Sicherheit
Kreditkarten: Prüfnummern sind leicht zu hacken
von
Thorsten
Eggeling - 10.08.2012
Die Kreditkartenindustrie hält ihre Karten für sicher. Schließlich gibt es die dreistellige Prüfnummer, die den Missbrauch verhindern soll. Aber auch die Prüfnummern lassen sich leicht herausfinden, wie Experten jetzt bewiesen haben.
Wer mit einer Kreditkarte online einkaufen will, benötigt den Namen des Kreditkarteninhabers, die Kreditkartennummer, das Ablaufdatum und meist auch die drei Prüfziffern von der Rückseite der Karte (CVC/CVV-Nummer). Händler, die auf die Prüfnummer verzichten, tragen bei Missbrauch selbst das Risiko. Wurde die Prüfnummer dagegen abgefragt und kommt es trotzdem zu einer missbräuchlichen Verwendung, kann das Kreditinstitut eine grob fahrlässige Verletzung der Verpflichtungen unterstellen. Dann trägt unter Umständen der Kunde das Risiko.
Report München hat zusammen mit Sicherheitsexperten untersucht, wie gut die dreistellige Prüfnummer die Kreditkarteninhaber tatsächlich schützen kann. Zuerst haben die Experten mit den bereits bekannten Methoden die Nummern von NFC-Kreditkarten ausgelesen (Near field communication). Dieser Aufwand ist aber eigentlich nicht nötig, da Kreditkartennummern ohnehin häufig genug in die Hände Unbefugter gelangen, etwa bei Einbrüchen in Online-Shops. Für sich genommen stellt das kein Problem dar, weil sich die Prüfnummern auf diese Weise nicht ermitteln lassen.
CVC/CVV-Nummern knacken
Für die dreistellige Prüfnummer gibt es nur 1000 mögliche Kombinationen (000 bis 999). Über Testeinkäufe in Online-Shops lässt sich durch einfaches Ausprobieren herausfinden, ob die Nummer akzeptiert wird oder nicht. Die Experten von der SySS GmbH in Tübingen führten bei Report München ein Programm vor, mit dem sich die Akzeptanz der Kreditkarte testen und damit die richtige CVC/CVV-Nummer schnell herausfinden lässt. Details werden zwar nicht gezeigt, aber es ist anzunehmen, dass das Programm die Zahlung über Kreditkarten ähnlich wie ein Online-Shop durchführt. „Bei sechs Kreditkarten wurde die Prüfnummer ohne Probleme geknackt - nur eine einzige Bank schlug während des Versuchs Alarm.“, heißt es in dem Report-Beitrag. Hier wäre es interessant gewesen zu erfahren, worin dieser „Alarm“ genau bestand und was die Folgen davon waren. Offenbar lassen die meisten Banken aber eine unbegrenzte Anzahl von Authentifizierungs-Versuchen zu, sodass ein Brute-Force-Angriff auf die Prüfnummern möglich ist.
Für die dreistellige Prüfnummer gibt es nur 1000 mögliche Kombinationen (000 bis 999). Über Testeinkäufe in Online-Shops lässt sich durch einfaches Ausprobieren herausfinden, ob die Nummer akzeptiert wird oder nicht. Die Experten von der SySS GmbH in Tübingen führten bei Report München ein Programm vor, mit dem sich die Akzeptanz der Kreditkarte testen und damit die richtige CVC/CVV-Nummer schnell herausfinden lässt. Details werden zwar nicht gezeigt, aber es ist anzunehmen, dass das Programm die Zahlung über Kreditkarten ähnlich wie ein Online-Shop durchführt. „Bei sechs Kreditkarten wurde die Prüfnummer ohne Probleme geknackt - nur eine einzige Bank schlug während des Versuchs Alarm.“, heißt es in dem Report-Beitrag. Hier wäre es interessant gewesen zu erfahren, worin dieser „Alarm“ genau bestand und was die Folgen davon waren. Offenbar lassen die meisten Banken aber eine unbegrenzte Anzahl von Authentifizierungs-Versuchen zu, sodass ein Brute-Force-Angriff auf die Prüfnummern möglich ist.
Als Report München daraufhin bei den Kreditinstituten um Interviews bat, wurden diese verweigert. Visa teilte allerdings in einer schriftlichen Stellungnahme mit, dass die Sicherheit von Transaktionen bei ihnen oberste Priorität hätte. Bezüglich der unsicheren Prüfnummern gab es keine Antwort. Auch MasterCard zeigt sich nicht einsichtig, sondern behauptet weiter, dass der Versuch, an die Prüfziffern zu gelangen, unpraktikabel sei.
Schutz vor Kreditkartenbetrug
Geschädigte Kunden haben wahrscheinlich gute Chancen vor Gericht zu ihrem Recht zu kommen, wenn sie auf die Sicherheitsmängel beim Prüfen der CVC/CVV-Nummer verweisen. In jedem Fall ist es sinnvoll, Kreditkartenabrechnungen häufig auf unberechtigte Abbuchungen hin zu untersuchen.
Geschädigte Kunden haben wahrscheinlich gute Chancen vor Gericht zu ihrem Recht zu kommen, wenn sie auf die Sicherheitsmängel beim Prüfen der CVC/CVV-Nummer verweisen. In jedem Fall ist es sinnvoll, Kreditkartenabrechnungen häufig auf unberechtigte Abbuchungen hin zu untersuchen.
Wer mehr Sicherheit möchte, sollte sich bei seiner Bank etwa über Verified by Visa oder MasterCard SecureCode informieren. Beide Verfahren bietet Schutz durch einen zusätzlichen Code, der beim Online-Einkauf eingegeben werden muss.
