Sicherheit von Kreditkarten "Bei uns ist noch nie etwas passiert"

Die Bezahlung mit Kreditkarte ist einfach, bequem und im Online-Bereich oft alternativlos. Doch viele Händler und Dienstleister gehen mit den Daten schludrig um. Die großen Kreditkartenunternehmen haben nun einmal deren Sicherheitsmaßnahmen untersuchen lassen - mit erschreckenden Ergebnissen, wie auf dem Chaos Communication Congress in Berlin zu hören war.

Von Wulf Rohwedder, tagesschau.de

Kreditkarten werden als Zahlungsmittel immer beliebter. Gerade Online-Käufe und internationale Transaktionen im Einzelhandel wären ohne sie oft nicht möglich. Mit der zunehmenden Nutzung wuchs aber auch die Zahl der Betrugsfälle. Oft ist es nicht der Kreditkarteninhaber, der durch Fahrlässigkeit oder gar Vorsatz den Missbrauch verursacht, sondern es sind die Händler und Dienstleister. Mit einer missbrauchten Kreditkarte werden im Durchschnitt 2000 Euro entwendet. Wenn durch Sicherheitslücken Kriminellen tausende nutzbare Datensätze in die Hände fallen, kann der Schaden daher schnell in die Millionen gehen.

Kartendaten auf einem Filesharing-System

Die weltweit größten Anbieter Visa und MasterCard haben sich jetzt auf Sicherheitsstandards für ihre Geschäftspartner festgelegt. Das Unternehmen SRC soll Händler und Dienstleister in mehreren europäischen Ländern daraufhin überprüfen, ob diese auch eingehalten werden. Und das war offenbar bitter nötig, berichtet Manuel Atug von SRC auf dem Chaos Communication Congress in Berlin.

Beim ersten Sicherheitscheck fielen zwei Drittel der Firmen durch, wegen zum Teil erschreckender Resultate: So behielten viele von ihnen komplette Datensätze von Kreditkarten inklusive der Prüfnummern auf ihren Computern - oft jahrelang und auf weitgehend ungesicherten Systemen. Andere nutzten veraltete Sicherheitsprotokolle, sofern sie die Daten überhaupt verschlüsselten, oder sie hatten seit Jahren keine sicherheitsrelevanten Updates ihrer Betriebsysteme und Programme vorgenommen. Einige Anbieter arbeiteten auf ungesicherten Testsystemen mit den Daten realer Kunden, ein paar betrieben auf denselben Servern, die die sensiblen Kreditkarten-Daten bearbeiteten und speichern, sogar Tauschbörsensoftware oder ein Chatserver - eine Einladung für jeden Datendieb.

Nur wenig Bewusstsein für Sicherheitsbelange

Trotzdem zeigten sich viele der durchgefallenen Firmen wenig einsichtig. "Nie ein laufendes System ändern" oder "Bei uns ist doch noch nie was passiert" waren typische Antworten. Oft lag das Problem im Management: "Ich will jederzeit alle Daten einsehen können", war der Einwand eines Inhabers. In einem anderen Unternehmen mit rund 600 Mitarbeitern hatte sogar jeder, inklusive Aushilfen und Besuchern, Einsicht in Kreditkartentransaktionen, andere brachten Bänder mit Sicherungskopien bei einem Freund unter.

Durchgefallene Unternehmen sind haftbar

So war es nicht verwunderlich, dass selbst bei einer zweiten Nachprüfung der durchgefallenen Unternehmen ein Drittel immer noch nicht den aufgestellten Anforderungen genügte, obwohl eine eingehende Beratung in Bezug auf die gefundenen Sicherheitslücken vorausgegangen war. Dabei müsste die Absicherung des Systems in ihrem ureigensten Interesse liegen: Können Händler durch das Prüfprotokoll nachweisen, dass sie die Standards erfüllen, müssen sie für Missbrauch der von ihnen erhobenen Daten meist nicht haften. Liegt der Fehler jedoch bei ihnen, droht nicht nur eine empfindliche Strafe - der Schaden kann schnell in die Millionen gehen und die Existenz des Unternehmens kosten.

Letztlich zahlt der Kunde

Zwar bekommen die Inhaber missbrauchter Kreditkarten meist ihr Geld zurück, sofern sie nicht grob fahrlässig gehandelt haben, es bleibt ihnen jedoch der Ärger und die Angst. Letztlich sind es aber auch die Verbraucher, die die Kosten für den Betrug zu zahlen haben - über höhere Gebühren und Preise.