Wir machen den Stresstest. Gemeinsam mit Sicherheitsexperten wollen wir herausfinden: Wie sicher ist die Prüfziffer auf Kreditkarten?  Eine dreistellige Nummer auf der Rückseite, die vor Missbrauch schützt, behaupten die Kreditunternehmen.

(Szene nachgestellt)
report MÜNCHEN hat gezeigt: Ein paar Zentimeter Abstand, keine fünf Sekunden – so einfach kann man moderne Kreditkarten mit einem Handy ausspähen. Denn die neuen Karten haben einen Funkchip, eine winzig kleine Antenne, die die Daten weiterleitet – zur Ladenkasse: Künftig sollen so alle schneller bezahlen.

Sie kann aber auch ausgespäht werden. Mit einem Handyprogramm, das die Daten ausliest, haben wir mit Passanten den Test gemacht:

report MÜNCHEN:
„So, jetzt schauen Sie mal, ob das Ihre Kreditkartennummer ist. Da unten.“

Mann:
„Ja. Jetzt schauen wir mal, ja das ist meine Nummer.“

Die report-Recherchen sorgten für Aufregung. Doch die Kreditkartenindustrie meinte: Der mögliche Datenklau sei kein Problem, da nur Kreditkartennummer und Ablaufdatum ausgelesen werden können, „nicht jedoch die Sicherheitsprüfziffer“: „die dreistellige Kartenprüfnummer“ auf der Rückseite, die für viele Einkäufe nötig ist.

Wir wollen wissen: Ist diese Prüfnummer wirklich sicher? Diese beiden Computerexperten der SYSS GmbH in Tübingen sagen: Nein.

Micha Borrmann, Sicherheitsexperte: „Der Sicherheitscode besteht bei MasterCard und bei VISA-Card aus drei Ziffern, das heißt von null null null bis neun neun neun, das sind tausend Möglichkeiten. Im schlimmsten Fall brauchen Sie also tausend Versuche, damit Sie an diesen Sicherheitscode herankommen. Tausend Versuche, das ist jetzt nicht wahnsinnig viel, das kann man sogar ohne Programmierkenntnisse machen, indem man sich einfach hinsetzt und tausend Versuche von Hand mal eintippt.“

(Szene nachgestellt)
Micha Borrmann hat ein kleines Programm geschrieben, das in ganz normalen Online-Shops alle Zahlenkombination der Prüfnummer durchprobiert. Alles was er dazu braucht: Die Kreditkartennummer inklusive Ablaufdatum – für Betrüger leicht zu besorgen.

Gemeinsam mit Zeitungs-Kollegen machen wir den Selbstversuch und überlassen den Computerexperten die Kartendaten – natürlich ohne die Prüfnummern. Ob sie die dreistellige Ziffer knacken können?

Wenige Tage später fahren wir zu den Experten – und sehen dort die Prüfnummern.

report MÜNCHEN: „Jetzt schlägt er gleich an. Jetzt, jetzt schlägt er an. Erfolg“

Micha Borrmann, Sicherheitsexperte: „Das Ganze ist eben so lange durchgelaufen für jeden Einkaufsversuch, bis irgendwann ich die Meldung bekommen habe: ‚Vielen Dank für Ihre Bestellung‘.“

Damit ist die Prüfnummer offensichtlich ermittelt. Wir gehen auf Nummer sicher und besuchen den Chefredakteur der Stuttgarter Nachrichten, der uns seine Kartennummer und das Ablaufdatum überlassen hat.

report MÜNCHEN: „Würden Sie denn bitte diese Ziffer vergleichen, ob das Ihr Sicherheitscode ist?“

Christoph Reisinger, Chefredakteur Stuttgarter Nachrichten: „Das passt.“

report MÜNCHEN: „Was halten Sie jetzt davon?“

Christoph Reisinger, Chefredakteur Stuttgarter Nachrichten: „Aus Verbrauchersicht ist das ein absolutes Unding, dass möglicherweise abgefischte Kartennummern zu ergänzen sind mit einer sogenannten Sicherheitsnummer, die ja offensichtlich keine Sicherheit bietet; denn von mir haben Sie die Nummer jedenfalls nicht.“

Mit der geknackten Karte könnten wir nun bei vielen Shops im Internet einkaufen. Ein Zufallstreffer?

Bei den Kollegen der Münchner Tageszeitung tz gehen wir sogar einen Schritt weiter: Wir kaufen mit den ermittelten Prüfnummern im Internet ein: Bahntickets. Völlig problemlos.

report MÜNCHEN: „Jetzt haben wir herausgefunden oder gesehen, dass Sie theoretisch heute Morgen nach Augsburg hätten fahren können. Schönes Ticket, gebucht mit Ihrer Kreditkarte, oder? Ist das Ihre Nummer?“

Christina Lewinsky, tz München: „Ja, das ist meine Nummer! Ich weiß nicht, was ich heute früh in Augsburg wollte, aber gut. Wie haben Sie das geschafft?“

report MÜNCHEN: „Sie haben das Ticket nicht gebucht?“

Sebastian Arbinger, tz München: „Ich hab‘s definitiv nicht gebucht, ich wüsste auch nicht, was ich zurzeit in Augsburg machen sollte.“

Einkaufen mit geknackten Daten – der Deutschen Bahn können keine Vorwürfe gemacht werden. Sie muss sich auf den Sicherheitscode verlassen können.

Wir fragen nach bei VISA und MasterCard: Wie sicher ist denn der Sicherheitscode?
Ein Interview will man uns nicht geben, VISA schreibt lapidar:

„Die Sicherheit von Transaktionen hat bei uns oberste Priorität.“ Auf die Fragen zur Prüfnummer geht das Unternehmen nicht weiter ein.

MasterCard erklärt dagegen:

„So genannte ‚Trial by error‘ Versuche sind unter Praktikabilitäts-Gesichtspunkten nicht geeignet um missbräuchliche Verfügungen durchzuführen.“

(nachgestellte Szene)
Trial by error – auf Deutsch: Versuch und Irrtum, bis es halt klappt. Genau diese Methode wenden unsere Sicherheitsexperten aber schon seit Jahren an – immer noch mit Erfolg. Wie kann das sein?

Sebastian Schreiber, Computerexperte: „Das Hauptproblem ist, dass sich die Kreditkartenindustrie zu diesem Problem nicht bekennt. Es gibt in der Tat neue, effektivere Sicherungsverfahren, wo wir nicht so ohne Weiteres reinkommen, die man einsetzen könnte, die auch zum Teil eingesetzt werden. Aber dadurch, dass die Kreditkartenindustrie sich nicht zum Unsicheren Sicherheitscode bekennt, verhindert sie zugleich, dass die neuen Verfahren flächendeckend eingesetzt werden.“

Wir zeigen unsere Recherchen einem Experten auf diesem Gebiet, Markus Feck. Bei sechs Kreditkarten wurde die Prüfnummer ohne Probleme geknackt - nur eine einzige Bank schlug während des Versuchs Alarm.

Markus Feck, Verbraucherzentrale Nordrhein-Westfalen: „Es überrascht mich in dieser Form tatsächlich, weil vollmundig behauptet wird, das würde die Sache sicherer machen, und zeigt auch, dass die Kartenunternehmen es sich da zu leicht machen. Eine wesentliche Verbesserung der Sicherheit wird nur dann erfolgen, wenn denn die Schäden groß genug sind, dass man dieses System insofern auch sicherer macht. Aber so lange der Schadensersatzbetrag insgesamt niedriger ist als die Investition in ein sicheres System, wird sich hier großartig nichts ändern.“

Unsichere Sicherheits-Prüfnummern. Verbraucherschutz sieht anders aus.