Jule Reimer: Auf mehr als 100.000 ausgetauschte Kreditkarten addiert sich mittlerweile die Rückholaktion der Banken, die vor allem der Vorsorge diene, wie die Kreditinstitute und Kartenanbieter beteuern. Es wird also vermittelt, echte Betrugsfälle kämen nur selten vor. Die "Bild"-Zeitung zitiert jedoch einen Experten, der von einer Verdoppelung der Schäden in diesem Jahr auf 155 Millionen Euro im Vergleich zu 2007 spricht.
Ich bin jetzt mit Peter Welchering verbunden, Journalist und IT-Experte: Herr Welchering, wie hoch, glauben Sie denn, sind die Zahl der betroffenen Kreditkartenkunden und die Höhe der Schäden?
Peter Welchering: Na ja, da halten ja vor allen Dingen die Kreditfirmen sehr stark mit Informationen hinter dem Berg. Wenn man von 24,6 Millionen Kreditkartenbesitzern in Deutschland ausgeht und man legt einmal an, dass durch solche Schädigungen ungefähr zehn Prozent immer betroffen sind, dann kommt man schon auf gute Zahlen von fast zwei Millionen, wobei die bisherigen Statistiken, aber das sind eben nur die offiziell gemeldeten Fälle, die liegen da weit drunter. So geht etwa das Bundeskriminalamt von elf Millionen Schaden aus und etwa für 2008 ist in der Polizeistatistik von 45.500 erfassten Betrugsfällen mit Kreditkarten die Rede.
Aber wenn man sich anschaut, wie viel mit solchen Kreditkarten allein in Deutschland und allein im Einzelhandel umgesetzt wird, das ist schon beträchtlich, nämlich 130 Milliarden Euro. Also die Geldsummen, um die es hier bei diesen Betrugsfällen geht und die abgegriffen werden können, die sind schon beachtlich.
Reimer: Könnte man denn beim Bezahlverfahren beispielsweise für mehr Sicherheit sorgen, indem sich der Kunde ausweisen muss, indem er vielleicht eine PIN-Nummer eingeben muss oder ähnlich wie beim Onlinebanking eine TAN-Nummer eingibt, also eine vorgegebene Prüfziffer, die aber für jeden Zahlungsvorgang dann eine andere sein muss?
Welchering: Ja, das ganz konkrete Bezahlverfahren, das wir bei den Kreditkarten haben, das ist überhaupt nicht mehr auf dem Stand der Technik. Allerdings die Dinge, die jetzt im Augenblick diskutiert werden, die scheinen teilweise auch wirklich Schnellschüsse zu sein. Also beispielsweise die Prüfziffer mitzusenden, das ist natürlich bei der Kreditkartenzahlung ähnlich unsicher wie das Absenden so einer Transaktionsnummer beim Onlinebanking. Da hängen dann einfach Hacker oder kriminelle Betrüger einen Rechner zwischen meinen PC und den Bankenrechner, fangen diese Transaktionsnummer ab und können anschließend mit dieser Transaktionsnummer dann eben fröhlich weiter auf mein Konto zugreifen beziehungsweise im Falle eben der Kreditkartenzahlung meine Kreditkarte weiterhin benutzen. Also das ist ein sehr unsicheres Verfahren.
Das andere Verfahren, das diskutiert wird, beispielsweise der Magnetstreifen auf der Kreditkarte solle ausgetauscht werden, das geht schon eher in die richtige Richtung, denn solche Magnetstreifen sind wirklich sehr, sehr leicht zu fälschen. Und vor allen Dingen machen Diebe das ja so, indem sie einfach sogenannte Kreditkartenrohlinge nehmen und die erbeuteten Kreditkartendaten dann sehr leicht und sehr kostengünstig vor allen Dingen auf solchen Kreditkartenrohling mit einem Magnetstreifen aufbringen. Da würde der Chip schon etwas helfen, allerdings würde der Chip die Fälle, die wir jetzt feststellen, eben nicht unterbinden. Da geht es dann nicht weit genug.
Reimer: Ja, die Fälle, die wir jetzt feststellen, die haben ja offenbar etwas mit den Sammelstellen zu tun, wo diese Daten alle gesammelt werden. Das heißt, müsste man da ansetzen, bei Servern und bei Rechenzentren und wie?
Welchering: Man kann bei Servern und Rechenzentren ansetzen, man kann aber auch noch einen Schritt vorher bleiben und man kann beispielsweise noch mal bei der Karte selbst ansetzen und etwa diese Karte mit einem Verschlüsselungschip ausstatten und mit einer Signatur. Das ist eine virtuelle Unterschrift, sodass meine Kreditkarte, wann immer ich etwas bezahle, diese virtuelle Unterschrift, wenn ich sie denn freigebe, verschlüsselt über die Leitungen zu den Rechenzentren der Abrechnungseinheiten gibt. Und das würde natürlich für enorm mehr Sicherheit sorgen, aber man muss auch sehen, das verteuert natürlich die Kreditkarten. Und insgesamt wird der Prozess der Kreditkartenzahlung natürlich auch aufwendiger dadurch.
Bei den Rechenzentren, da sieht es ganz düster aus, wenn man sich anschaut, obschon das die Betreiber nicht gerne hören, der Abrechnungsgesellschaften. Diese Rechenzentren sind in den vergangenen Jahren ganz, ganz oft einfach Opfer von Hackerattacken geworden, sehr viele trojanische Pferde wurden dort eingeschleust. Und das hatte dann eben zur Folge, dass sehr viele Kreditkartendaten, Kreditkarteninformationen einfach abgefischt wurden und anschließend weiter eben gebraucht wurden, um damit dann in kriminellen Organisationen zu zahlen oder entsprechend die Kreditkartenbesitzer zu schädigen. Also da vermissen wir ganz, ganz oft einfach ganz grundlegende Sicherungsmaßnahmen, die eingeführt werden müssen.
Reimer: Schönen Dank an Peter Welchering über mehr Sicherheit bei Kreditkarten.
Ich bin jetzt mit Peter Welchering verbunden, Journalist und IT-Experte: Herr Welchering, wie hoch, glauben Sie denn, sind die Zahl der betroffenen Kreditkartenkunden und die Höhe der Schäden?
Peter Welchering: Na ja, da halten ja vor allen Dingen die Kreditfirmen sehr stark mit Informationen hinter dem Berg. Wenn man von 24,6 Millionen Kreditkartenbesitzern in Deutschland ausgeht und man legt einmal an, dass durch solche Schädigungen ungefähr zehn Prozent immer betroffen sind, dann kommt man schon auf gute Zahlen von fast zwei Millionen, wobei die bisherigen Statistiken, aber das sind eben nur die offiziell gemeldeten Fälle, die liegen da weit drunter. So geht etwa das Bundeskriminalamt von elf Millionen Schaden aus und etwa für 2008 ist in der Polizeistatistik von 45.500 erfassten Betrugsfällen mit Kreditkarten die Rede.
Aber wenn man sich anschaut, wie viel mit solchen Kreditkarten allein in Deutschland und allein im Einzelhandel umgesetzt wird, das ist schon beträchtlich, nämlich 130 Milliarden Euro. Also die Geldsummen, um die es hier bei diesen Betrugsfällen geht und die abgegriffen werden können, die sind schon beachtlich.
Reimer: Könnte man denn beim Bezahlverfahren beispielsweise für mehr Sicherheit sorgen, indem sich der Kunde ausweisen muss, indem er vielleicht eine PIN-Nummer eingeben muss oder ähnlich wie beim Onlinebanking eine TAN-Nummer eingibt, also eine vorgegebene Prüfziffer, die aber für jeden Zahlungsvorgang dann eine andere sein muss?
Welchering: Ja, das ganz konkrete Bezahlverfahren, das wir bei den Kreditkarten haben, das ist überhaupt nicht mehr auf dem Stand der Technik. Allerdings die Dinge, die jetzt im Augenblick diskutiert werden, die scheinen teilweise auch wirklich Schnellschüsse zu sein. Also beispielsweise die Prüfziffer mitzusenden, das ist natürlich bei der Kreditkartenzahlung ähnlich unsicher wie das Absenden so einer Transaktionsnummer beim Onlinebanking. Da hängen dann einfach Hacker oder kriminelle Betrüger einen Rechner zwischen meinen PC und den Bankenrechner, fangen diese Transaktionsnummer ab und können anschließend mit dieser Transaktionsnummer dann eben fröhlich weiter auf mein Konto zugreifen beziehungsweise im Falle eben der Kreditkartenzahlung meine Kreditkarte weiterhin benutzen. Also das ist ein sehr unsicheres Verfahren.
Das andere Verfahren, das diskutiert wird, beispielsweise der Magnetstreifen auf der Kreditkarte solle ausgetauscht werden, das geht schon eher in die richtige Richtung, denn solche Magnetstreifen sind wirklich sehr, sehr leicht zu fälschen. Und vor allen Dingen machen Diebe das ja so, indem sie einfach sogenannte Kreditkartenrohlinge nehmen und die erbeuteten Kreditkartendaten dann sehr leicht und sehr kostengünstig vor allen Dingen auf solchen Kreditkartenrohling mit einem Magnetstreifen aufbringen. Da würde der Chip schon etwas helfen, allerdings würde der Chip die Fälle, die wir jetzt feststellen, eben nicht unterbinden. Da geht es dann nicht weit genug.
Reimer: Ja, die Fälle, die wir jetzt feststellen, die haben ja offenbar etwas mit den Sammelstellen zu tun, wo diese Daten alle gesammelt werden. Das heißt, müsste man da ansetzen, bei Servern und bei Rechenzentren und wie?
Welchering: Man kann bei Servern und Rechenzentren ansetzen, man kann aber auch noch einen Schritt vorher bleiben und man kann beispielsweise noch mal bei der Karte selbst ansetzen und etwa diese Karte mit einem Verschlüsselungschip ausstatten und mit einer Signatur. Das ist eine virtuelle Unterschrift, sodass meine Kreditkarte, wann immer ich etwas bezahle, diese virtuelle Unterschrift, wenn ich sie denn freigebe, verschlüsselt über die Leitungen zu den Rechenzentren der Abrechnungseinheiten gibt. Und das würde natürlich für enorm mehr Sicherheit sorgen, aber man muss auch sehen, das verteuert natürlich die Kreditkarten. Und insgesamt wird der Prozess der Kreditkartenzahlung natürlich auch aufwendiger dadurch.
Bei den Rechenzentren, da sieht es ganz düster aus, wenn man sich anschaut, obschon das die Betreiber nicht gerne hören, der Abrechnungsgesellschaften. Diese Rechenzentren sind in den vergangenen Jahren ganz, ganz oft einfach Opfer von Hackerattacken geworden, sehr viele trojanische Pferde wurden dort eingeschleust. Und das hatte dann eben zur Folge, dass sehr viele Kreditkartendaten, Kreditkarteninformationen einfach abgefischt wurden und anschließend weiter eben gebraucht wurden, um damit dann in kriminellen Organisationen zu zahlen oder entsprechend die Kreditkartenbesitzer zu schädigen. Also da vermissen wir ganz, ganz oft einfach ganz grundlegende Sicherungsmaßnahmen, die eingeführt werden müssen.
Reimer: Schönen Dank an Peter Welchering über mehr Sicherheit bei Kreditkarten.