19. November 2009, 21:04 Uhr

Datensicherheit: "Jeder kann Kreditkarten knacken"

100.000 Karten werden deutschlandweit ausgetauscht. "Die Schutzmechanismen der Kreditkarte sind reine Augenwischerei", meint Sebastian Schreiber. Der Sicherheitsexperte verrät, wie einfach sich das System austricksen lässt.

Teilen
 
Drucken

Sebastian Schreiber Der diplomierter Informatiker und Sicherheitsexperte führt mit seiner Firma Syss GmbH im Auftrag der Industrie Sicherheitstests durch, um Datenlecks in Computersystemen zu entdecken. In der Sendung "Frag Schreiber" beantwortet er für den Hessischen Rundfunk regelmäßig Fragen rund um die Themen Datensicherheit.

Herr Schreiber, wie sicher ist die Kreditkarte?

Die Kreditkarte ist absolut nicht sicher. Das hat damit zu tun, dass die Technik auf einer Kreditkartennummer als Passwort basiert. Also sollten Sie die Kreditkartennummer eigentlich geheim halten. Die Realität sieht aber anders aus: Sie bezahlen damit im Restaurant, dem Reisebüro oder in einem Online-Shop. Jeder hat also Zugriff auf Ihre Nummer und kann Sie zu eigenen Zwecken verwenden.

Dafür gibt es aber doch auf der Rückseite eine Prüfnummer, die nur ich kenne.

Ein Schutz durch diese Validierungsnummer existiert nicht. Das ist Augenwischerei und ein vorgegaukeltes Sicherheitsmerkmal, das überhaupt nicht existiert. Diese Prüfnummer kann sehr einfach gehackt werden.

Wie funktioniert das technisch?

Jede dieser Validierungsnummern besteht aus drei Ziffern. Es gibt also nur 1000 verschiedene Kombinationen. Von 000 bis 999. Das ist für einen Code eine unglaublich geringe Anzahl an Varianten. Mit einem handelsüblichen Rechner kann man diese Ziffernfolge schnell und einfach knacken - nach der gleichen Methode wie ein Fahrradschloss. Sie selbst könnten also mit ein wenig Zeit und ohne Programmierkenntnisse die Nummer durch einfaches Ausprobieren herausfinden. Die Kreditkartenindustrie weiß das und reagiert trotzdem nicht.

Gibt es Tendenzen, Kreditkarten sicherer zu machen?

Die gibt es. Der Punkt ist aber, dass sehr viele Unternehmen mit dem aktuellen Kreditkartenverfahren sehr viel Geld verdienen. Eine Umstellung würde enorm hohe Ausgaben für die Kreditkartenunternehmen bedeuten. Aus diesem Grund nutzt man weiter das uralte und unsichere System. Außerdem stellen die momentan zurückgerufenen Karten im Verhältnis zu allen im Umlauf befindlichen Karten einen verschwindend geringen Anteil. Und was Sie beachten müssen: Der Schaden, der bei einem Kreditkartenbetrug entsteht, geht zu Lasten der Kunden. Genauer: zu Lasten derer, die ihre Abrechnungen nicht prüfen. Dann zahlt der Verbraucher die Zeche.

Wieso? Im Betrugsfall wird das Geld doch durch meine Bank zurückerstattet.

Ja. Aber nur, wenn Sie die Bank auch darauf aufmerksam machen. Jetzt stellen Sie sich mal vor, ich hebe von 1000 Konten jeweils nur 50 Euro ab. Unter Umständen fällt Ihnen die Differenz gar nicht auf, weil Sie Ihre Abrechnung nur überflogen haben. Wie hoch diese Dunkelziffern sind, weiß niemand. Aus diesem Grund mein Appell: Prüfen Sie Ihre Kreditkartenbelege!

Immer wieder liest man, dass Kreditkarteninformationen bei Online-Shops ausgespäht wurden. Wie sicher sind meine Daten?

Solche Attacken passieren immer öfter. Online-Shops sind meist hochkomplexe Systeme. Die Möglichkeit, eine Sicherheitslücke auszunutzen, ist dementsprechend groß. In den USA wurden zuletzt auf einen Schlag 130 Millionen Kartennummern ausspioniert. Mein Unternehmen hat sich auf Hackerattacken oder so genannte Penetrationstests spezialisiert. Uns gelingt es regelmäßig mit geringem Aufwand, in Online-Shops an Kreditkartendaten, Kontonummern und Adressen zu kommen. Ich kann also detailliert nachvollziehen, wer was kauft. Solche Hackerattacken eignen sich wunderbar, um große Mengen an Daten auszuspionieren.

Wie könnten Kartensystem sicherer gemacht werden?

Es gibt einige interessante Alternativen. Eine wäre die so genannte „elektronische Unterschrift“. Kunden könnten damit neben der richtigen Unterschrift digital sicher Bankgeschäfte erledigen oder online Behördengänge absolvieren. Die benötigten Daten könnten mit einem Smartphone oder einem USB-Stick übertragen werden. Auf diesem Gebiet wird tüchtig geforscht. Die Akzeptanz ist aber noch sehr gering. Nur zu verständlich. Auf meiner nächsten Indienreise werde ich die Taxifahrten mit Kreditkarte bezahlen. Dort benutzt man noch Rätschen, die die Nummer der Karte einfach abpausen. Das funktioniert ohne Strom, braucht keinerlei Infrastruktur und ist wartungsarm. Ein so einfaches System lässt sich nur schwerlich abschaffen. Gerade deswegen werden die Fälle von Kreditkartenbetrug auch in den nächsten Jahren weiter zunehmen.

Interview: Interview: Felix Disselhoff
 
 
KOMMENTARE (2 von 2)
 
radar74 (20.11.2009, 08:33 Uhr)
@s.t.e.f.a.n
Sehr schlechter Vorschlag und haben Sie den Artikel überhaupt gelesen? Vermutlich nicht.

Kreditkarten mit Chips wird es so schnell nicht geben da es in Ländern wie Indien noch das Verfahren mit den Rätschen gibt, vereinzelt sogar noch in Deutschland.

Das die KK für andere Länder gesperrt ist ist ebenfall eine schlechte Idee, weil dann bringt mir die KK garnichts. Zum größten Teil benutzt man KKs um im Ausland einkaufen zu können, sei es im Urlaub oder über einen Onlineshop.

Hohe Gebühren sind nicht akzeptabel, weil das Problem nicht beim Kunden liegt sondern beim Kreditinstitut. Ihnen ist bekannt das die KKs derzeit unsicher sind aber tun nichts dagegen.

Kreditkartenpreise werden exponentiell steigen - nein tun sie nicht im Gegenteil in den letzten Jahren sind diese immer mehr gefallen. Ich habe selbst seit vielen Jahren verschiedene KKs und sehe das diese für mich immer günstiger werden.
Viele Banken bieten KKs für eine geringe Gebühr ca. 20 Euro pro Jahr an und wenn man einen bestimmten Betrag im Jahr erreicht ist diese sogar kostenlos.

Aber letztendlich braucht sich der Kunde keine großen Gedanken zu machen, man muß Fehlbuchungen nur schnell genug erkennen und reklamieren dann bekommt man sein Geld erstattet.
Bei uns war das Anfang des Jahres auch der Fall wobei uns sogar die Bank erst drauf aufmerksam gemacht hatte. Sie hatten nach der ersten Auffälligen Abbuchung die KK gesperrt.
Bei der Abrechnung wurde zuerst ein sehr geringer Betrag bezahlt um vermutlich zu testen ob die KK funktioniert und dann gingen in kurzen Abständen Beträge in Höhe von 400 Euro runter. Es war zwar ein wenig Schriftverkehr aber die Bank hat alles erstattet oder vielmehr es wurde erst garnicht gebucht.
Beitrag melden
s.t.e.f.a.n (20.11.2009, 00:03 Uhr)
Großes Problem, das bald gelöst werden muss, aber eigentlich kein Problem für den Kunden
Gestaffelte Preise:
Kreditkarten für Leute die nur in Deutschland damit bezahlen kostenlos. (d.h. in anderen Ländern gesperrt)
Wer in "Risikoregionen" wie z.B. Südamerika mit seiner Kreditkarte bezahlen will, zahlt halt einfach für die Freischaltung hohe Gebühren. Ansonsten werden die Kreditkartenpreise nahe exponentiell steigen.
Wird sowieso in wenigen Jahren überwiegend Kreditkarten mit Chips geben müssen.
Beitrag melden
MEHR ZUM ARTIKEL
Kreditkartenmissbrauch Lust auf 'ne Nummer?

Deutschland erlebt die größte Rückrufaktion von Kreditkarten aller Zeiten. Bankkunden sind verunsichert. Für die Institute ein Desaster. Der Fall zeigt: Gegen Missbrauch wird viel zu wenig getan.

Kreditkartenmissbrauch Sicher durch das Kartenchaos

Deutsche Banken tauschen massenhaft Kreditkarten um. Wer ist davon betroffen? Was können Sie im Schadensfall tun? Wie können Sie Datenmissbrauch vermeiden? Antworten auf die wichtigsten Fragen.

MEHR ZUM THEMA
powered by wefind WeFind
Verwandte Fragen

Sie kennen die Antwort? Beantworten Sie die Frage hier oder senden Sie selber eine Frage

Zur Community
 
 
 
 
Der stern bittet um Ihre Meinung

Jetzt teilnehmen und Dankeschön sichern!

 
 
 
 
 
stern - jetzt im Handel
stern (22/2013)
Hoffen oder handeln?
Inhaltsverzeichnis | Abo bestellen