Kommentar: Warum Kreditkartenzahlungen ohne zweiten Faktor von gestern sind
Alle Banken verpflichten Kunden zur Einrichtung von Visa Secure, MasterCard Identity Check, Amex SafeKey & Co. Warum erzwingen die Händler sie dann nicht?
Kreditkartennummern sind schnell geklaut und eingesetzt.
(Bild: wk1003mike/Shutterstock.com)
Kreditkartenzahlungen im Netz waren einst eine bequeme, wenn auch erstaunlich unsichere Sache: Man benötigte nur die Kartennummer, das Ablaufdatum und die Kartenprüfnummer (CVV/CVC), schon konnte man online shoppen gehen. Dass das auf Dauer nicht gut gehen konnte und Kreditkartendaten zur beliebten Handelsware von Kriminellen wurden, nahm die Branche anfangs noch hin. Schließlich, ab dem Jahr 1999, wurde das 3D-Secure-Verfahren (3DS) entwickelt, das einen zweiten Faktor für eine Zahlung notwendig machte. Die heute je nach Anbieter als "Visa Secure", "American Express SafeKey" oder "MasterCard Identity Check" bekannten Verfahren basierten anfangs auf der – leider unsicheren – SMS.
Man bekam also bei einer Kreditkartenzahlung einen Textnachrichten-Code aufs Telefon geschickt, den man eingeben musste, um sicherzustellen, dass man der tatsächliche Besitzer der Karte war. Mittlerweile wurden die Dienste vereinfacht. Zumeist übernehmen Banking- oder Kreditkarten-Apps für Android und iOS die Aufgabe: Dort gibt man Buchungen dann nur noch per Biometrie (Gesichtsscan oder Fingerabdruck) frei, gelegentlich auch mit in der App bereitgestelltem Code. Das Problem ist allerdings, dass diese Secure-Verfahren nach wie vor nicht standardmäßig erzwungen werden. Das ist ungefähr so, als habe man einen Sicherheitsmann vor der Tür, der aber nur alle paar Tage wirklich tätig wird.
Amazon kann nicht helfen
Es ist also reiner Zufall und vom jeweiligen Händler abhängig, ob es zur Abfrage kommt oder nicht – und das handhaben auch sehr große Anbieter so. Der ehrliche Kunde mag sich dann freuen, dass der scheinbar nervige Zusatzschritt nicht notwendig war, die Zahlung schnell abgeschlossen ist. Doch es heißt auch, dass Kriminelle die fehlende Abfrage nutzen können, um auf Kosten anderer fröhlich weiter nur mit drei simplen Angaben zu bestellen. Und Kreditkartendaten verschwinden schnell.
Ich selbst konnte das gerade beim größten E-Commerce-Anbieter der Welt, Amazon, erleben, als eine Abbuchung in Höhe von knapp 85 Euro auf dem Kartenkonto eines Familienmitglieds auftauchte, ohne dass sie zugeordnet werden konnte. Das Verwirrende daran war, dass die Karte nie bei Amazon eingesetzt oder hinterlegt wurde, online eigentlich nie zum Einsatz kam. Vor der Transaktion gab es weder eine Kaufbestätigung durch Amazon noch eine Sicherheitsabfrage über das Secure-Verfahren der Bank. Zusätzlich wurde eine 0-Euro-Transaktion angefragt, was typisch ist, wenn eine Karte erstmalig bei einem Online-Händler eingesetzt wird und/oder Kriminelle sie ausprobieren wollen. Offensichtlich also ein erfolgreicher Betrug.
Amazon selbst ist in solchen Fällen nicht wirklich hilfreich, zumindest war das in diesem Fall so. Letztlich riet Amazon nur dazu, die Zahlung bei der Bank zu reklamieren, was wir dann taten. Die Summe wurde zwar daraufhin zunächst zurück überwiesen, die Bank prüft aber noch. Die Karte musste zudem gesperrt und ausgetauscht werden.
Es kann jeden treffen
Also Ende gut, alles gut? Leider nicht. Dass es überhaupt möglich ist, Kartenzahlungen ohne Verfügung über den zweiten Faktor durchzuführen, ist nicht mehr zeitgemäß. Bei jeder Banküberweisung muss man inzwischen einen Code eingeben, Zwei-Faktor-Authentifizierung macht sich auch im Bankwesen breit. Aber im Handel heißt es offenbar "anything goes". Der betrogene Kunde steht zudem ratlos da, weil er schlicht nicht nachvollziehen kann, wo die Kartendaten abgeflossen sind.
Der Vorgang ist ein klassisches Beispiel dafür, dass wir längst über moderne Sicherheitsverfahren verfügen, diese aber nicht oder nur eingeschränkt nutzen. Wird der zweite Faktor aus Kundenfreundlichkeit oder anderen Gründen nicht abgefragt, bricht das ganze System zusammen und man kann wie weiland in den Neunzigern mit nur drei Datenpunkten einkaufen gehen. Die meisten Karten, die Banken ausgeben, sind zudem physisches Plastik und müssen dann auch physisch ausgetauscht werden, wie in unserem Fall, was Wochen dauern kann, wenn man Pech hat.
Dabei ginge es einfacher. Anbieter wie Revolut oder Bunq arbeiten beispielsweise mit virtuellen Karten, die sich leicht sperren und sogar zwischenzeitlich einfrieren lassen, die Kartennummer ist zudem in Sekunden getauscht. Unterwegs kann man sich wiederum mit Token-Zahlmethoden wie Apple Pay oder Google Pay behelfen, bei denen die echten Kartendaten nicht ĂĽbertragen werden, was das AbflieĂźen erschwert.
Kunde bleibt schwächstes Glied in der Kette
Das Problem bleiben Grenz- und Legacy-Fälle: Token-Zahlmethoden benötigen funktionierende Kontaktlos-Zahlungsterminals und die Secure-Verfahren, wie in unserem Fall, sind auf Händler angewiesen, die sie auch einsetzen. Kreditkartenfirmen und Banken könnten dies, wenn sie nur wollten, erzwingen, machen das bislang aber nicht. Und nicht immer laufen Reklamationen von Kreditkartenzahlungen reibungslos: Es kommt durchaus vor, dass sich Banken querstellen, Reklamationen anzuerkennen. Warum Amazon als Marktführer die Secure-Verfahren nicht dauerhaft erzwingt und wie oft Einkäufe mit geklauten Kreditkartendaten dort vorkommen, wollte der Konzern auf Nachfrage übrigens nicht verraten. Schade.
(bsc)
