Kreditkarte gehackt«Ich war noch niemals in Nepal»

Wurden meine Kreditkartendaten im Internet gestohlen? Bild: Getty Images

Selbst wer mit seiner Kreditkarte vorsichtig umgeht, kann es treffen: Kreditkartenmissbrauch. Wie kann das passieren? Und wer haftet dafür?

von Elio Bucheraktualisiert am 2017 M04 07

Was meine Kreditkarte angeht, bin ich ein vorsichtiger Mensch. Ich halte mich an die Sicherheitsbestimmungen, kenne die Gefahren im Internet und nutze die Karte verhältnismässig selten. Wenn ich irgendwo unsicher bin, zahle ich lieber mit Bargeld oder auf Rechnung.

Über ein Jahrzehnt lang ging das gut – jetzt hat es mich aber doch auch noch erwischt: Meine Kreditkarte wurde gehackt.

Merkwürdige Fehlermeldung, merkwürdige SMS

Bemerkt habe ich es an einem Dienstagabend auf dem Sofa. Wie schon oft zuvor hatte ich in meinem Online-Shop des Vertrauens die gewünschten Bücher in den Warenkorb gelegt, meine Lieferadresse bestätigt und die Visa-Karte als Zahlungsmittel ausgewählt – bis auf einmal eine noch nie dagewesene Fehlermeldung aufploppt: «Auf Ihre Kreditkarte kann nicht zugegriffen werden. Bitte wenden Sie sich an Ihren Anbieter.»

Ein mulmiges Gefühl macht sich breit, war doch nachmittags eine auf den ersten Blick merkwürdige SMS mit Absendernummer 1 eingetroffen: «Zu Ihrem Schutz möchten wir Buchungen auf Ihrer Kreditkarte prüfen. Bitte rufen Sie uns über die Telefonnummer auf der Kartenrückseite an.»

SMS vom Card Center

Der umgehende Anruf um 22 Uhr beim Kundenservice bringt rasch Klarheit.

- «Haben Sie eine Zusatzkarte für ein anderes Familienmitglied, die auf dasselbe Kreditkartenkonto läuft?»

- Nein.

- «Sie sind gerade nicht im Ausland unterwegs, oder?»

- Ähm, nein. Warum?

- «Dann wurde Ihre Karte kopiert. Sie wurde gestern in Nepal benutzt.»

Auf Spurensuche

Wie konnte das passieren? Der letzte Auslandaufenthalt liegt schon einige Monate zurück. In Asien? Noch nie gewesen. Die Visa-Karte in der Schweiz für Offline-Einkäufe oder Bargeldbezüge gebraucht? Einmal vor einigen Wochen in einem seriösen Restaurant in Zürich, ansonsten nie. Zuletzt online mit der Kreditkarte eingekauft? Tickets für Flug, Zug und Konzerte, sowie Bücher oder Schallplatten bei vertrauenswürdigen Websites – wie immer.

Dass die kopierte Kreditkarte in Asien verwendet wurde, deutet auf das sogenannte «Cloning» hin. Bei dieser Betrugsmethode werden Dateninhalte dupliziert und danach für Bezahlvorgänge verwendet. Sie ist aber nur dann erfolgreich, wenn die Sicherheitsstandards bei der Bezahlung mit einer Kreditkarte zu niedrig sind oder gar ignoriert werden. Dies ist insbesondere in Asien, Süd- und Nordamerika der Fall.

Wer kommt nun für den Schaden auf?

«Leider können wir den Ursprung des Betrugs nicht eruieren», schreibt mir mein Kreditkartenanbieter. Das beunruhigt mich etwas. Ich weiss ergo nicht, ob ich bei einer meiner Bestellungen im Internet, beim Restaurantbesuch oder einem Einkauf im Ausland unvorsichtig war.

Umso beruhigender ist allerdings, dass nur in den wenigsten Fällen der Karteninhaber für den entstandenen Schaden aufkommen muss – falls er gegen die Sorgfaltspflicht verstossen hat.

Dies tut er zum Beispiel, wenn er ein Post-It mit dem PIN-Code auf seine Kreditkarte klebt und diese unbeaufsichtigt in einem nicht verschlossenen Auto liegen lässt. Oder wenn der Inhaber sein Passwort für Einkäufe im Internet («3D Secure») – beispielsweise über ein Phishing-E-Mail – weitergibt.

Bestandteil der Sorgfaltspflicht ist auch, die Kreditkartenabrechnungen zu prüfen und fehlerhafte Bezüge innerhalb von 30 Tagen schriftlich zu beanstanden. Entsprechende Meldeformulare können bei den Kreditkartenanbietern online heruntergeladen werden.

Alles unter Kontrolle

Im «Fall Nepal» waren sämtliche Kontrollmechanismen erfolgreich: Ein Tag nach der Warn-SMS lag ebenfalls noch ein Brief des Kundencenters mit derselben Bitte um Rückruf im Briefkasten. Und die 700 Franken, die in Nepal illegal dem Kreditkartenkonto belastet worden waren, übernahm nach erfolgter Beanstandung der Kreditkartenanbieter. 

Kreditkarte: Das verlangt die Sorgfaltspflicht

  • Karte sorgfältig aufbewahren
     
  • Karte im Falle eines Verlusts umgehend direkt beim Kreditkartenanbieter sperren lassen
     
  • PIN und das 3D-Secure-Passwort geheim halten (nicht aufschreiben oder weitergeben)
     
  • Kreditkartenabrechnungen prüfen und fehlerhafte bzw. missbräuchliche Bezüge innerhalb von 30 Tagen schriftlich beanstanden


Grundsätzlich gilt: Wer einen bewussten Umgang mit Karte und Kartendaten pflegt, braucht sich keine Sorgen zu machen.

Wie häufig kommt es zu Kreditkartenmissbrauch? Wie wird der Betrug erkannt?

Aus Sicherheitsgründen geben die Kreditkartenanbieter nicht bekannt, wie viele Warn-SMS und –briefe täglich versandt werden und bei wie vielen davon effektiv ein Missbrauch zugrunde liegt. Mithilfe moderner Überwachungssysteme und Prävention könne man aber die Betrugsfälle konstant im Promillebereich aller Kreditkartentransaktionen zu halten, heisst es beim Kreditkartenherausgeber Viseca.

Dabei kommt eine Sicherheitssoftware zum Einsatz, die reale Betrugsmuster umfangreich analysiert und dank welcher Betrugsversuche mittlerweile in Echtzeit erkannt und zum Teil gar umgehend blockiert werden können. 

So können Sie sich vor Kreditkartenmissbrauch schützen

Ländereinstellungen

  • Sie können die Verwendung Ihrer Kreditkarte in bestimmten Ländern standardmässig einschränken. Dadurch werden Kopien Ihrer Karte wertlos – der Diebstahl von Ihrem Konto im Ausland verunmöglicht. Einige Anbieter nehmen dieses sogenannte Geoblocking automatisch vor, bei anderen muss es beantragt werden.
     
  • Tipp: Prüfen Sie vor jeder Reise in ein Land ausserhalb Europas, ob Ihre Karte dort einsetzbar ist.

 

Ansprechpartner notieren

  • Notieren Sie Ihre Kreditkartennummer (12- bis 16-stellig, auf der Vorderseite aufgedruckt) und die Telefonnummer des Finanzinstituts auf einem Zettel oder dem Smartphone, damit Sie im Notfall die Karte umgehend sperren lassen können.

 

Im Internet

  • Kaufen Sie online nur bei vertrauenswürdigen Firmen ein.
  • Löschen Sie E-Mails unverzüglich, die Sie auffordern, vertrauliche und persönliche Daten anzugeben. Es könnte sich um Phishing handeln.

 

In Geschäften oder Restaurants

  • Behalten Sie Ihre Karte immer im Auge und lassen Sie Angestellte nicht mit der Karte in einen anderen Raum gehen.
     
  • Kontrollieren Sie immer den zu bezahlenden Betrag, bevor Sie den Einkauf bestätigen.
     
  • Kontrollieren Sie die Belege und bewahren Sie sie auf.

 

PIN schützen

  • Schreiben Sie Ihren PIN-Code niemals auf Ihre Karte oder einen Zettel, den Sie zusammen mit der Karte aufbewahren.
     
  • Vermeiden Sie offensichtliche Zahlenkombinationen wie Geburtsdaten oder Autonummern.
     
  • Behalten Sie den PIN-Code für sich.
     
  • Geben Sie den PIN-Code immer verdeckt ein.

 

Am Bancomat

  • Lassen Sie sich beim Bargeldbezug nicht ablenken.
     
  • Falls die Kreditkarte vom Automaten eingezogen wird, informieren Sie unverzüglich Ihren Kreditkartenanbieter und lassen die Kreditkarte sperren.
     
  • Wenn Ihnen am Bancomat etwas verdächtig vorkommt (z.B. ein wackliger Aufsatz), benutzen Sie ihn nicht und melden Sie Ihre Beobachtung der Bank oder der Polizei.  


Quelle: card-security.ch (Informationsplattform der Polizei)