Unerklärliche Buchungen

In meiner Kredit- respektive Debitkartenabrechnung finden sich Buchungen bei Onlineshops, die ich nicht veranlasst habe. Ich habe die fragliche Kredit- oder Debitkarte nicht einmal beim fraglichen Shop hinterlegt. Wie kann das passieren und was kann ich machen?

Prüfen Sie zunächst, ob jemand aus Ihrem persönlichen Umfeld die Karte genutzt hat. Oft passiert so etwas ohne bösen Willen; in der Betrugsprävention spricht man in Anlehnung an „friendly fire“ auch von „friendly fraud“, also „Betrug aus den eigenen Reihen“.

Bestätigt sich diese Variante nicht, könnte jemand Ihre Kartendaten direkt ausgespäht oder gestohlen haben, vielleicht sind Sie aber auch Opfer eines sogenannten „PAN Guessing“ geworden, sprich: Cyberkriminelle haben Ihre Kreditkartennummer (Personal Account Number, PAN) und das Ablaufdatum erraten. Bei dieser Art von Angriff bestellen die Täter mithilfe von Onlineshop-Konten in automatisierten Verfahren Waren und Dienstleistungen. Bei der Bezahlung probieren sie Kreditkartendaten nach dem Zufallsprinzip durch.

Dabei hilft den Betrügern, dass die PAN einem standardisierten Schema folgt [1] und dass manche Onlineshops auf zusätzliche Sicherheitshürden wie die Abfrage der drei- oder vierstelligen Kartenprüfnummer (je nach Kartenfirma CVC, CVV oder CID genannt, siehe auch nächste Frage) verzichten. Bei Tausenden Versuchen landen die Täter schon rein statistisch einige Treffer. Manche davon bekommen sie anschließend auch an den Betrugsprüfungssystemen vorbei, mit denen die Kartenfirmen und Ihr Kreditinstitut verdächtige Zahlungen blockieren. In Ihrem Fall hat es dabei die PAN Ihrer Kredit- oder Debitkarte erwischt.

Mitunter schlagen diese Systeme nachträglich noch an. Das merken Sie daran, dass der fragliche Umsatz wie von Geisterhand wieder verschwindet. Sollte das jedoch nicht passieren, sollten Sie den Umsatz bei dem Kreditinstitut reklamieren, das Ihnen die Kreditkarte ausgestellt hat (der kartenausgebenden Bank, auch Issuer genannt). Im Normalfall erhalten Sie dann Ihr Geld zurück. Erfragen Sie bei Ihrem Kreditinstitut auch, ob eine Sperre Ihrer Karte angeraten ist.

Experten erwarten, dass PAN Guessing und auch „friendly fraud“ mit der vollständigen Umsetzung der Zweiten Europäischen Zahlungsdiensterichtlinie (PSD2) seit März 2021 seltener werden. Durch die Einführung der Starken Kundenauthentifizierung bei Kreditkartenzahlungen – de facto eine besondere Form der Zwei-Faktor-Authentifizierung [2] – müssen befugte und unbefugte Kartennutzer bei Onlinebestellungen eine zusätzliche Hürde in Form von „3-D Secure“ nehmen (siehe unten). Das gilt insbesondere bei kostspieligeren Bestellungen.

Kartenprüfnummer

Ich will im Onlineshop mit Kreditkarte bezahlen, der Händler fragt aber die drei- respektive vierstellige Kartenprüfnummer (CVC, CVV, CID) nicht ab. Ist das seriös? Und wer haftet bei Schäden?

Grundsätzlich sind Händler nicht verpflichtet, die Kartenprüfnummer abzufragen. Teilweise lassen das selbst große Onlineshops sein. Allerdings machen die Kartenfirmen und die von ihnen lizensierten Händlerbanken (Acquirer) an dieser Stelle sehr strikte und zunächst einmal verbraucherfreundliche Vorgaben: Verzichtet ein Händler auf die Abfrage, muss er etwaige finanzielle Schäden durch Missbrauch selbst tragen. Das ähnelt den Vorgaben bei der physischen Karte: Dort zahlen Händler den Schaden selbst, wenn Ihre Kartenlesegeräte Zahlungen über den Magnetstreifen der Karte abwickeln, anstatt den viel sichereren Chip zu nutzen.

Weniger schön ist allerdings, dass sich Geschädigte sogar dann, wenn sie gar keine Kunden beim fraglichen Onlineshop oder Händler sind, selbst um die Umsatzreklamation bei ihrer kartenausgebenden Bank kümmern müssen. Hinzu kommt in manchen Fällen noch Ärger, wenn die Bank die Karte sicherheitshalber gesperrt hat.

Ausnahmen vom zweiten Faktor

Nach meinen Informationen ist die „Starke Kundenauthentifizierung“ mittlerweile Pflicht und ich muss Zahlungen per Kredit- oder Debitkarte im Internet durch einen zweiten Faktor absichern. Allerdings muss ich das dafür vorgesehene „3-D Secure“-Verfahren nicht bei jedem Einkauf durchlaufen. Ist das denn in Ordnung?

Mit hoher Wahrscheinlichkeit läuft alles korrekt ab. Die Zweite Europäische Zahlungsdiensterichtlinie (PSD2) erlaubt nämlich einige Ausnahmen von der Starken Kundenauthentifizierung (Strong Customer Authentication, SCA). Die Kreditkartenfirmen setzen die Richtlinie dafür mit dem sogenannten 3-D Secure als gemeinsamem Standard um. Bei Mastercard wird das Verfahren auch als „Mastercard Identity Check“ oder „Securecode“ bezeichnet, bei Visa „Verified by Visa“ oder „Visa Secure“, bei American Express „SafeKey“. Bei der Zahlung müssen Sie dafür beispielsweise eine TAN eingeben, die Sie per SMS, Smartphone-App oder über einen TAN-Generator erhalten, oder eine Push-Nachricht auf Ihr Smartphone bestätigen.

Ob eine der Ausnahmen zur Anwendung kommt, die die PSD2 erlaubt, entscheidet allerdings nicht die Kreditkartenfirma, sondern die Bank oder Sparkasse, von der Sie die Karte erhalten haben (Ausnahme: American Express). In Ihrem Fall sind vor allem zwei Fälle denkbar, die die PSD2 vorgesehen hat.

So müssen Sie sogenannte „Kleinbetragszahlungen“ häufig nicht mit einem zweiten Faktor absichern. Online sind dies Beträge bis zu 30 Euro. Erst wenn die Summe aller Kleinbetragszahlungen 100 Euro erreicht hat oder Sie die sechste solche Zahlung vornehmen, wird wieder eine SCA fällig. Welche der beiden Möglichkeiten zur Anwendung kommt, entscheidet die kartenausgebende Bank. Bei Zahlungen an der Ladenkasse sind es analog 50 und 150 Euro.

Bei Onlinezahlungen ist außerdem eine Ausnahme möglich, wenn der Geldfluss mit einem geringen Risiko verbunden ist. Dafür kennt die PSD2 die sogenannte Transaktionsrisikoanalyse. Damit sie greift, müssen die durchschnittlichen Betrugsraten des kartenherausgebenden Instituts des Kunden (Issuer) und der Bank des Händlers (Acquirer) bestimmte Schwellwerte unterschreiten. Dann sind Ausnahmen von der SCA bis maximal 500 Euro möglich. Voraussetzung dafür ist aber, dass es bei der obligatorischen Echtzeit-Betrugsprüfung durch die an der Zahlung beteiligten Parteien keine Auffälligkeiten gegeben hat.

Weitere Ausnahmen sind bei wiederkehrenden Zahlungen (Abos) möglich; außerdem können Sie Händler je nach Bank auf eine Positivliste setzen und von der SCA ausnehmen. Befindet sich der Händler außerhalb des Europäischen Wirtschaftsraums (EWR), zu dem die EU sowie Island, Liechtenstein und Norwegen zählen, ist keine SCA vorgeschrieben. Auch Bestellungen per Telefon oder E-Mail fallen nicht unter diese Vorgaben. Umgekehrt gilt: Hat ein Händler innerhalb des EWR kein „3-D Secure“ eingerichtet, wird die kartenausgebende Bank die Zahlung nicht freigeben.

Sicherheitsverfahren

Meine kartenherausgebende Bank bietet verschiedene Verfahren für die Starke Kundenauthentifizierung („3-D Secure“) an. Ist es möglich, mehrere davon parallel zu nutzen, welche Verfahren empfehlen Sie und was muss ich beachten?

Grundsätzlich entscheidet die kartenherausgebende Bank, welche Verfahren sie ihren Kunden für die Starke Kundenauthentifizierung (SCA) anbietet. Bei den meisten Banken müssen Sie das dahinterstehende „3-D Secure“-Verfahren vorher freischalten und erfahren so auch, welche Optionen Ihr Kreditinstitut anbietet. Derzeit sind uns dafür drei Wege bekannt.

Ähnlich wie beim Onlinebanking bietet die SMS aus unserer Sicht den relativ gesehen schlechtesten Schutz. Sie wird unverschlüsselt gesendet und kann durch einen Trojaner leicht abgefangen werden. Außerdem kommen Betrüger bei Mobilfunkdienstleistern relativ einfach an Zweit-SIM-Karten („SIM Swapping“).

Für den Alltag sicher genug ist eine App auf dem Smartphone, vorausgesetzt, Sie sichern diese mit einem guten Passwort. Schützen Sie außerdem das Gerät mit einer Displaysperre, die Sie nur durch eine PIN, ein Passwort oder aber Fingerabdruck oder Gesichtserkennung aufheben können. Wir raten davon ab, das Gerät zu rooten oder zu jailbreaken, weil ein Trojaner sich dann einfacher Administratorrechte verschaffen kann.

Prinzipbedingt am sichersten ist ein dediziertes, also nur für diesen Zweck geeignetes Extragerät, das sich nicht aus dem Internet manipulieren lässt. Beispiele sind TAN-Generatoren oder die „Best Sign“-Sticks der Postbank. Leider bieten viele Kreditinstitute diese Möglichkeit nicht an, selbst wenn sie für das Onlinebanking verfügbar ist.

Die PSD2 regelt nicht, welche Verfahren eine Bank oder Sparkasse anbieten und wie viele Kanäle sie parallel erlauben muss. Sind Sie mit der Auswahl nicht einverstanden, bleibt nur ein Wechsel zu einem anderen Kreditinstitut oder die Wahl einer anderen Bezahlart. Egal, welchen Weg Sie nutzen: Kontrollieren Sie bei der Freigabe der Zahlung, ob Ihnen Empfänger und Zahlungsbetrag korrekt angezeigt werden. Ist das nicht der Fall, brechen Sie die Zahlung ab. Geben Sie sie dennoch frei, könnte sich Ihr Kreditinstitut bei einer Umsatzreklamation querstellen und Sie bleiben auf dem Schaden sitzen. (mon@ct.de)