Daten-Mafia: Der Kunde ist machtlos

Hundertausende Deutsche wurden zu Opfern der Kreditkarten-Betrüger. Im Mittelpunkt des Skandals stehen dubiose Service-Unternehmen. Doch auch viele Händler gehen leichtfertig mit Kunden-Daten um

Der größte deutsche Kreditkarten-Skandal ist immer noch nicht zu Ende: Die Postbank tauscht weitere Kreditkarten aus. Besorgte Kunden hatten bei der Bank angerufen und sich über Unregelmäßigkeiten in ihren Abrechnungen beschwert. Wie viele Postbank-Kunden betroffen sind, wollte ein Sprecher der Bank nicht sagen.

Die Angst vor der Daten-Mafia grassiert – immerhin jeder dritte Deutsche hat eine Kreditkarte. Bekannt ist bislang, dass bei den Sparkassen 190.000 Kunden neue Kreditkarten bekommen, bei den Volks- und Raiffeisenbanken 60000. Die AZ klärt die wichtigsten Fragen.

Wer hat den Skandal verursacht?

Betroffen sind Karten von Visa und Mastercard, die in den vergangenen Monaten in Spanien genutzt wurden. Das Daten-Leck soll ein spanischer Dienstleister sein, der die Zahlungen verarbeitet hat. Dort sollen die Kundendaten illegal abgegriffen worden sein.

Wie funktioniert das Kreditkarten-System?

Es ist ein komplexer Kreislauf: Der Kunde kauft beim Händler ein. Der Händler hat einen Vertrag mit einem Service-Unternehmen, einem sogenannten Prozessor. Dieses Unternehmen stellt dem Händler das Kartenlese-Gerät und auch die Software zur Zahlungsabwicklung. Wenn die Karte durch das Gerät gezogen wird, werden die Kreditkartendaten mit den Infos zur Zahlung vom Händler aufgenommen, gespeichert und an das Service-Unternehmen weitergeleitet. Das Kreditkarten-Unternehmen vermittelt danach die Zahlung: Von der Bank des Kunden wird Geld auf das Konto des Händlers überwiesen.

Wo sind die Schwachstellen?

Zum einen beim Service-Unternehmen: „Für Daten-Diebe sind sie ein Jackpot. Denn dort laufen alle Daten auf“, sagt Magnus Kalkuhl, Sicherheits-Experte von Software-Firma Kaspersky zur AZ. Werden Daten in Prozessoren abgegriffen, sind Kunden machtlos. Sie wissen zwar, wo sie ihre Ware kaufen, wie ihre Bank heißt und welches Kreditkarten-Unternehmen die Zahlung abwickelt. Die Namen der Prozessoren sind ihnen aber unbekannt. „Über wie viele Schnittstellen die Daten weitergereicht werden, ist völlig unklar“, sagt Uwe Döhler von „Stiftung Warentest“ zur AZ. Zum Beispiel könne auch ein Händler in Deutschland einen spanischen Prozessor haben. Oder es gibt mehrere Prozessoren. „Man kann zum Beispiel bei Karstadt mit der Kreditkarte einkaufen – und der Kauf läuft sowohl über einen deutschen als auch einen spanischen Prozessor“, sagt Döhler.

Was ist mit dem Händler?

„Oft fehlt es den Händlern am Geld und Know-how“, sagt der Hermann Klein, Sicherheits-Experte von der Software-Firma Stonesoft. Wenn Händler die Kartendaten ihrer Kunden in schlichten Excel-Tabellen speichern, haben Hacker und Betrüger leichtes Spiel – dagegen sind Kunden machtlos. „Aber auch viele große Unternehmen gehen immer noch schlampig mit ihren Daten um“, sagt Hermann Klein.

Was kann man mit Kreditkarten-Daten anstellen?

Auf Kreditkarten sind alle Daten abgespeichert, die zur Zahlung nötig sind – je nach Kreditlimit können die Betrüger damit im Internet Ihr ganzes Konto abräumen – oder sie prägen eine Kopie.

Wie groß ist der Schaden?

Hugo Godschalk von der auf Kartensysteme spezialisierten Unternehmensberatung PaySys schätzt den Schaden auf 155 Millionen Euro – damit hätte sich die Summe seit 2007 verdoppelt.

Volker ter Haseborg, Raphael Geiger