Kreditkarten-Prüfnummern bieten nur wenig Schutz

Die dreistelligen Prüfnummern (Credit Card Validation Number, CVN) von Kreditkarten bieten offenbar nicht ausreichend Schutz vor Missbrauch, wie das ZDF-Wirtschaftsmagazin WISO am gestrigen Montag berichtete. Die Prüfnummer soll sicherstellen, dass nur der Besitzer der Karte damit bezahlen kann. Laut Bericht genügt es Betrügern aber, im Besitz der Kreditkartennummer und des Ablaufdatums zu sein, um damit in Online-Shops einzukaufen. Der Sicherheitsdienstleister Syss hatte bei einem Test von Online-Shops bei 80 Prozent Probleme entdeckt. Demnach sei es möglich, einfach alle möglichen Prüfnummern online durchzuprobieren, etwa durch einen automatisierten Brute-Force-Angriff.

Weder der Shop noch die dahinterstehenden Kreditkarten-Akzeptanzstellen wie VISA oder Mastercard boten dem Einhalt, indem sie etwa nach einer bestimmten Zahl von Fehlversuchen weitere Versuche blockierten. Dies geschieht beispielsweise bei EC-Karten am Automaten. Gegenüber heise Security bestätigte Syss-Geschäftsführer Sebastian Schreiber das Problem: Seiner Meinung nach seien die Akzeptanzstellen in der Verantwortung, das Problem zu beheben. Nach einer gewissen Anzahl von Fehlversuchen sollen weitere Zugriffe oder die Karte gesperrt werden. Zwar werbe die Kreditkartenbranche mit mehrstufigen Fraud-Prevention-Systemen, dabei handele es sich aber um Potemkinsche Dörfer: Weder habe man bei den Tests die Systeme bemerkt, noch hätten sie die Zugriffe blockiert.

Um das mutwillige Sperren von Karten durch böswillige Personen zu verhindern, müsse sowohl die Kreditkartennummer als auch das Ablaufdatum herangezogen werden. Nur wenn beide richtig seien, handele es sich wahrscheinlich um den Besitzer der Karte oder den Betrüger und nicht nur um einen Streich. (dab)