HOME

Datensicherheit: "Jeder kann Kreditkarten knacken"

100.000 Karten werden deutschlandweit ausgetauscht. "Die Schutzmechanismen der Kreditkarte sind reine Augenwischerei", meint Sebastian Schreiber. Der Sicherheitsexperte verrät, wie einfach sich das System austricksen lässt.

Herr Schreiber, wie sicher ist die Kreditkarte?
Die Kreditkarte ist absolut nicht sicher. Das hat damit zu tun, dass die Technik auf einer Kreditkartennummer als Passwort basiert. Also sollten Sie die Kreditkartennummer eigentlich geheim halten. Die Realität sieht aber anders aus: Sie bezahlen damit im Restaurant, dem Reisebüro oder in einem Online-Shop. Jeder hat also Zugriff auf Ihre Nummer und kann Sie zu eigenen Zwecken verwenden.

Dafür gibt es aber doch auf der Rückseite eine Prüfnummer, die nur ich kenne.
Ein Schutz durch diese Validierungsnummer existiert nicht. Das ist Augenwischerei und ein vorgegaukeltes Sicherheitsmerkmal, das überhaupt nicht existiert. Diese Prüfnummer kann sehr einfach gehackt werden.

Wie funktioniert das technisch?
Jede dieser Validierungsnummern besteht aus drei Ziffern. Es gibt also nur 1000 verschiedene Kombinationen. Von 000 bis 999. Das ist für einen Code eine unglaublich geringe Anzahl an Varianten. Mit einem handelsüblichen Rechner kann man diese Ziffernfolge schnell und einfach knacken - nach der gleichen Methode wie ein Fahrradschloss. Sie selbst könnten also mit ein wenig Zeit und ohne Programmierkenntnisse die Nummer durch einfaches Ausprobieren herausfinden. Die Kreditkartenindustrie weiß das und reagiert trotzdem nicht.

Gibt es Tendenzen, Kreditkarten sicherer zu machen?
Die gibt es. Der Punkt ist aber, dass sehr viele Unternehmen mit dem aktuellen Kreditkartenverfahren sehr viel Geld verdienen. Eine Umstellung würde enorm hohe Ausgaben für die Kreditkartenunternehmen bedeuten. Aus diesem Grund nutzt man weiter das uralte und unsichere System. Außerdem stellen die momentan zurückgerufenen Karten im Verhältnis zu allen im Umlauf befindlichen Karten einen verschwindend geringen Anteil. Und was Sie beachten müssen: Der Schaden, der bei einem Kreditkartenbetrug entsteht, geht zu Lasten der Kunden. Genauer: zu Lasten derer, die ihre Abrechnungen nicht prüfen. Dann zahlt der Verbraucher die Zeche.

Wieso? Im Betrugsfall wird das Geld doch durch meine Bank zurückerstattet.
Ja. Aber nur, wenn Sie die Bank auch darauf aufmerksam machen. Jetzt stellen Sie sich mal vor, ich hebe von 1000 Konten jeweils nur 50 Euro ab. Unter Umständen fällt Ihnen die Differenz gar nicht auf, weil Sie Ihre Abrechnung nur überflogen haben. Wie hoch diese Dunkelziffern sind, weiß niemand. Aus diesem Grund mein Appell: Prüfen Sie Ihre Kreditkartenbelege!

Immer wieder liest man, dass Kreditkarteninformationen bei Online-Shops ausgespäht wurden. Wie sicher sind meine Daten?
Solche Attacken passieren immer öfter. Online-Shops sind meist hochkomplexe Systeme. Die Möglichkeit, eine Sicherheitslücke auszunutzen, ist dementsprechend groß. In den USA wurden zuletzt auf einen Schlag 130 Millionen Kartennummern ausspioniert. Mein Unternehmen hat sich auf Hackerattacken oder so genannte Penetrationstests spezialisiert. Uns gelingt es regelmäßig mit geringem Aufwand, in Online-Shops an Kreditkartendaten, Kontonummern und Adressen zu kommen. Ich kann also detailliert nachvollziehen, wer was kauft. Solche Hackerattacken eignen sich wunderbar, um große Mengen an Daten auszuspionieren.

Wie könnten Kartensystem sicherer gemacht werden?
Es gibt einige interessante Alternativen. Eine wäre die so genannte „elektronische Unterschrift“. Kunden könnten damit neben der richtigen Unterschrift digital sicher Bankgeschäfte erledigen oder online Behördengänge absolvieren. Die benötigten Daten könnten mit einem Smartphone oder einem USB-Stick übertragen werden. Auf diesem Gebiet wird tüchtig geforscht. Die Akzeptanz ist aber noch sehr gering. Nur zu verständlich. Auf meiner nächsten Indienreise werde ich die Taxifahrten mit Kreditkarte bezahlen. Dort benutzt man noch Rätschen, die die Nummer der Karte einfach abpausen. Das funktioniert ohne Strom, braucht keinerlei Infrastruktur und ist wartungsarm. Ein so einfaches System lässt sich nur schwerlich abschaffen. Gerade deswegen werden die Fälle von Kreditkartenbetrug auch in den nächsten Jahren weiter zunehmen.

Interview: Felix Disselhoff