Die Sicherheit von Kredit- und EC-Karten-Daten wurde jüngst im Zusammenhang mit den Datenpannen bei Sony diskutiert. Ende April waren bei Kunden des Sony Playstation Networks Millionen von Kreditkartendaten abhanden gekommen. Laut Informationen von Spiegel Online ist es einer Computerfirma gelungen, die dreistellige Kartenprüfziffer innerhalb kürzester Zeit zu knacken.
Der Inhalt im Überblick
Zahlencodes erfüllen ihre Funktion kaum
An sich soll die Prüfziffer Verbraucher vor unbefugter Nutzung der Kreditkartendaten im Internet schützen. Im Online-Handel ist die Prüfziffer zusätzlich zum Gültigkeitszeitraum anzugeben. Hierdurch soll sichergestellt werden, dass die einkaufende Person auch tatsächlich im Besitz der Kreditkarte und nicht nur eines Einkaufsbeleges oder der bloßen Kartennummer ist. Die Ziffern sind nicht auf dem Magnetstreifen gespeichert und lassen sich auch nicht aus der Kreditkartennummer errechnen.
Ein Test der Computersicherheitsfirma SySS mit einem speziellen Programm zeigt nun aber, dass die Zahlencodes auf den Karten ihre Funktion kaum erfüllen.
Kreditkartenfirmen ignorieren Sicherheitslücke
Der Finanzbranche ist die Methode zum Knacken der Kartenprüfziffer und damit die erhebliche Sicherheitslücke seit langem bekannt. Dennoch wurde bislang keine Abhilfe geschaffen, da der Prüfcode bei vielen Bezahlvorgängen nicht mehr ausschlaggebend sei.
Sicherheit durch Passwort?
Vielmehr soll das inzwischen zusätzlich eingerichtete System, nämlich die Festlegung eines persönlichen Passwortes durch den Karteninhaber, die erforderlich Sicherheit bieten.
Um eine möglichst hohe Sicherheit vor Missbrauch der Kreditkartendaten durch zusätzliche Verwendung eines Passwortes zu erlangen, ist nicht nur der sichere Umgang mit Passworten sowohl im privaten als auch im geschäftlichen Bereich, sondern auch bereits dessen Gestaltung unter Berücksichtigung bestimmter Sicherheitsstandards unerlässlich.
CodeSure Karten befinden sich noch in der Testphase
Bekanntlich soll Ende des Jahres 2011 zudem eine neue Generation von Kreditkarten herausgebracht werden. Derzeit testet der Kreditkartenherausgeber Visa im Rahmen eines Pilotprojektes noch die neuen CodeSure Karten.
Diesesollen auf der Rückseite mit einem kleinen Computer und einer Tastatur ausgestattet werden, so dass sich der Karteninhaber bei Transaktionen mit seiner PIN dort anmelden und eine Einmal-TAN generieren lassen kann, die dann beispielsweise nur für eine Onlinezahlung oder Transaktion beim Online-Banking gilt. Auf diese Weise soll die Sicherheit der Kreditkarten erheblich verbessert werden.
Abzuwarten bleibt somit, ob die angekündigten Sicherheitsmerkmale halten, was in Aussicht gestellt wird. Dies wäre angesichts der unendlichen Geschichte von Datenpannen und die Möglichkeit des Missbrauchs von Kreditkartendaten wünschenswert. Zumindest bis dahin gilt die – wenn auch in einem anderen Zusammenhang geäußerte, aber allgemein geltende – Aussage des Facebook-Sicherheitschefs Max Kelly:
Es wird immer Schwachstellen geben, egal, wie sehr wir uns anstrengen. Und bei dem Versuch, Löcher zu stopfen, produzieren wir auch neue Lücken.