Report München und tz machen den Check

So unsicher ist Ihre Kreditkarte

+
Bei der Nutzung von Kreditkarten lauern Gefahren

München - Wer mit seiner Kreditkarte einkauft, kann leicht Opfer von Hackern werden. Wie groß ist die Gefahr wirklich? Die tz machte zusammen mit dem ARD-Magazin "Report München" den Test.

Tankstelle, Restaurant, Flughafen – die Gefahr lauert überall! Wer mit seiner Kreditkarte einkauft, kann leicht Opfer von Hackern werden. Alles was die Täter erspähen müssen: Kreditkartennummer und Ablaufdatum. Dabei heißt es doch, der dreistellige Sicherheitscode auf der Rückseite schütze vor Angriffen auf’s Konto. Ist der Code wirklich sicher? Oder wird dem Kunden Sicherheit nur vorgegaukelt? Die tz machte zusammen mit dem ARD-Magazin Report München den Test.

Die tz-Reporter Christina Lewinsky und Sebastian Arbinger überlassen ihre Kreditkartennummer inklusive Ablaufdatum der IT-Sicherheitsfirma SySS. „Ohne die dreistellige Prüfnummer auf der Kartenrückseite können die damit im Internet keinen Unfug treiben“, glauben sie. Von wegen! Eine Woche später halten sie ein Bahn-Ticket nach Augsburg in der Hand – online gekauft von den Computerexperten. Tatsächlich: Der dreistellige Sicherheitscode ist nicht sicher und kann durch simples Ausprobieren der Kombinationsmöglichkeiten ermittelt werden (siehe Text unten). Bei sechs Kreditkarten wurde die Prüfnummer von der Firma SySS ohne Probleme geknackt – nur eine einzige Bank schlug während des Versuchs Alarm.

Mastercard weist den Vorwurf einer Sicherheitslücke vehement zurück: „So genannte „Trial by error“ Versuche sind unter Praktikabilitäts-Gesichtspunkten nicht geeignet, um missbräuchliche Verfügungen durchzuführen.“ Trial by error – auf Deutsch: Man probiert, bis es klappt. Genau diese Methode wenden die Sicherheitsexperten schon seit Jahren an – immer noch mit Erfolg. Die Deutsche Bahn trifft hierbei keine Schuld. Micha Borrmann von SySS: „DB hat keinen Fehler gemacht, weil wir beim Ticketkauf nur die vorher bereits erfolgreich ermittelten Sicherheitscodes verwendet haben.“

Die tz erklärt, wie die Täter den Sicherheitscode knacken. Und was die Verbraucherschützer raten…

…und so funktioniert’s

„Ich habe die Kreditkartennummer und das Ablaufdatum eingegeben und als Sicherheitscode „000“ benutzt.“ „Die Kreditkarte wurde abgelehnt“ war die Folge. Borrmann hat mit „001“ weitergemacht, die selbe Fehlermeldung erschien. Schließlich schrieb der Experte ein einfaches Programm, das die Zahlenkombination des Sicherheitscodes automatisch durchprobiert. Bei Visa- und Mastercard besteht der Sicherheitscode aus drei Ziffern – 1000 Möglichkeiten gibt es von „000“ bis „999“. Borrmann: „Mein Programm hat den Sicherheitscode irgendwann ermittelt, und ich konnte damit eine gültige Bestellung tätigen.“ Erschreckend: Im Prinzip kann der Hacker den Sicherheitscode auch per Hand eingeben. Das würde zwar sehr lange dauern, aber nach maximal 1000 Versuchen hätte er den Sicherheitscode geknackt.

Das sagt der Experte

tz-Interview mit Markus Feck, Jurist von der Verbraucherschutzzentrale Nordrhein-Westfalen

Welchen Schaden hat der Kunde, wenn seine Karte geknackt wird?

Feck: Es ärgert uns als Verbraucherschützer, weil der Kunde nicht den absoluten Schaden trägt, aber in die Verantwortung genommen wird. Der Kunde ist zwar nicht der Dumme, weil er sein Geld zurückbekommt, aber er hat den Ärger, er muss seine Kontoauszüge kontrollieren und er muss aktiv werden, um sein Geld von der Bank zurückzufordern.

Was raten Sie dem Kunden?

Feck: Einen absoluten Schutz vor Missbrauch mit Kartendaten im Online-Geschäft gibt es leider nicht. Der Kunde muss seine Kreditkartenabrechnung regelmäßig kontrollieren. Sobald er eine Verwendung sieht, die er nicht veranlasst hat, sollte er sich beim Kartenunternehmen melden und die Rückbuchung fordern.

Wie reagieren die Banken auf diese Sicherheitslücke?

Feck: Solange die zu zahlenden Schadenersatzleistungen niedriger sind als die Einführung eines sicheren Systems, wird sich nichts ändern.

Müssten die Banken nicht entschiedener handeln?

Feck: Die Banken sollten selber ein Interesse haben, dass die Bezahlvarianten sicher sind und sollten es auch für den Kunden sicherer machen. Das ist auch der Allgemeinwirtschaft zuträglich, wenn dann große Schadensbeträge vermieden werden.

Gibt’s eine sicherere Alternative zum Einkauf mit der Kreditkarte?

Feck: Wir können uns der Zukunft nicht verschließen, vieles wird im Internet passieren. Da ist die Kreditkarte im Vergleich zu vielen anderen Zahlvarianten noch eine für den Kunden sehr sichere und günstige Variante.

Die wichtigsten Notruf-Nummern

Die wichtigsten Notruf-Nummern

50 Jahre Report München!

Storys, Skandale, Schlagzeilen, vom Kalten Krieg bis zur Euro-Krise: Seit 50 Jahren begleitet das ARD-Magazin Report München bereits jeden dritten Dienstag im Monat das politische Geschehen in Deutschland. 750 Folgen wurden bisher ausgestrahlt und lösten häufig gesellschaftliche Debatten aus.

„Zu den großen gesellschaftspolitischen Kontroversen bezog Report München pointiert und unerschrocken Stellung“, sagt die Fernsehdirektorin des Bayerischen Rundfunks Bettina Reitz.

Die erste Folge lief am 5. August 1962 und löste das Politikmagazin Anno ab. Moderator Klaus Stephan rauchte damals im Studio noch Zigaretten – heute wäre das undenkbar. Am Dienstag hat die ARD die Jubiläumssendung ausgestrahlt. Neben der Sicherheit von Kreditkarten ging’s um den vorschnellen Einsatz von Cortison-Spritzen. Die durchschnittlich vier Millionen Zuschauer pro Sendung freuen sich auf weitere investigative Reportagen. Die tz gratuliert zum 50. Geburtstag!

CL, ARB

Die tz-Reporter im TV-Interview

Sebastian Arbinger beim TV-Interview

„Zum Glück konnte ich in meinem Online-Account verfolgen, welche Käufe die Hacker ohne mein Wissen tätigen. Aber dass meine Bank nichts bemerkt, wenn ständig herumprobiert wird, ist schon sehr bedenklich. Ich werde ab sofort sehr genau darauf achten, wer meine Kreditkarten-Nummer in die Hände bekommt.“

Sebastian Arbinger (28)

Christina Lewinsky beim TV-Interview

„Ich war entsetzt! Ein Bahnticket, das mit meiner Kreditkarte gekauft wurde? Völlig unmöglich, dachte ich bisher. Die dreistellige Prüfzahl habe ich immer geschützt und niemandem gezeigt –alles umsonst, wie sich jetzt zeigt. Ein unsicheres Gefühl, vor allem, weil meine Bank nicht Alarm geschlagen hat.“

Christina Lewinsky (25)

Vorsicht! So werden Sie täglich überwacht

Vorsicht! So werden Sie täglich überwacht

Auch interessant

Meistgelesen

S-Bahn: Signalstörung bei der S1 ist behoben
S-Bahn: Signalstörung bei der S1 ist behoben
Flohmärkte in München: Hier finden Sie alle Orte und Termine
Flohmärkte in München: Hier finden Sie alle Orte und Termine
Münchens größte Werkstadt: Das neue Viertel hinterm Ostbahnhof 
Münchens größte Werkstadt: Das neue Viertel hinterm Ostbahnhof 

Kommentare