Gestohlene Kreditkartendaten Gehackte Firma agierte ohne staatliche Kontrolle

Durch den Diebstahl Zehntausender Datensätze von Kreditkarteninhabern in den USA und anderswo treten Mängel im Kontrollsystem zutage. Firmen wie das betroffene Unternehmen CardSystems Solutions unterliegen keiner direkten staatlichen Kontrolle. Der deutsche Datenschutsbeauftragte will in Brüssel über das Thema sprechen.

In den USA haben Bankaufsichtsbehörden eine Untersuchung begonnen, die klären soll, wie es zu dem massenhaften Diebstahl von sensiblen Kundendaten von Kreditkarteninhabern kommen konnte. Das sogenannte Federal Financial Institutions Examination Council (FFIEC) teilte mit, man habe schon in der vergangenen Woche mit der Untersuchung begonnen, die etwa zwei bis vier Wochen dauern soll. Das FFIEC ist ein Zusammenschluss der fünf verschiedenen Aufsichtsbehörden, die in den USA für die Kontrolle von Bankgeschäften zuständig sind. Parallel ermittelt auch die Bundespolizei FBI.

Ein Sprecher einer der Aufsichtsbehörden sagte der "New York Times", man werde untersuchen, welche Lücken in den Sicherheitssystemen der Abrechnungsfirma CardSystem Solutions den Datendiebstahl ermöglicht hätten. "Wir werden prüfen, ob sie Risikoeinschätzungen gemacht haben, ob sie Überprüfungen durchgeführt haben und ob sie Firewalls hatten", so Michael L. Jackson vom Federal Deposit Insurance Corporation gegenüber dem Blatt. Auch die Kreditkartenfirmen MasterCard, Visa und American Express habe man kontaktiert, um herauszufinden, was bei CardSystems Solutions schiefgelaufen sei. Auch mit den Banken, die die entsprechenden Karten ausgestellt hatten, werde man sprechen. "Wir wollen wissen, was die wissen", so Jackson.

Wer kontrolliert die Abrechnungsunternehmen?

Während Banken und Kreditkartenfirmen in den USA regelmäßig von verschiedenen Behörden auf Sicherheitslücken überprüft werden, gibt es keine regulären staatlichen Kontrollen von Abrechnungsfirmen wie CardSystems. Die Kreditkartenfirmen stellen bestimmte Regeln auf, an die ihre Vertragspartner sich halten müssen. Dass diese Regeln eingehalten werden, muss jährlich gegenüber externen Prüfern nachgewiesen werden.

Primär sind laut "New York Times" jedoch die Banken, die auch für die Dienste der Abrechnungsfirmen bezahlen, für deren Sicherheitsstandards verantwortlich. Weil die Abrechnungsfirmen keine Finanzunternehmen im eigentlichen Sinne sind, unterliegen sie nicht der Aufsicht der entsprechenden Bundesbehörden.

In Deutschland hat unterdessen der Bundesdatenschutzbeauftragte Peter Schaar Stellung zu den Vorfällen bezogen. Er will den Diebstahl von Kreditkartendaten in den USA auch in Brüssel zum Thema machen. Schaar sagte dem Berliner "Tagesspiegel", es sei unklar, wie die Daten amerikanischer Kartenunternehmen "und damit auch die Daten ihrer deutschen Kunden" in den USA kontrolliert würden. Er will diesen Punkt beim heutigen Treffen der EU-Datenschutzbeauftragten in Brüssel zur Sprache bringen, an dem auch Vertreter der zuständigen US-Aufsichtsbehörde teilnehmen werden.

Missbrauchsfälle in Deutschland nicht ausgeschlossen

"Ich würde nicht grundsätzlich ausschließen, dass solche Missbrauchsfälle auch in Deutschland passieren können", sagte Schaar der Zeitung. Der Datenschützer forderte die Unternehmen auf, das "Gebot zur Datensparsamkeit" ernst zu nehmen. Daten müssten sofort gelöscht werden, wenn sie ihren Geschäftszweck erfüllt hätten, sagte er.

In den USA waren Hacker in das Computersystem des Abrechnungsunternehmens Cardsystems eingedrungen und hatten dadurch Zugriff auf die Daten von 40 Millionen Kreditkartenbesitzern. Das Unternehmen hat inzwischen zugegeben, dass es die Kundendaten nicht hätte abspeichern dürfen. CardSystems-Chef John Perry hatte der "New York Times" gesagt, die Informationen seien für "Forschungszwecke" gespeichert worden.

"CardSystems hat die MasterCard-Sicherheitsvorschriften verletzt", sagte MasterCard-Sprecherin Jessica Antle. Nach ihren Angaben wurden Informationen von 68.000 MasterCard-Konten aus dem CardSystems-System entfernt. Beim Konkurrenten Visa sind 40.000 in Europa ausgebene Visa-Karten unmittelbar vom Hackerangriff betroffen. Bei diesen Karten seien die kompletten Magnetstreifendaten entwendet worden, teilte Visa mit, so dass größte Betrugsgefahr bestehe.