Wie Kriminelle Zahlungsdaten abgreifen und verwenden: Das Bestellen von Waren über das Internet ist für viele von uns mittlerweile ein alltäglicher Vorgang. So werden verschiedenste Güter wie Bücher, Schuhe bis hin zur kompletten Wohnungseinrichtung über das Web geordert. Meist funktioniert dies schnell und komplikationslos. Gefahren lauern allerdings dort, wo die Ware auch gleich online bezahlt wird, denn hierfür müssen Zahlungsdaten preisgegeben werden. In vielen Fällen wird hierbei gerne auf die bequeme Zahlung mittels Kreditkarte zurückgegriffen, wobei nicht die Karte selbst eingesetzt werden muss, sondern nur die Kartendaten an den Verkäufer übertragen werden.
Kartenbetrug noch immer ein massives Problem
Leider gelangen diese Zahlungsdaten nicht immer nur an den bestimmungsgemäßen Empfänger, sondern oft in die falschen Hände. Cyberkriminelle verschafften sich durch immer raffiniertere Methoden Zugriff hierauf, um diese Daten für eigene Zwecke zulasten der betroffenen Kunden einzusetzen – sprich: Diese um ihr Geld zu bringen.
Neue Studie der EZB – klassischer Kreditkartenbetrug wird verdrängt
Die Europäische Zentralbank (EZB) hat in diesem Frühjahr hierzu ihre nunmehr dritte Studie zum Kartenbetrug veröffentlicht. Hierin werden das Ausmaß und die Methoden des Betrugs mit Zahlungskarten innerhalb des sog, SEPA-Raumes (Single Euro Payments Area – Jeder aufmerksame Briefeleser seiner Bank sollte dies ja nun wissen) betrachtet, wobei sich die Studie auf das Jahr 2012 bezieht.
Im Ergebnis kommt die Studie dazu, dass die Anzahl der, mit durch Straftaten erlangten Kartendaten, durchgeführten Transaktionen gegenüber dem Jahr 2011 um insgesamt 14,8 % angestiegen ist. Ein besonderes Augenmerk gilt allerdings dem Betrug mit Zahlungskartendaten, welche über das Internet „abgefischt“ wurden und nicht etwa auf herkömmlichem Wege mittels des Kopierens der Karte bei einem Bezahlvorgang im Geschäft. Der Anstieg von betrügerischen Handlungen dieser bei „card-not-present“ (CNP) Zahlvorgängen eingesetzten Daten betrug gegenüber 2011 laut der Studie satte 60%. Der Betrug bei sogenannten „point-of-sale“ Zahlungen, bei welchen Karten tatsächlich physisch präsent sein müssen, spielt zunehmend nur noch in Ländern außerhalb des SEPA eine Rolle, vor allem aufgrund geringerer Sicherheitsstandards in Verkaufsstellen.
Was kann, was muss getan werden?
Eine Ursache für den Anstieg an betrügerischen Handlungen bei CNP Zahlungen ist sicher darin zusehen, dass diese Zahlvorgänge insgesamt zugenommen haben und damit eine höhere Grundgesamtheit vorliegt. Weiterhin wird Cyberkriminellen die Arbeit oft durch die relativ überschaubaren Sicherheitsvorkehrungen beim Gebrauch von „klassischen“ Kreditkarten erleichtert. In der Regel ist für das Auslösen eines Bezahlvorgangs nur die Kreditkartennummer selbst, sowie gegebenenfalls die auf der Karte vermerkte Sicherheitskennziffer erforderlich. Hat ein Krimineller die Karte einmal in der Hand gehabt, kann er also direkt beide Daten abgreifen und damit alle Sicherheitsmechanismen umgehen. Weiterhin bestehen Risiken durch den ungewollten Abfluss von Zahlungsdaten bei Unternehmen und den Betroffenen selbst. Dies ist besonders gefährlich, wenn das verarbeitende Unternehmen die Sicherheitskennziffer unzulässigerweise speichert oder eine Schadsoftware diese Kennziffer zusammen mit weiteren Merkmalen während der Onlinetransaktion beispielsweise aus dem RAM liest.
Um Letzterem vorzubeugen bedarf es der Einrichtung effektiver IT-Sicherheitsmechanismen bei Onlinehändlern und Zahlungsdienstleistern, welche die Kreditkartendaten der Betroffenen speichern. Die EZB verweist in ihrer Studie diesbezüglich auf ein noch im Entwurf befindliches Papier des „SecuRe Pay“ Forums, welches diverse Maßnahmen zur Verbesserung der Sicherheit von Zahlungen im Internet enthält. Die Empfehlungen lassen sich im Wesentlichen in die Kategorien „Allgemeine Kontroll- und Sicherheitsmaßnahmen“, „Spezielle Kontroll- und Sicherheitsmaßnahmen für mobile Zahlungen“ und „Sensibilisierung von Verbrauchern“ unterteilen.
Essentiell für die Zahlungssicherheit im Internet ist daher insbesondere ein angemessenes IT-Sicherheitsmanagement bei allen Unternehmen, welche am Zahlungsverkehr im Internet teilnehmen. Auf die entsprechenden Bestrebungen von Seiten des Gesetzgebers hatte ich bereits in meinem letzten Beitrag an dieser Stelle hingewiesen.
Was kann ich als Verbraucher tun?
Auf die Einrichtung von Sicherheitsmaßnahmen zur Abwehr von Cyberangriffen auf Unternehmen hat der einzelne Verbraucher so gut wie keinen Einfluss. Letztendlich muss er darauf vertrauen, dass ein Unternehmen die Sicherheit seiner Zahlungsdaten gewährleistet. Aufgrund der immer präsenter werdenden Risiken sollte jedoch zunehmend auf den Einsatz von Zahlungsmitteln zurückgegriffen werden, welche mehr Sicherheit bieten als jene, die beim Einsatz der klassischen Kreditkarte zum Einsatz kommen.
Weiterhin ist denkbar, dass aufgrund der Sicherheitsbedenken alternative Zahlungsmittel an Bedeutung gewinnen werden. Bitcoins sind nur ein Beispiel. Die weitere Entwicklung bleibt abzuwarten. Sicherheitsfragen werden sich aber auch hier stellen, denn die Cyberkriminellen schlafen nicht.