Institut für Internet-Sicherheit – if(is)

In den Bezahlprozess mittels Kreditkarte sind, wie bereits bei der Vorstellung des Systems er-wähnt, verschiedene Stellen involviert. An zentralster Position stehen dabei die Betreiber des Kreditkartennetzwerks, also z.B. Visa oder MasterCard, die jede Transaktion, die mit einer ihrer Karten abgewickelt wird, verarbeiten.

Da die größten Kreditkartenanbieter amerikanische Unternehmen sind und das Kreditkartennetzwerk in Ihrer Hand liegt, kann davon ausgegangen werden, dass alle Transaktionen amerikanischen Behörden zugänglich sind. Innerhalb der NSA sammelt beispielsweise die Abteilung „Follow the money“ diese Transaktionsdaten in der Datenbank Tracfin. Aber auch andere Behörden der USA sind an diesen Daten interessiert und verschaffen sich Zugriff auf diese. Selbst wenn die Daten außerhalb der USA liegen versucht die amerikanische Justiz Zugriff auf diese Daten zu erlangen, wenn dies ihren Zielen dient. Derzeit versucht Microsoft einen Zugriff der US-Justiz auf in der EU gespeicherten Daten zu verhindern, scheiterte aber vor Gericht. Dieses Urteil könnte für amerikanische Unternehmen einen Präzedenzfall darstellen, so dass auch die Kreditkartenunternehmen u.U. gezwungen sein könnten Daten aus Europa amerikanischen Behörden offen zulegen.

Deutsche Behörden haben ebenfalls die Möglichkeit Zugriff auf diese Daten zu erhalten, offiziell beispielsweise um Straftaten aufklären zu können. So gelang es im Herbst 2006 Oberstaatsanwalt Peter Vogt aus Halle (Saale) durch Überprüfung aller Visa- und MasterCard-Konten 322 Personen zu ermitteln, die kinderpornographisches Material erworben hatten. Zu welchen Zwecken Behörden diese Daten ansonsten noch abfragen ist nicht bekannt.

Aber die Anbieter der Kreditkartennetzwerke können die gesammelten Daten auch an andere weitergeben. So heißt es beispielsweise in den Datenschutzbestimmungen von MasterCard:

„MasterCard kann auch persönliche Verbraucherdaten offenlegen, ohne Personen die Möglichkeit des Optouts zu geben, (…) wenn MasterCard glaubt, dass die Offenlegung erforderlich oder angemessen ist, um physischen Schaden oder finanzielle Verluste abzuwenden, oder im Zusammenhang mit einer Untersuchung vermuteter oder tatsächlicher betrügerischer oder illegaler Aktivitäten“

Durch diesen Passus seiner Datenschutzbestimmungen liegt es allein im Ermessen von Master-Card dies zu entscheiden, was für den Nutzer äußerst intransparent ist, zumal er keine Möglichkeit hat, der Nutzung seiner Daten zu widersprechen oder davon erfährt.

Die Anbieter versuchen aus Ihren zentralen Datensammlungen mittlerweile noch weiteren Nutzen zu ziehen, indem die Daten aggregiert und ausgewertet werden, um beispielsweise zielgenaue Werbung zu ermöglichen. Das Programm „MasterCard Audiences“ bietet genau diesen Service für Unternehmen an und ermöglicht die Auswertung nach verschiedenen Kategorien, wie Gastronomie oder Finanzdienstleistungen. Aufgrund der genannten Punkte werden in dieser Kategorie 0 Punkte für das Kriterium der Anonymität vergeben, da durch die zentrale Datenhaltung, die in transparenten Datenschutzbestimmungen und die Nutzung der Daten das System keinerlei Anonymität für den Nutzer bietet.

Für den Einsatz im Internet wurden früher – und zum Teil auch noch heute – lediglich die auf der Karte abgebildeten Daten abgefragt. Dies umfasst die Kartennummer, den Namen des Karteninhabers, das Ablaufdatum der Karte sowie den drei- bzw. vierstelligen Card Verification Value (CVV). All diese Daten können leicht kopiert werden wenn die Karte verfügbar ist. Oftmals geraten aber auch die Kreditkartendaten durch Hacks in Onlineshops in die Hände von Kriminellen. So vermuteten Mitarbeiter von UPS, dass über sieben Monate hinweg die Kartendaten der Kunden aus einigen US-Filialen des Versanddienstleisters kopiert worden waren. Im Weihnachtsgeschäft 2013 wurden zuvor bereits die Daten von weiteren 100 Millionen Kunden, die bei der US-Handelskette Target eingekauft hatten, entwendet). Darunter befanden sich u.a. auch Kreditkartendaten. Gemein ist den genannten Fällen, dass der CVV i.d.R. nicht in den Datensätzen enthalten ist. Allerdings wurde 2012 berichtet, dass dieser Code bei vielen Karten durch eine einfache Brute-Force-Attacke ermittelt werden konnte, ohne dass die Karte gesperrt wurde. In einigen Fällen ist dies aber gar nicht erst notwendig, da einige Anbieter, wie beispielsweise die TravelTainment GmbH aus Würselen, zusätzlich den CVV speichern, obwohl es nicht notwendig ist. Während eines Angriffs auf die Systeme der TravelTainment GmbH wurden diese Daten im vergangenen Jahr entwendet und konnten sofort durch die Kriminellen genutzt werden.
Ein grundsätzlicher Schwachpunkt dieses Verfahrens ist also, dass Kreditkartendaten auf vielen verschiedenen Systemen gespeichert werden, die nicht alle optimal gesichert sind und auch nicht der Kontrolle der Kreditkartengesellschaften unterliegen. Um einen Missbrauch der Daten selbst bei Verlust an Kriminelle zu verhindern, haben die Kreditkartenanbieter in den letzten Jahren weitere Sicherheitsmaßnahmen, wie „verified by Visa“ oder „MasterCard SecureCode“, eingeführt. Diese bringen eine zusätzliche Sicherheit, da die Transaktion darüber hinaus durch die Bank, von der der Kunde seine Kreditkarte erhalten hat, freigegeben wird. Für diese Freigabe authentifiziert sich der Kunde mittels eines Passworts gegenüber seiner Bank.

Der Ablauf ist dabei wie folgt: Zunächst gibt der Kunde, wie gewohnt, seine Kreditkartendaten an den Onlineshop weiter (Schritt 1). Dieser fordert von der Bank des Kunden eine Autorisierung der Zahlung an (Schritt 2). Daraufhin stellt die Bank eine Verbindung zum Kunden her und verlangt die Eingabe des SecureCode (Schritt 3). Der Kunde gibt seinen SecureCode an die Bank (Schritt 4), die die Zahlung autorisiert (5), so dass der Einkauf beendet werden kann (Schritt 6).

Um den Missbrauch gestohlener Kreditkarten(daten) zu verhindern, unternehmen die Kreditkar-tenanbieter große Anstrengungen, da sie in vielen Fällen für entstandene Schäden haften. So betreiben Kartenanbieter eigene Abteilungen zur Verfolgung und Ermittlung von kriminellen Transaktionen, damit Schäden möglichst verhindert werden können. Hierzu werden auf jede Transaktion geheime Regeln angewendet, die die jeweilige Transaktion eigens klassifizieren. Eine einfache Regel ist beispielsweise die zeitliche und geographische Prüfung. Dadurch wird verhindert, dass mit ein und derselben Karte nicht erst eine Transaktion in Gelsenkirchen und zwei Stunden später eine in New York erfolgt. Auch das grundsätzliche Blockieren von Transaktionen aus bestimmten Regionen, das sogenannte Geoblocking, ist mittlerweile üblich. Beispielsweise ist die Nutzung außerhalb der EU mit Kreditkarten der Sparkassen nur nach vorheriger Freischaltung möglich, was die Sicherheit erhöht, aber den Komfort des Nutzers stark einschränkt – gerade wenn dieser die Regelung vergessen hat oder vorab nicht ausreichend informiert wurde.

Schlussendlich lässt sich festhalten, dass das bisherige System bei weitem nicht sicher ist. Viel-mehr bieten die Anbieter dem Nutzer Sicherheit, indem sie Schäden in vielen Fällen übernehmen und hierdurch das Risiko für Kunden und Händler verringern. Trotzdem können für die Systemsi-cherheit nur wenige Punkte vergeben werden. Einige Punkte gibt es jedoch für die Übernahme von Schäden und die Bemühungen, Missbrauch zu verhindern. In Summe wird dieses Kriterium mit zwei Punkten bewertet.

Kreditkarten können, wie bereits erwähnt, sowohl einfach im Internet, durch Eingabe der Kartennummer und weiterer Daten, als auch am Point-of-Sales verwendet werden. MasterCard verfügt weltweit über 36 Millionen Akzeptanzstellen, während Visa sogar auf 37 Millionen Akzeptanzstellen verweist. In beiden Fällen kann demnach von einer weiten Verbreitung gesprochen werden.

Durch die hohe Verbreitung auf Kundenseite – allein in Deutschland waren 2013 36,64 Mio. Karten im Umlauf – ist eine Akzeptanz für Händler auch lohnenswert, da viele potentielle Kunden erreicht werden können. Allerdings gibt es bei der Ausgabe der Kreditkarte durchaus Voraussetzungen, die der Karteninhaber erfüllen muss. In der Regel findet vor Ausgabe eine Bonitätsprüfung statt, die darüber entscheidet, ob der Anfordernde eine Kreditkarte bekommt oder nicht. Einige Personen sind also direkt von dem System ausgeschlossen. Aufgrund der letztgenannten Einschränkung können für dieses Kriterium lediglich vier der fünf möglichen Punkte vergeben werden.