken. Viele unerlaubte Datengeschäfte sind also direkte Folge der Sparmaßnahmen großer Unternehmen. Hauptsache, der Auftrag wird billig erledigt, die Qualität ist nicht wichtig. Diese Einstellung rächt sich schnell. Spätestens dann nämlich, wenn Kundendaten verschwinden.

Die meisten der Kontendaten, die in Deutschland auf dem Schwarzmarkt kursieren, stammen aus diesen Quellen; zu Geld machen sie enttäuschte Mitarbeiter, geldgierige Netzwerkadministratoren oder Callcenter-Betreiber, die vor der Pleite stehen. Es gibt genug Menschen, die der Versuchung nicht widerstehen können und unsere Daten weiterverkaufen. Ohne Skrupel.

Wer diese Art von Geschäft betreiben will, braucht keinen Hacker, der nächtelang versucht, die Zugänge zu geheimen Datenbanken zu knacken. Er braucht einfach nur jemanden, der bereit ist, eine CD zu brennen, eine E-Mail zu verschicken oder einen USB-Stick zu füllen. Und dafür Geld zu kassieren. Manch einer versucht es auf eigene Faust, indem er fast rührend hilflose Kleinanzeigen auf Internetseiten stellt. Andere geben die Daten an professionelle Schwarzmarkthändler weiter. Wieder andere werden sogar von ihnen beauftragt. Es ist ein blühendes Geschäft, dessen Ausmaß niemand kennt. Wenn man allerdings weiß, dass einzelne Betrüger mit Kontodaten im Jahr bis zu zehn Millionen Euro Gewinn machen können, ahnt man, dass die Summen, die für die Adressen fließen, nicht immer so gering sein dürften wie bei den Verbraucherschützern, die 850 Euro für sechs Millionen Kontodaten gezahlt haben. Willige Helfer finden sich in fast jedem Callcenter. Es kommt nur darauf an, wie hoch der Preis ist.

Der Beitrag ist ein Auszug aus Detlef Tiegels Buch "Achtung Abzocke!"


Keine Kommentare:

Kommentar veröffentlichen