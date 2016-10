Wie sicher ist der Online-Einkauf mit Kreditkarte? Überprüft Amazon, ob Name und Kartennummer zusammenpassen? stern TV hat es ausprobiert – und auf den Namen von "Thomas Gottschalk", "Helene Fischer", "Donald Trump" oder "Recep Tayyib Erdogan" bei Amazon die absurdesten Gegenstände geshoppt.

Anlass dafür war die Vermutung, dass es im Amazon-Bezahlsystem eine gravierende Sicherheitslücke gibt, da bei Bestellungen per Kreditkarte offenbar der Name des Karteninhabers mit den übrigen Daten gar nicht abgeglichen wird. Ebensowenig, wie bei Amazon eine Prüfziffer der Karte zur Authentifizierung erforderlich ist. "Bei unserem letzten Kreditkartentest haben wir festgestellt, dass man bei Amazon bezahlen kann und im Karteninhaber-Feld ein ganz willkürlicher Name stehen kann. Das muss gar nicht derjenige sein, der auf der Karte steht oder dem die Karte gehört", so IT-Sicherheitsberater Tobias Schrödel.



In dem Test vor zwei Wochen ging es darum, wie leicht bei neuen Kreditkarten per Funkübertragung binnen Sekunden Kreditkartennummer und Ablaufdatum durch Unbefugte abgegriffen werden können – unbemerkt aus dem Portemonnaie. Und diese Daten reichten aus, damit Tobias Schrödel auf den Namen des fremden Kreditkarteninhabers etwas bei Amazon an seine Adresse bestellen konnte. Einzelfall oder gängige Praxis? In einer Stellungnahme sagte Amazon dazu: Der Name kann Bestandteil von Amazons internen Prüfungsprotokollen sein.

Also: "Amazon hat ja behauptet, dass es den Namen der Kreditkarte doch prüft, hin und wieder zumindest. Wie oft wissen wir nicht", so Schrödel. Deshalb hat stern TV den Coup nun auf die Spitze getrieben und über mehrere Amazon-Accounts und Kreditkarten rund 70 absurde Artikel auf die Namen verschiedener Promis bestellt.

Die Antwort auf diese Frage lautet im Falle dieses stern TV-Tests: Ja. Die massenhafte Bestellung von wenigen Accounts gleichzeitig hat nicht durchweg funktioniert. In einigen Fällen registrierte Amazon "Unregelmäßigkeiten", wie sie per E-Mail mitteilten. Die betreffenden Accounts wurden vorübergehend gesperrt oder Bestellungen storniert. "Amazon hat wie die meisten großen Internet-Shops im Hintergrund natürlich eine Software laufen, die Auffälligkeiten prüft", erklärt Tobias Schrödel. "Wenn dann bei neuen Accounts bei dem Zahlungsmittel permanent etwas geändert wird und viele Bestellungen auf einmal eingehen, wird Amazon hellhörig und dann guckt da auch einer drauf." Bei einem älteren, quasi bewährten Account, wie die meisten Online-Shopper mit Kreditkarte einen haben, sei das weniger wahrscheinlich.

Umsatz vor Sicherheit?

Doch warum nutzt Amazon die üblichen Sicherheitshürden beim Kreditkartenkauf kaum? Beim Zahlen mit Kreditkarte im Internet gibt es verschiedene Sicherheitsmerkmale, die die meisten Shops auch nutzen, etwa die Prüfziffer auf der Rückseite, so Tobias Schrödel. "Amazon verzichtet darauf. Und nach unseren Recherchen tun sie das deshalb, weil die Abbruchrate ihnen zu hoch ist. das heißt, viele Leute, die mal einen Zahlendreher drin haben oder gar nicht wissen, von welcher Prüfziffer überhaupt die Rede ist, brechen ihre Bestellung in dem Moment ab. Amazon geht es um Umsatz – und deshalb lassen sie lieber mehr Bestellungen ungeprüft durch und nehmen in Kauf, dass ein kleiner Teil davon von Verbrechern kommen könnte." Wenn jemand auf fremden Namen etwas bestellt, gibt es allerdings in der Regel auch einen Geschädigten. In diesen Fällen liegt die Verantwortung und Entschädigung bei Amazon. Das jedoch setzt voraus, dass der Geschädigte erst einmal merkt, dass jemand auf seine Karte und seinen Namen etwas bestellt hat. Das kritisiert auch Verbraucherschützer Peter Lassek: "Amazon kalkuliert ein, dass es Geschädigte gibt. Und bei Einzelbetrugsfällen sind Verbraucher erst einmal in der Pflicht, das zu bemerken und bei Amazon anzuzeigen. Nur dann kommt Amazon für den Schaden auf."

Und übrigens: Von den 70 Bestellungen sind 52 Pakete tatsächlich bei uns angekommen: Das Haarspray für Donald Trump, der Nasensauger für Jogi Löw, der Feuerlöscher auf den Namen Samsung Electronics, ein Panzer-Bausatz, den wir auf Wladimir Putins Namen bestellt hatten, ein Fußball-Sitzsack für Rainer Callmund, die Sturmhaube auf den Namen Batman, eine Blockflöte für Dieter Bohlen, das Grundgesetz - bestellt mit dem Namen Frauke Petry und, und, und. Hier ist die Liste der vielen Bestellungen, die uns tatsächlich zugestellt wurden: