HOME

Kreditkartenmissbrauch: Lust auf 'ne Nummer?

Deutschland erlebt die größte Rückrufaktion von Kreditkarten aller Zeiten. Bankkunden sind verunsichert. Für die Institute ein Desaster. Der Fall zeigt: Gegen Missbrauch wird viel zu wenig getan.

Von K. Röbisch und D. Grass

Am Wochenende in Dresden, die Party nach dem SPD-Parteitag. Eine Runde Genossen steht beim Bier am Bistrotisch, prostet kurz ihrem neuen Helden Sigmar Gabriel zu, weiter mit der Plauderei. Genossin Petra erzählt, dass sie auf der Fahrt nach Dresden tanken wollte. Doch die Mastercard ging nicht. Auch nicht im Hotel. Anruf bei der Volksbank. "Ihre Daten wurden offenbar abgegriffen. Deswegen ist Ihre Karte gesperrt", hieß es dort.

Banken tun zu wenig

Petra schüttelt den Kopf. "Die haben mich nicht mal informiert. Frechheit", schimpft sie. Da meldet sich eine Zweite aus der Runde. "Das gibt's doch gar nicht - mir ist bei meiner Bank genau das Gleiche passiert." Und schon stecken die Genossen die Köpfe zusammen, und nicht die Vermögenssteuer, sondern Kreditkarten sind auf einmal ihr großes Thema.

Und ausnahmsweise ist das Thema mal kein Problem der SPD, sondern eins des ganzes Landes. Deutschland erlebt derzeit die größte Rückrufaktion von Kreditkarten in seiner Geschichte. Fast alle Banken ziehen derzeit Karten ein. Die Genossenschaftsbanken 60.000, die KarstadtQuelle Bank 15.000, die HypoVereinsbank 3000. Mehr als 100.000 Fälle haben die Banken bereits zugegeben. Wahrscheinlich sind es viel mehr. Schätzungen gehen von mehr als einer Viertel Million Fälle aus. Die Aktion ist für die Banken ein Desaster. Nicht nur, weil es Kunden verärgert und verunsichert. Es legt auch offen, wie wenig Banken tun, solche Fälle zu vermeiden.

"Im Besitz nicht autorisierter Personen"

Seinen Ursprung hat der Datenskandal in Spanien. Ende Oktober warnte das Kreditkartenunternehmen Visa die Banken, dass es dort ein Leck bei einem Zahlungsabwickler gab. Details gibt Visa dazu nicht bekannt. Auch der Wettbewerber Mastercard rückt nur nebulöse Informationen raus: Möglicherweise wurden nicht bei einem Abwickler, sondern bei einem Händler Kontodaten "kompromittiert" und seien nun "im Besitz nicht autorisierter Personen". Es geht um Kunden, die ihre Karte zwischen Juli und November 2009 eingesetzt haben.

Nun sind Warnmeldungen von Kreditkartenfirmen nichts Ungewöhnliches. Sie verschicken sie auch, wenn irgendwo ein manipulierter Geldautomat entdeckt wird. Dieser Fall hat allerdings eine andere Dimension. Gerade die Abwickler sind wichtige Schaltzentralen im Zahlungsverkehr. Ohne sie erfolgt keine Buchung, sie sorgen dafür, dass der Arbeiter seinen Lohn bekommt oder der Ladenbesitzer das Geld des Kunden. Und so speichern sie alle sensiblen Daten: Kartennummern, Codes und Bankverbindungen.

Das macht sie zum Ziel moderner Bankräuber. Wer die Daten abgreift, kann an jedem Automaten der Welt Geld abheben - ohne Angst vor einem Alarm. Und so lange, bis der Betrug auffällt. "Aus Sicht der Kriminellen sind die Abwickler ideale Angriffsziele", sagt Mike Urban, Spezialist für Betrugsbekämpfung beim Beratungshaus Fair Isaac. "Durch sie erhalten sie die meisten Informationen, mit dem geringsten Aufwand."

Für Banken ist das ein Albtraum. Die Zahl der eingezogenen Karten zeigt: Hier geht es nicht um Routine. Sondern um einen möglichen GAU. Der Skandal hat Europa erfasst, auch in Großbritannien, Finnland und Schweden wurden Kreditkarten ausgewechselt, die in den vergangenen Monaten in Spanien genutzt wurden.

Das Schweigen der Banken und Kreditkartenbetreiber macht viele Kunden misstrauisch. Denn diese verraten weder den Namen des Abwicklers noch sonstige Details. Mögliches Motiv: Sie wissen es selbst nicht oder können das Ausmaß der Gefahr nicht abschätzen.

Angst vor Imageverlust

"Reine Prävention", heißt es beschwichtigend beim Zentralen Kreditausschuss (ZKA), dem alle Banken angehören. Bislang seien keine Betrugsfälle bekannt. Doch welche Bank würde das zugeben? Zu groß wäre der Imageverlust, auch wenn für Schäden allein die Banken aufkommen.

Und natürlich gibt es Betrugsfälle. Allein der FTD liegen drei Kreditkartenabrechnungen eines Kunden vor, die illegale Abbuchungen belegen. Stets ist der Ablauf identisch: gleiche Zeit, gleicher Ort. An zwei Tagen Anfang Oktober, in mehreren Städten der USA. Mal sind es wenige Dollar für einen Restaurantbesuch in New York, mal mehrere Hundert für einen Einkauf bei einem Babyausstatter nahe Washington. Zum Teil wurden die Karten bis zu 20-mal am Tag genutzt. Die Spur führt in allen drei Fällen zu einer der Banken, die derzeit massenhaft Karten austauschen. Ein Zufall, oder stehen die Fälle doch im Zusammenhang mit den Ereignissen in Spanien?

Nachweisen lässt sich das nicht. Doch möglicherweise ist der Betrug erst verspätet aufgefallen. Und die Betrüger haben die Daten längst genutzt. Wie lange es dauert, ehe ein Datenleck entdeckt wird, zeigt ein spektakulärer Einbruch bei Heartland Payment Systems (HPS), dem sechstgrößten Zahlungsabwickler in den USA. Im Januar musste das Unternehmen einräumen, dass Unbekannte mit einer Schnüffel-Software Kreditkartendaten abgefangen hatten. Wann die Spionage begonnen hatte und wie viele Daten geklaut wurden, konnte HPS nicht ermitteln. Sicher war nur, dass die Software irgendwann im Jahr 2008 installiert wurde. 650 Banken, über das ganze Land verteilt, haben wahrscheinlich Kundendaten verloren. HPS sieht sich inzwischen mit mehreren Sammelklagen konfrontiert.

9 Mio. $ in zwölf Stunden

Diebe brauchen nicht einmal viele Daten, um einen großen Schaden anzurichten. Im November 2008 brachen Hacker in das Computersystem von RBS Worldpay ein, einer Firma, die den Zahlungsverkehr der Royal Bank of Scotland in den USA abwickelt. Sie kopierten lediglich die Nummern und Identifikationscodes von 44 Kreditkarten und erhöhten das Auszahlungslimit. Vier Tage nach dem Einbruch plünderten sie innerhalb von zwölf Stunden 2100 Geldautomaten in 280 Städten weltweit - von Atlanta bis Hongkong. Dabei erbeuteten sie rund 9 Mio. $.

Solche Fälle werfen Fragen auf: Wie gut sichern die Banken die wichtigen Daten? Christoph Strauch vom Kartenberatungs-unternehmen Paysys sieht in dem aktuellen Fall kein Grund zu großer Sorge: "Dies ist kein Indiz für generelle Sicherheitsmängel. Denn die Kreditwirtschaft reagiert schnell auf neue Betrugsmethoden." Viele Fachleute sehen das anders. Sie kritisieren, dass Kartenherausgeber nicht genug für die Sicherheit unternehmen. Dass man oft allein mit der Kartennummer einkaufen kann. Dass zum Teil nicht mal Unterschrift oder Geheimzahl nötig sind. Gerade viele deutsche Banken hätten ein Sicherheitsproblem, kritisiert Felitas Aguilar von ACI Worldwide, einem weltweit tätigen Anbieter von Zahlungsverkehrssoftware. "Wir gehen seit Jahren auf die deutschen Banken zu und klären sie darüber auf, wie anfällig sie für Betrugsdelikte im Kartenbereich und im Online-Banking sind."

Getan wird jedoch so gut wie nichts. Oft wiegeln die Banken ab und behaupten, sie hätten keine Betrugsfälle. "Ausländische Institute sind den deutschen bei der Betrugsprävention meilenweit voraus", sagt Aguilar. So konnte die britische Nationwide Building Society durch Verbesserungen an der Infrastruktur die Betrugsfälle nach eigenen Angaben drastisch senken. Ein wichtiger Schritt für die deutschen Banken wäre es, endlich die Karten mit neuer Technik zu schützen, mit PIN-Nummer und einem Chip, der Daten verschlüsselt. Viele benutzen noch Karten mit Magnetstreifen, die sich leichter missbrauchen lassen.

Und man muss es ja nicht gleich so weit treiben wie manches Institut in Großbritannien. Die haben Warnsysteme, die schon beim geringsten Verdacht anschlagen. So wunderte sich ein Barclays-Kunde kürzlich, als ihm in Italien die eigene Karte gesperrt wurde. Der Grund: Abheben im Ausland ist außerhalb der Norm und gilt damit als verdächtig. Eine Reise nach Thailand kündigte er danach extra an. Vergeblich. Nach dem zweiten Einsatz war er die Karte los.

FTD