Datenklau bei Kreditkarten

18. November 2009 Ralf Streck

Der Datenskandal um einen offenbar gehackten spanischen Abrechnungsserver zieht immer größere Kreise, betroffen sind alle deutsche Banken

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Derzeit bekommen viele Spanienurlauber unangenehme Post. Entweder werden sie von der Bank aufgefordert ihre Master- oder Visa-Karten zu tauschen, die sie in den vergangenen Monaten in Spanien eingesetzt haben. Manchmal kommt es gleich noch viel schlimmer und zu hektischen Telefonaktivitäten. Denn bisweilen stellen derzeit Kreditkartenkunden fest, wenn die Monatsabrechung einläuft, dass sich Abbuchungen in großer Höhe auf dem Kartenkonto finden, die sich der Benutzer nicht erklären kann.

So geschah es zumindest dem Schreiber dieser Zeilen, der sich bekanntlich bisweilen im spanischen Königreich aufhält. Denn am 12. Oktober, und nur an diesem Tag, wurde ausgiebig mit meiner Visa-Karte in einem ganz anderen Königreich eingekauft, nämlich in Großbritannien. Die bekannten Tesco-Märkte sind dabei, auch Sainsbury und der richtig große Brocken ist bei Debenhams in Basildon gekauft worden, für fast 600 Euro. Alle Shops befinden sich im Großraum Londons, ein Laden findet sich in Whitechapel, ganz in der Nähe des Tower.

Das erstaunte mich natürlich, da meine Karte nicht geklaut wurde und ich sie auch nicht verloren hatte. Meine Karte habe ich sogar, ebenfalls am Nachmittag des 12. Oktober, Hunderte Kilometer entfernt von London in einem Baumarkt eingesetzt, in dem ich persönlich bekannt bin. Für bescheidenere 40 Euro kaufte ich dort ein paar Kleinigkeiten, ich kann also unmöglich gleichzeitig in London zum Shoppen gewesen sein. Und was in Spanien üblich ist, beim Einkauf mit Scheckkarte einen Identitätsnachweis vorzeigen zu müssen, ist in London offensichtlich auch dann nicht nötig, wenn hohe Summen bezahlt werden.

Mich erstaunte der Vorgang, da ich, außer an Autobahnzahlstellen, eigentlich die Karte nie aus der Hand gebe, wenn ich den Vorgang nicht beobachten kann, um ein heimliches Kopieren zu verhindern Ich setze die Karte auch nur sehr selten im Internet ein und nur dann, wenn es sich überhaupt nicht vermeiden lässt. Zudem versuche ich, meine Rechner von Trojanern und anderen Schädlingen sauber zu halten. So war unwahrscheinlich, dass es sich um den üblichen Internetbetrug handelte, wie die freundliche Frau vermutete, als ich meine Karte sogleich sperren ließ.

So ist zu vermuten, dass es sich um den Vorfall handeln könnte, der sich in den letzten Tagen immer weiter zu einem großen Datenskandal ausweitet. Denn bereits im Oktober hatte die KarstadtQuelle Bank 15.000 Karten aus dem Verkehr gezogen. Auch die Lufthansa und die Barclays Bank hatten derweil ihre Kunden zum Tausch der Kreditkarten angehalten, mit denen in Spanien bezahlt worden ist. Sie hatten darauf reagiert, dass Visa und Mastercard die Banken längst vor einem Missbrauch gewarnt hatten und die Warnung mit Ungereimtheiten bei einem Abrechnungsdienstleister in Spanien begründet hatten.

Bestätigt wurde nur, dass beim spanischen Zahlungsdienstleister Kartendaten "abgegriffen" worden seien. Offenbar wurde ein spanischer Abrechnungsserver gehackt. Das Erstaunlichste an dem Vorgang ist, dass in Spanien über den Vorgang kaum berichtet wird, obwohl doch vor allem spanische Kunden betroffen sein dürften. So finden sich zwar Artikel über das Thema in aller Welt, wie in Chile, doch im spanischen Staat berichtete bisher wohl nur die katalanische Regionalzeitung Vanguardia und heute zog die Wirtschaftszeitung Expansion nach.

Jedenfalls, so erklärte die Pressestelle meiner Berlin auf Nachfrage, sei bisher nichts Auffälliges beobachtet worden. Eine Warnung sei deshalb nicht nötig gewesen. Dabei haben die Volks- und Raiffeisenbanken wegen des Verdachts auf Datenklau schon rund 60.000 der von ihnen ausgegebenen Kreditkarten aus dem Verkehr gezogen, berichtet die Financial Times Deutschland (FTD) heute. Die Deutsche Bank bestätigt, dass derzeit Karten ausgetauscht würden und die DKB erklärt sogar, der Tausch sei schon abgeschlossen. Offenbar, anders als zumeist behauptet, sind wohl nicht allein Karten betroffen, die in Spanien genutzt wurden.

Betroffen könnten aber auch solche Kreditkarten sein, die nur in Deutschland eingesetzt wurden, weil der Zahlungsverkehr über den spanischen Dienstleister abgewickelt wurde. Und das ist, vor allem bei Großunternehmen nicht unüblich, um Kosten zu sparen. Für die Kunden ist das praktisch nicht nachvollziehbar. Betroffen sind jedenfalls alle Banken in Deutschland, wo nun Hunderttausende Kredikarten umgetauscht werden sollen: "Alle Banken sind betroffen, deswegen gibt es ein einheitliches Vorgehen, alle möglichen betroffenen Kunden werden angeschrieben“, sagte Steffen Steudel, Sprecher des Zentralen Kreditausschusses nun zu Welt online.

Nach Ansicht der Internetsicherheitsagentur der Europäischen Union handele es sich um organisierte Kriminalität. Gegenüber dem Deutschlandfunk erklärt der Chef der Agentur, Dr. Udo Helmbrecht], man habe vier "Dropzones im ehemaligen Ostblock gefunden". Betroffen seien vor allem Russland und Estland, wo man auf dem Schwarzmarkt "solche Daten entweder komplett kaufen kann oder man eben fünf Kreditkarten kauft". Es gäbe "kriminelle Einkaufskooperativen" die von den Hackern gestohlene Kreditkartendaten kaufen und damit dann Waschmaschinen, Videokameras oder hochwertige Unterhaltungselektronik fürs Heimkino einkaufen. Ein solches Gerät wurde vermutlich auch mit meiner Kartei bei Debenhams gekauft. So ist auch die Angabe zu bezweifeln, wonach bisher keine Schäden bekannt seien, wie die FTD einen Sprecher des Zentralen Kreditausschusses zitiert. Angeblich würden die Karten bisher nur rein präventiv ersetzt, um einen möglichen Datenmissbrauch auszuschließen.

Obwohl im Fall eines solchen Datenskandals den Kunden keinerlei Schuld trifft, kann er mit maximal 150 Euro am Schaden beteiligt werden. Üblicherweise ist er zwar nur haftbar, wenn ihm Fahrlässigkeit oder Missbrauch nachgewiesen werden kann. Doch, so die Verbraucherzentralen, ist es für die Banken seit dem 30. Oktober auch möglich, die Kunden über die allgemeinen Geschäftsbedingungen mit in die Pflicht zu nehmen. Man sollte sich also die Geschäftsbedingungen genau durchlesen. Aber auch wenn dies nicht der Fall ist, tritt ein Schaden ein. Es muss aufwendig Strafanzeige erstattet und es müssen Schadenmeldungen ausgefüllt werden. Danach muss man offenbar wochenlang warten, bis das Geld wieder rückerstattet wird. Sechs bis acht Wochen soll die Prüfung dauern, erklärte mir meine Bank. Derweil fallen, wie in meinem Fall, hohe Zinsen für das Überziehen des Girokontos an.

Datenklau bei Kreditkarten

Journalismus fördernIhr Beitrag für guten Journalismus

Onlinemagazin für Politik & Medien