«Das Prinzip der Kreditkarte wurde nie überarbeitet»

Ohne grossen Aufwand konnten die Betrüger, die heute in Bellinzona vor Gericht stehen, die Kreditkarteninformationen Tausender Leute klauen. Wieso es so einfach ist, solche Daten zu klauen und weshalb diese Sicherheitslücken nicht überarbeitet wurden, erklärt Digitalexperte Reto Widmer.

Frau hält Kreditkarte in der Hand, im Hintergrund Computer.

Bildlegende: Heute stehen drei Hacker vor Gericht, die mit Kreditkartenphishing in der Schweiz über 3,5 Millionen Franken erbeuteten. Keystone

Über 133'000 Kreditkarten-Daten konnten die Phishing-Beschuldigten, die heute in Bellinzona vor Gericht stehen, klauen. Ihre Beute: Allein in der Schweiz rund 3,5 Millionen Franken. Welche Sicherheitslücken es bei Kreditkarten gibt und wie man sich vor Phishing-Attacken schützen kann, erklärt SRF Digitalredaktor Reto Widmer.

SRF News: Was macht Kreditkarten so anfällig?

Reto Widmer: Das Problem bei Kreditkarten ist, dass in vielen Fällen die reinen Nummern auf der Karte reichen, um mehrmals online zu bezahlen. Eine zusätzliche Sicherheitshürde, wie zum Beispiel ein Passwort, fehlt meistens. Das Prinzip der Kreditkarte stammt aus dem letzten Jahrhundert und ist nie komplett über den Haufen geworfen worden. Bei der Verbreitung auf die digitale Welt kommt es wohl auch deshalb zu diesen Sicherheitslücken.

Weshalb wird das System nicht überarbeitet?

Die Kreditkartenunternehmen bewegen sich auf einem schmalen Grat: Sie sollen Sicherheit gewähren, aber auch bequem zu handhaben sein. Wenn es zu aufwendig wird, mit der Kreditkarte zu zahlen, wechsle ich auf ein anderes Zahlungssystem. So verliert die der Kreditkartenherausgeber Kunden, Bearbeitungsgebühren und letzten Endes wohl mehr Geld als durch Phishing-Attacken.

«  Eine Umstellung des Systems wäre viel teurer. »

Gibt es denn gar keine Identifikationsüberprüfungen?

Doch, es ist einiges gegangen. Die Sicherheitsstandards variieren allerdings stark je nach Unternehmen. Bei einigen Kreditkarten muss man einen persönlichen Code eingeben, der z.B. via SMS zugeschickt wird. Am meisten läuft im Hintergrund: Die Kreditkartenfirmen kontrollieren das Zahlungsverhalten von Kunden und rufen diese an, wenn dieses stark abweicht. Wenn ich also plötzlich in Finnland eine Prepaidkarte mit meiner Kreditkarte aufgeladen haben soll, auch wenn in meinem Profil nichts darauf hinweist, dass ich regelmässig in dieses Land reise, läuten die Alarmglocken.

Weshalb halten die Kreditkartenunternehmen an ihrem System fest?

Es hat sich weltweit bewährt. Im Fall, der heute vor Gericht steht, wurde jeder Schweizer Kreditkartenbesitzer im Schnitt um 1‘000 Franken betrogen. Dieses Geld ist gedeckt mit den Kreditkartengebühren und dem Jahresbetrag für die Karte. Eine massive Umstellung des ganzen Kreditkartensystems, bei der das Kreditkartenunternehmen viele Kunden verlieren könnte, würde viel teurer zu stehen kommen.

Wo besteht das grösste Risiko für Kreditkartenbenutzer und –banken?

Dort, wo es reicht, die Kreditkartennummer anzugeben, um zu bezahlen. Das gibt es immer noch in Online-Shops. Viele von diesen haben keine zusätzlichen Sicherheitshürden für die Kreditkartenzahlung. Hier könnten die Kreditkartenbetreiber die Shops verpflichten, Zusatzidentifikationen einzubauen. Dann könnten Phishing-Betrüger nicht mehr mit gestohlenen Kreditkarteninformationen online bezahlen.

Wie kann ich mich selbst vor solchen Phishing-Attacken schützen?

Die Grundregel ist: Niemals die Kreditkarteninformationen herausgeben. Schon gar nicht per E-Mail. Gerade wenn diese mit meinen Emotionen spielt, also entweder droht, dass ich kein Geld mehr beziehen kann oder dass ich etwas gewonnen habe. Keine Bank oder offizielle Stelle würde bei irgendetwas, das mit Sicherheit zu tun hat, per E-Mail korrespondieren, sondern per Post.

Was ist «Phishing»?

«Phishing» setzt sich zusammen aus den Worten «Password», «Harvesting» (ernten) und «Fishing» (fischen). Beim Phishing versuchen die Betrüger, über E-Mails, gefälschte Webseiten oder Kurznachrichten an die Bankdaten eines Benutzers zu gelangen und Konten zu plündern oder mit gestohlenen Kreditkarteninformationen im Internet zu shoppen.