Safety first – Mit sicheren Kreditkarten in den Sommer

Urlaubszeit, Reisezeit, Entspannungszeit. Wir lassen es lockerer angehen, auch wenn es ums liebe Geld geht. Damit das auch so bleibt, geben die Kreditkarten-Unternehmen alles, um die Welt des bargeldlosen Bezahlens fürs uns so sicher wie möglich zu machen. Wir fassen für Sie zusammen, was es an Sicherheits-Features aktuell gibt und wir wagen einen kleinen Ausblick in die Kreditkarten-Zukunft.

Ihnen geht es sicherlich ähnlich: Sind Sie im Urlaub, achten Sie nicht so sehr aufs Geld. Natürlich steht für viele eine Reise an. Einzelne Rechnungen – in Restaurants zum Beispiel – fallen etwas höher aus als sonst. Man gönnt sich Extras, die sonst vielleicht nicht sein müssen.

Für Kreditkarten-Firmen wie MasterCard, VISA oder American Express bedeutet diese Zeit das Gegenteil von Entspannungszeit. Verstärkte Anstrengungen werden unternommen, um die wesentlich größeren Zahlungsströme so sicher wie möglich zu halten. Eine ganze Reihe an Hardware und Software Komponenten, Strategien und Services kommen dabei zum Einsatz. Im Folgenden schauen wir uns die einzelnen Aspekte an, geben eine Übersicht über die drei großen Kreditkartenanbieter und riskieren einen Blick in die Zukunft.

Surftipp: 114 Kreditkarten im Vergleich - Jetzt Konditionen checken!

Hardware

Magnetstreifen

Auf dem Magnetstreifen sind drei wesentliche und statische Merkmale gespeichert: Die Kreditkartennummer, das Verfalldatum der Kreditkarte und ein dreistelliger Sicherheitscode (sog. CVC-Code). Statisch sind die Daten, da sie einmal auf dem Magnetstreifen gespeichert werden und sich dann nicht mehr ändern.

EMV Chip

Die Bezeichnung EMV Chip rührt von den entwickelnden Unternehmen her: Europay, MasterCard und Visa. Auf dem Chip sind dieselben Informationen gespeichert wie auf dem Magnetstreifen. Dazu kommen noch weitere Daten. So werden bei jeder Transaktion dynamische und einzigartige Daten erzeugt die zusätzlich verschlüsselt werden. Der Chip hat eine große Verbreitung in Europa, Asien und Kanada. Allein 80% der deutschen Visa Karten haben den EMV Chip bereits verbaut. Man findet ihn noch recht wenig in USA, bis Ende 2015 soll er aber auch dort flächendeckend im Einsatz sein.

Visa CodeSure

Dieses Sicherheits-Feature dürften viele noch nicht kennen: Auf der Karte selbst findet sich auf der Rückseite ein kleines Display sowie ein Zahlenfeld (vgl. Beitragsbild oben links). Bezahlen Sie mit der Karte im Internet werden Sie nach einem Code gefragt. Um den zu generieren nutzen Sie das Zahlenfeld und geben Ihre PIN ein. Auf dem kleinen Display erscheint dann der Code, mit dem Sie die Bezahlung autorisieren. Die Sache funktioniert analog zu einem TAN-Generator, der vielleicht durch online-Banking bekannt ist.

RFID Chip

Die Abkürzung RFID (engl. radio-frequency identification) bezeichnet eine Technologie zur Datenübermittlung via Funkwellen. Die Reichweite beträgt je nach Chip zwischen einem Zentimeter und einem Meter. Ältere Modelle versendeten die Daten noch als Reintext, also ohne jegliche Verschlüsselung. Schon bald aber wurde das geändert und der Sicherheitsstandard sah eine 128 Bit Verschlüsselung vor. Dabei ist ein Gerät aktiv (Sender), ein anderes passiv (Empfänger).

Die Idee war, kontaktloses Bezahlen zu ermöglichen. Das dient einerseits dem Komfort der Kartennutzer, gleichzeitig ist das aber euch ein Mittel gegen so genanntes Skimming. Beim Skimming wird ein Lesegerät manipuliert, um sensible Daten zu kopieren. Kommt das Gerät nicht Im Bereich der Kreditkarten hat der RFID Chip seinen Zenit überschritten. Moderner, leistungsfähiger und sicherer ist der NFC Chip.

Surftipp: Finden Sie die VISA, die am besten zu Ihnen passt

NFC Chip

(Near Field Communication) zum kontaktlosen Austausch von Daten per Funktechnik über kurze Strecken von wenigen Zentimetern. In aller Regel dürfen es nicht mehr als 10 Zentimeter sein, manchmal auch nur vier. Die NFC Geräte nehmen sehr schnell Kontakt zueinander auf. Eine erstmalige Verbindung kann innerhalb einer zehntel Sekunde etabliert werden. Daher eignet sich NFC deutlich besser für kontaktloses Bezahlen als andere Technologien wie W-LAN (WiFi) oder Bluetooth. Außerdem muss bei letzteren Standards die Verbindung extra manuell hergestellt und bestätigt werden.

Bei der NFC-Technologie reicht die bloße physische Nähe aus. Die relativ geringe Datenübertragungsrate von maximal 424 kbit/s ist kein Hindernis für das kontaktlose Bezahlen. Zusätzlicher Vorteil der NFC ist, dass der Chip in beide Richtungen funktioniert, also als Sender wie auch als Empfänger eingesetzt werden kann. Wir kommen später darauf zurück.

Chip&PIN Verfahren

Mehr und mehr geht die Kreditkartenindustrie weg von der Unterschrift und hin zur PIN. Die Gründe liegen auf der Hand. Eine Unterschrift ist sehr schnell gut genug gefälscht, dass sie dem flüchtigen Blick eines Mitarbeiters im Restaurant oder im Kaufhaus standhält. An eine PIN zu kommen, ist für Betrüger deutlich schwieriger.

Hologramme auf Karten

Sie sind eine technisches Add-On ohne eigentliche Funktion. Betrügern soll damit das Nachahmen im Nachbau einer Kreditkarte erschwert werden. Bei online Missbräuchen spielt dieses Detail natürlich keine Rolle.

MasterCards Buchstaben in UV-empfindlicher Farbe

Wussten Sie, dass auf jeder MasterCard die Buchstaben „M“ und „C“ mit einer UV-empfindlichen Farbe aufgedruckt sind? Sie leuchten im Schwarzlicht. Viele Kassen haben eine kleine Schwarzlicht-Lampe in der Nähe um größere Geldnoten auf Echtheit zu überprüfen.

Surftipp: Welche MasterCard entspricht Ihren Wünschen?

Hochprägung der Karteninformationen

Früher wie heute ein elementares Unterscheidungsmerkmal zwischen einer Prepaid-Karte und einer Debit-Karte (normale Kreditkarte). Buchstaben und Ziffern so akkurat und leserlich hochzuprägen gelingt ebenfalls nicht jedem Fälscher.

MasterCard PayPass und Visa payWave

Bei kleineren Beträgen (ja nach Bank oder Sparkasse bis etwa 25 €) bezahlen Sie, indem Sie die Karte vor ein Lesegerät halten- ohne PIN oder Unterschrift. Der Abstand darf dabei nicht mehr als 10 Zentimeter betragen. In aller Regel verwenden Sie heute die modernere NFC Technologie, RFID Chips dürften in unseren Breiten kaum noch zu finden sein.

Ein Vorteil, wie oben bereits angedeutet, ist die bilaterale Kommunikationsfähigkeit des NFC Chips. Viele Smartphones besitzen bereits ein NFC Modul, so dass Sie Ihre Kartendaten auf Ihr Handy spielen und dann dieses Gerät zum Zahlen nutzen können.

Testsieger Kostenlose-Kreditkarte Banner

Software

Verified by Visa und MasterCard SecureCode

Wenn Sie online einkaufen schaltet sich eine Abfrage zwischen Ihren Rechner und den Online-Shop. Diese Abfrage etabliert eine SSL verschlüsselte Verbindung mit Ihrer Bank. Der Bank-Rechner erfragt dann ein Kennwort, das nur Sie und Ihre Bank kennen. Stimmen die eingegebenen Daten, autorisiert Ihre Bank die Transaktion und Ihre Bezahlung ist getätigt.

American Express SafeKey

Teilnehmer dieses Systems brechen den Kommunikationskanal auf und erhöhen so die Sicherheit. Wenn Sie einen online Einkauf bei diesen Händlern tätigen, wird Ihnen automatisch eine TAN zugeschickt, um diese Transaktion zu bestätigen. Diese TAN erhalten Sie über SMS und/oder E-Mail. Geben Sie nun die TAN innerhalb von 15 Minuten ein, ist der Kauf getätigt. Gleichzeitig ist diese Feature auch eine sehr willkommene Überwachungsfunktion. Erhalten Sie unerwartet eine SMS oder ein E-Mail mit einer TAN, wissen Sie, dass jemand unerlaubt mit Ihrer Kreditkarte einzukaufen versucht.

SurftippSie haben sicherlich bemerkt, wer mit wem kooperiert. Kein Wunder also, dass American Express – sogar vor Gericht – den Vorwurf erhebt, Visa und MasterCard bilden ein Duopol. Wir berichteten am 10. Juli 2014

CVV2 und Kreditkartennummer

Der dreistellige Sicherheitscode CVV2 (auch CVC-Code) befindet sich auf der Rückseite der Kreditkarten und stellt sicher, dass bei Online-Einkäufen die Karte dem Käufer auch tatsächlich vorliegt. Hinter der Kreditkartennummer steckt ein Algorithmus, der die Zahlenfolge berechnet. Nur wer diesen Code kennt, kann eine valide Kreditkartennummer herstellen. Allerdings erfüllt ein Foto der Kreditkarte denselben Zweck und ist wesentlich leichter zu bewerkstelligen. Faktisch bieten daher die Kreditkartennummer auch in Kombination mit der CVV2 keinen hochwertigen Schutz mehr.

MasterCard MasterPass

Ein digitaler Geldbeutel mit wichtigen Informationen, das ist MasterPass. Sie speichern Ihre Bezahlinformationen sowie Ihre Lieferadresse(n) in diesem digitalen Geldbeutel und nutzen ihn künftig bei Ihren online Einkäufen. Drei Sicherheits-Systeme sichern dabei Ihre Daten: ein Passwort auf eine Frage, die SSL verschlüsselte Datenübertragung zum online Händler sowie auf Wunsch eine TAN, die Ihnen per SMS zugeschickt wird.

Strategien

Der global geltende Sicherheitsstandard Payment Card Industry Data Security Standard (PCI DSS) beschreibt mit 12 Mindestanforderungen, welche Pflichten Händler und Dienstleister im Kreditkartengeschäft erfüllen müssen. Jeder Teilnehmer am bargeldlosen Zahlungsverkehr mit Kreditkarten verpflichtet sich, diesem Regelwerk nachzukommen. Damit bestätigen sie, dass sie den Richtlinien für einen sichereren Zahlungsverkehr nachkommen. Bereits 2004 wurden diese Standards entwickelt. Die Basis dazu lieferten

  • Visa-Account-Information-Security-Programm
  • MasterCard-Site-Data-Protection-Programm
  • American Express Security Operating Policy
  • Discover Information Security and Compliance
  • JCB-Sicherheitsregeln

Eine Weiterentwicklung fördert Visa Europe durch die Einführung der sogenannten Data Field Encryption.

Weitere Strategien sind uns heute Selbstverständlichkeiten wie zum Beispiel

  • die Überprüfung der Unterschrift,
  • online Abfrage der Bonität,
  • PIN-Autorisierung,
  • Trennung der Kommunikationskanäle (TAN per SMS/E-Mail )

Das alles ist aber noch nicht genug. Die Kreditkartengesellschaften gehen deutlich weiter und machen große Fortschritte. Das hehre Ziel dabei ist: Kreditkartenbetrug zu erkennen und zu verhindern, noch bevor er entsteht. Aber wie machen die Unternehmen das? Zum Beispiel durch

GEO Tagging

hilft dabei den Ort der Zahlung zu lokalisieren. Überraschende Zahlungen im Ausland könnten ein Alarmsignal auslösen.

Analyse der Zahlungsströme

1,8 Mrd. Transaktionen pro Monat MasterCard bewegt allein MasterCard. Diese gigantischen Daten-Mengen können mit heutigen Mitteln immer besser analysiert werden.

Info

Was wird die Zukunft bringen?

In nicht allzu ferner Zukunft werden die Kreditkartengesellschaften wohl weiter auf ihre technische Innovationskraft setzen. Sieg durch technische Überlegenheit könnte auf ihren Fahnen stehen. In wie weit so die ebenfalls sehr findigen Personen mit kriminellem Potential in Schach gehalten werden können, wird man sehen müssen.

Nehmen wir das Beispiel der manipulierten Geldautomaten. Letztes Jahr wurden zwischen Januar und Ende Juni noch 251 Maschinen mit Skimming-Teilen bestückt und 8,4 Millionen Euro Schaden verursacht. In der ersten Jahreshälfte 2014 waren es nur noch 84 Automaten und die Schadensumme durch Kreditkartenbetrug betrug nur noch 1,4 Millionen Euro, so das Hamburger Abendblatt. Ein sehr deutlicher Rückgang.

Dieses Beispiel zeigt uns, dass es ein ewiges Jo-Jo-Spiel ist: Die Kreditkartengesellschaften bringen eine neue Sicherheitstechnologie an den Start und findige Kriminelle setzen alles daran, das neue Feature auszuhebeln. Und wieder wird mit verbesserter Technik dagegen gehalten und das Spiel beginnt von vorn. Ist man selbst nicht betroffen könnte man diesem Hin-und-Her schon beinahe amüsiert zusehen. Vielleicht muss man aus sportlicher Sicht sogar beiden Seiten Respekt für Ihr Können zollen. Das soll Kreditkartenbetrug allerdings keineswegs verharmlosen.

Gibt es schon neue Features am Horizont?

Allerdings, die gibt es. Und so fern ist der Horizont nun wirklich nicht mehr. Folgende Dinge werden bereits angedacht, wie auch das obige Video von MasterCard sehr schön zeigt:

Device Metrics, also spezifische Daten eines mobil einsetzbaren Gerätes (Smartphone, Tablet, etc.) werden zur Identifikation hinzugezogen. Ebenso können biometrische Daten Teil der Authentifizierung werden. Denken Sie an Fingerabdruck-Scanner oder Stimmen sowie Gesichtserkennung.

Alles nur Science Fiction? Nicht wirklich. Wir berichteten bereits am 10. Juli. Die Firma SmartMetric entwickelt Fingerabdruck-Scanner für Plastikkarten und bezichtigt Visa und MasterCard der Patentverletzung. Dieser Artikel zeigt übrigens auch zwei Videos, wie RFID und NFC Chips bereits gehakt wurden.

Was ließe sich noch andenken?

Überlegt man sich, dass die Kreditkarte als solches immer technischer wird, mittlerweile sogar senden und empfangen können, eine eigene Stromversorgung haben und mit Minicomputern bestückt werden, sehe ich zwei Entwicklungsrichtungen, wovon eine nachhaltiger ist, als die andere.

Erste Zukunfts-Idee:

Die Karten werden noch technischer. Wir werden in Zukunft vielleicht von SmartCards sprechen. Der Minicomputer wird leistungsfähiger und Sicherheitsstandards werden komplizierter generiert. Funksignale werden stärker verschlüsselt, vielleicht auch durch die Nutzung anderer Frequenzen oder Übertragungs-Techniken. Staatliche Kontrollen könnten den Zugang zu solchen Sende- und Empfangseinheiten erschweren, so wie es auch beim Papier für Banknoten ist. Ein CCD Chip erfasst unsere biometrischen Daten und vermisst unser Gesicht in 3D. Ebenso das Kartenterminal, das die Daten abgleicht. Natürlich passiert das alles ohne jegliche zeitliche Verzögerung. Alles gut und schön. Das bedeutet im Ergebnis aber Folgendes:

  1. Es steigen die Produktionskosten einer jeden Karte
  2. Komplexere Systeme werden störanfälliger und fragiler. Als Gedanke: Wasserfestigkeit, auch wenn die Kreditkarte Kratzer und andere starke Gebrauchsspuren hat
  3. Die Karten bieten einen sehr beschränkten Platz. Irgendwann stößt die Technik an eine natürliche Grenze

Zweite Zukunfts-Idee:

Vielleicht wechseln die Karten ihre Form und Funktion. Man stelle sich eine Lösung in der Größe einer SIM-Karte vor, die in das Smartphone oder in ein anderes mobiles Gerät eingeschoben werden kann. Die Karte nutzt die high-end Funktionen einer Technik, die bereits am Markt ist, anstatt das Rad neu zu erfinden. Produktionskosten werden gesenkt und gleichzeitig die Palette an technischen Möglichkeiten schon allein aus dem Platzaspekt heraus ver-x-facht.