Kreditkarten Sicher durch den Online-Dschungel

Internet statt Ladentheke - immer mehr Menschen kaufen online ein. Doch wenn große Summen durch das Netz fliegen, sind Betrüger nicht weit. Wer sich schützen will, sollte die Sicherheitsvorkehrungen kennen. Ein Wegweiser durch das Gestrüpp von SSL, CA und CVC2.

Von Eva-Maria Hommel


Hamburg - Keine Münzen, kein Anstehen an der Kasse, kein mühseliger Transport - die Vorteile des Interneteinkaufs liegen auf der Hand. Die Nachteile allerdings auch, meinen Experten. Das Netz ist immer noch löchrig, so dass Betrüger ein leichtes Spiel haben. Das mussten kürzlich die Kunden des amerikanischen Telekommunikationsgiganten AT & T Chart zeigen erfahren. Hacker drangen in das System des Unternehmens ein und fischten Kreditkartennummern von 20.000 Personen ab.

So etwas könnte auch in Deutschland jederzeit geschehen, sagt Matthias Gärtner, Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik: "Wer im Internet einkauft, gibt Daten preis. Damit ist immer ein Risiko verbunden." Mit einer Kreditkartennummer können Hacker auf Rechnung des Besitzers im Netz auf Einkaufstour gehen - zumindest bei Anbietern, die lediglich diese Kennzahl verlangen. Schwerer haben es Datendiebe, wenn zusätzlich noch die Prüfziffer (Card Verification Code, CVC2) eingegeben werden muss. Diese ist hinten auf der Karte aufgedruckt.

Bastler stellen ihre eigene Karte her

Gegen einen Angriff auf einen Firmenserver, wie bei AT & T geschehen, kann sich der Kunde kaum wehren. Bei einem Internetkauf dagegen kann er sich schützen - dafür muss er allerdings die Tricks der Betrüger kennen.

Besonders häufig wird mit fingierten Geschäften betrogen: Während der Kunde glaubt, er kaufe ein Produkt, wird in Wirklichkeit seine Nummer gestohlen - die bestellte Ware bekommt er nie zu Gesicht. Besonders raffinierte Bastler beschaffen sich noch die restlichen Kartendaten, wie Name, Prüfziffer und Gültigkeitsdatum, und stellen daraus "ihre eigene" Kreditkarte zusammen.

Um solchen Betrügern keine Chance zu geben, sollten Kunden nur auf SSL-verschlüsselten Homapages einkaufen. SSL bedeutet Secure Sockets Layer und ist ein international anerkanntes Protokoll zur Datenübertragung. Wenn der Bügel des kleinen Vorhängeschlosses unten in der Browserleiste verschlossen ist, dann ist die Verbindung sicher. In der Adressleiste muss "https" statt "http" stehen.

Eine solches elektronisches Vorhängeschloss bekommen nur Seiten, die von einer anerkannten Zertifizierungsstelle (CA), wie zum Beispiel Verisign, geprüft sind. Allerdings können Betrüger auch SSL-Verschlüsselungen vortäuschen. Um ganz sicher zu gehen, sollte man deshalb nur bei Händlern kaufen, die man kennt und für seriös hält.

Zusätzlich zur SSL-Verschlüsselung bieten die Kreditkartenherausgeber auch eigene Schutzkonzepte an. Ein Beispiel ist "Verified by Visa": Visa-Kunden geben auf den Seiten der Online-Shops, die am Programm teilnehmen, zusätzlich ein Passwort ein. Die Bank des Nutzers vergleicht es dann mit den anderen Daten. Das Kennwort wird also nicht im System des Händlers gespeichert - Hacker können es folglich nicht stehlen. Ohne gültiges Passwort aber kommt kein Kauf zustande. Ein ähnliches Sicherheitssystem bietet auch Mastercard an.

Lastschrift ist sicherer

Allerdings sind viele Kunden zu bequem, um sich bei einem solchen Sicherungsprogramm zu registrieren. Wer darauf verzichtet, sollte wenigstens seine Kontoauszüge regelmäßig kontrollieren. Falls ein zu hoher oder falscher Betrag darauf steht, heißt es sofort handeln. "In einem solchen Fall muss man beim Kreditkartenunternehmen Widerspruch einlegen, und zwar schriftlich und äußert energisch", betont Hartmut Strube, Finanzjurist bei der Verbraucherzentrale Nordrhein-Westfalen.

Der Kunde habe nämlich das Recht auf seiner Seite: Ein Betrag darf nicht abgebucht werden, wenn tatsächlich nicht der Kartenbesitzer, sondern ein Betrüger das Geschäft abgeschlossen hat. Die Kreditkartenherausgeber müssen dem Kunden gegebenenfalls nachweisen, dass er tatsächlich selbst eingekauft hat.

Dieser rechtliche Schutz könne aber den mangelnden technischen Schutz kaum ausgleichen, sagt Hartmut Strube von der Verbraucherzentrale: "Es ist ziemlich absurd, dass bei Onlinekäufen außer der Kreditkartennummer überhaupt keine Geheimmerkmale abgefragt werden". Deshalb empfehlen die Verbraucherschützer den Kunden, möglichst per Lastschrift zu bezahlen. Dann könne man sich auf eine sechswöchige Widerrufsfrist verlassen.

Seriöse Händler bieten ohnehin stets mehrere Zahlungswege an. Verbreitet sind Systeme wie Paypal, Firstgate oder E-Gold: Die Transaktionen werden über ein Nutzerkonto abgewickelt und gelten im Allgemeinen als sicher. Von Dialersystemen, die den PC über eine kostenpflichtige Nummer (09009) mit dem Internet verbinden, raten Experten allerdings ab.

Noch ist der Internet-Bezahlmarkt im Umbruch. Wer nicht zum Opfer von findigen Dieben werden will, sollte nur bei ihm bekannten, seriösen Anbietern kaufen - und größere Beträge möglichst per Rechnung begleichen.

Mehr zum Thema


© SPIEGEL ONLINE 2006
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.