Kriminalitätsbekämpfung im unbaren Zahlungsverkehr durch Nutzung nichtpolizeilicher Organisationsstrukturen
Kriminalitätsbekämpfung im unbaren Zahlungsverkehr unter Nutzung nichtpolizeilicher Organisationsstrukturen (abgekürzt KUNO[1]) ist ein Projekt des EHI Retail Institute in Kooperation mit der deutschen Polizei und dem Hauptverband des Deutschen Einzelhandels, das helfen soll, den Schaden durch den Betrug beim Einkauf mit Debitkarten per Lastschrift einzudämmen[1].
Vorgehensweise
[Bearbeiten | Quelltext bearbeiten]Der Karteninhaber, der das Abhandenkommen seiner Girocard feststellt, meldet den Verlust oder Diebstahl bei der Polizei. Diese stellt die Daten der gestohlenen oder verlustig gemeldeten Karten der zentralen Datenbank des EHI zur Verfügung. Von dort werden die Informationen an Einzelhandel und Netzbetreiber weitergeleitet.
Häufig existieren zu einem Bankkonto mehrere Karten. Wenn bei der Polizeimeldung nicht angegeben wird, welche Karte verlustig ist, sperrt der Einzelhandel das gesamte Konto für das Lastschriftverfahren. Durch eine Nachmeldung der Kartenfolgenummer kann der Kontoinhaber die Kontosperrung in eine Kartensperrung umwandeln. Die Nachmeldung erfolgt über Internet oder Telefon. Die Kontaktdaten und die sogenannte Sperrbestätigungsnummer zur Autorisierung dieser Kartenfolgenummernachmeldung erhält der Kontoinhaber auf einem Merkblatt von der Polizei.
Historie
[Bearbeiten | Quelltext bearbeiten]Das System wurde zuerst im August 2001 in der Polizeidirektion Dresden eingeführt. Dort konnte der Kartenmissbrauch im unterschriftsbasierten ec-Lastschriftverfahren innerhalb eines Jahres um über 80 % gesenkt werden.[2]
Aufgrund der Erfolge und einfachen technischen Realisierung wurde das Verfahren in den folgenden Jahren auch in anderen Städten eingeführt. In den Bundesländern Berlin, Brandenburg, Mecklenburg-Vorpommern, Saarland und Sachsen, sowie in einigen weiteren bundesdeutschen Großstädten arbeitete die Polizei bereits frühzeitig mit dem System.
Eine bundesweite Einführung scheiterte jedoch anfänglich an Vorbehalten in die Sicherheit der Kartenzahlung mit Unterschrift. Nach Gesprächen zwischen dem Hauptverband des Einzelhandels und der Innenministerkonferenz der Bundesländer konnte man sich jedoch auf eine bundesweite Einführung einigen. Die weiteren Länder haben aufgrund eines Beschlusses auf der Innenministerkonferenz im Herbst 2005 ihre Teilnahme zugesagt.
Mit dem EHI Retail Institute wurde zudem ein anerkannter Partner gefunden, der nun die technische Umsetzung auf Seiten des Handels sowie die Weiterentwicklung des Systems übernimmt.
Der Pilot zur bundesweiten Einführung mit einer zentralen Plattform wurde im Februar 2006 in Stuttgart gestartet. Die ersten zugeschalteten Flächenländer waren Nordrhein-Westfalen, Baden-Württemberg und Niedersachsen. Mittlerweile melden alle Bundesländer das Abhandenkommen von Debitkarten an KUNO. Das Volumen der Meldungen liegt bei über 10.000 pro Monat[3].
Laut Angaben des EHI Retail Institute aus 2017 sind 96 % der Händler in Deutschland an KUNO angeschlossen[4].
Ergebnisse
[Bearbeiten | Quelltext bearbeiten]In der Pressekonferenz vom 15. Mai 2006 zur Kriminalstatistik wies der frühere Innenminister Schäuble darauf hin, dass beim Betrug mittels Debitkarten ohne Nutzung des PIN-Verfahrens nach Zunahmen in den Vorjahren (2003: +59,9 %; 2004: +4,8 %) erstmals 2005 ein Rückgang (−28,8 %) festzustellen war. Dies wird neben einer vermehrten Nutzung des PIN-Verfahrens durch den Handel auch auf die Einführung des Systems KUNO zurückgeführt.
Die Kriminalstatistik von Deutschland für 2007 weist einen Rückgang von 30 % an Betrugsfällen beim Einsatz von EC-Karten ohne Unterschrift aus[5]. Der Bundesinnenminister führt dies neben der vermehrten Kontrolltätigkeit im Handel auf KUNO zurück.
Sicherheitslücken und Datenschutzprobleme
[Bearbeiten | Quelltext bearbeiten]Auf dem 37C3 des Chaos Computer Clubs wurde Ende 2023 durch Tim Philipp Schäfers vorgestellt, dass KUNO über Jahre Sicherheitslücken aufwies[6][7]. Unter anderem war es auf Grund einer kurzen Sperrbestätigungsnummer und keinem Schutz vor Brute Force möglich für die SEPA-Lastschrift gesperrte Girocards wieder freizuschalten[8]. Darüber hinaus wurden Google Fonts genutzt, ohne die Einwilligung der Nutzenden einzuholen[9]. Die entsprechenden Probleme wurden mittels Responsible Disclosure gemeldet und durch die Betreiber zeitnah behoben[7].
Weblinks
[Bearbeiten | Quelltext bearbeiten]Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ a b Über KUNO. Abgerufen am 1. Januar 2024.
- ↑ KUNO lässt Betrüger abblitzen Berliner Zeitung
- ↑ KUNO FAQ: Meist gestellte Fragen zu KUNO. Abgerufen am 1. Januar 2024.
- ↑ RHEINPFALZ Redaktion: Kuno schützt vor Kartengaunern. 6. Juni 2017, abgerufen am 1. Januar 2024.
- ↑ Polizeiliche Kriminalstatistik: Betrug im ELV-Verfahren weiter auf niedrigem Niveau – Handelsverband Deutschland (HDE). Abgerufen am 1. Januar 2024.
- ↑ Tim Philipp Schäfers: Oh no: KUNO - Gesperrte Girocards entsperren. 30. Dezember 2023, abgerufen am 1. Januar 2024 (englisch).
- ↑ a b heise online: 37C3: Kartensperrsystem KUNO lud IT-Kundige zum Entsperren ein. 30. Dezember 2023, abgerufen am 1. Januar 2024.
- ↑ Friedhelm Greis: Sicherheitslücke bei Kuno: Gesperrte Bankkarten ließen sich einfach entsperren. 30. Dezember 2023, abgerufen am 1. Januar 2024.
- ↑ Tim Philipp Schäfers: giroday.de. 30. Dezember 2023, abgerufen am 1. Januar 2024.