Kreditkartenmissbrauch: Informatiker Prechelt warnt vor Panikmache

Christopher Ricke: Ich habe auch schon eine neue Kreditkarte. Vor ein paar Tagen hat sie mir die Bank geschickt mit dem Schreiben, alles werde besser, alles wäre sicherer. Inzwischen weiß ich, es könnte was damit zu tun haben, dass vor ein paar Wochen Datendiebe ein großes Datenleck geschlagen haben, denn in ganz Deutschland sind die Banken dabei, Kreditkarten auszutauschen, Zehntausende, vielleicht Hunderttausende. Visa- und Mastercard hatten davor gewarnt, dass wegen eines Datendiebstahls die Kreditkarten deutscher Kunden gefährdet sein könnten. Das kann schon unruhig machen, in Deutschland gibt es nämlich rund 25 Millionen Kreditkarten.

Ich spreche jetzt über Sicherheit und Risiko im Zahlungsverkehr, insbesondere zum Thema Kreditkarten, mit dem Informatikprofessor Lutz Prechelt von der Freien Universität Berlin. Guten Morgen, Herr Prechelt!

Lutz Prechelt: Guten Morgen, Herr Ricke!

Ricke: Ist denn die These richtig, die Banken handeln sehr umsichtig, wenn sie jetzt erst einmal Tausende neue Kreditkarten ausstellen?

Prechelt: Ja, das kann man durchaus sagen. Das macht ja doch einen beträchtlichen Aufwand für die Banken, den sie eben treiben, um einen Image-Schaden und anderen Aufwand abzuwenden, den sie haben, wenn wirklich Missbrauchsfälle auftreten.

Ricke: Solche Missbrauchsfälle soll es aber gegeben haben. Haben Sie den Eindruck, dass das auch alles richtig kommuniziert wurde, dass man das erst wochenlang unter der Decke hält und dass es jetzt scheibchenweise nach oben kommt?

Prechelt: Die spannende Frage ist ja, ob man das unbedingt kommunizieren muss, denn die Beunruhigung, die jetzt auftritt, die ja zum Beispiel auch Grund für dieses Interview ist, ist ja auch nicht zu verachten und solange man davon ausgeht, dass es nur sehr wenige Missbrauchsfälle gibt, ist es ja vernünftig, zunächst mal zu sagen, wir handeln sie einzeln ab, sodass ich jetzt an der Stelle den Banken keinen Vorwurf machen würde, sondern eher sage, das ist doch jetzt mal sauber durchgezogen, dass die sich so eine große Aktion zumuten.

Ricke: Was haben Sie denn gedacht, als Sie die erste Meldung über dieses mögliche Leck in Spanien gehört haben? Haben Sie da gedacht, so eine Panne war längst überfällig?

Prechelt: Ich muss sagen, ich habe eher den Eindruck, dass es ein bisschen zufällig ist, welche Pannen jetzt in den Medien Beachtung finden und welche weniger, denn in den letzten Monaten ist es ja auf verschiedenste Weise zu mehreren Dutzend größeren Versagen, Schludereien mal und mal absichtlichen Bosheiten gekommen, die man ganz unterschiedlich beurteilen kann, und dieses ist aus meiner Sicht jetzt keine von den schlimmsten dabei.

Ricke: Die Schludereien und die Pannen, da nehmen Sie die Abhörskandale und Sachen wie den Datenverkauf von bestimmten Bereichen mit dazu?

Prechelt: Nein, die würde ich nicht unter Schludereien zählen, sondern das waren ja schon gezielte Aktionen, wo sich jemand was bei gedacht hatte, was eben andere Leute nicht in Ordnung finden, ob das jetzt nun in Unternehmen solche Überwachungsaktionen sind, oder erst recht natürlich kriminelle, oder zumindest zwielichtige Weitergaben irgendwelcher Daten, sondern mit Schludereien hatte ich jetzt gemeint ein paar Fälle aus England, wo in Regierungsorganisationen CDs mit Millionen von Daten von Bürgern verloren gegangen sind und das mehrere Male hintereinander, wo man sich ein bisschen an den Kopf fasst und denkt, können die nicht bitte beim ersten Mal lernen und dann vorsichtig sein.

Ricke: Jetzt gehen wir doch noch mal auf die Kreditkartengeschichte. Wenn sich das so abzeichnet, wie es gerade berichtet wird, haben Hacker in Spanien ein Rechenzentrum angegriffen. Das macht man ja nicht zu Hause vom kleinen Apple aus, da braucht man ja eine gewisse kriminelle Energie. Können Sie als Informatiker abschätzen, wer solche kriminelle Energie aufbringt und welche Organisationen auch bei Ihnen in der Szene diskutiert werden?

Prechelt: Ich muss sagen, ich habe noch nie irgendwo etwas gehört über konkrete Vermutungen über den Täterkreis, sondern die Standardannahme in solchen Fällen lautet immer Insider. Ein solches Rechenzentrum, das ist ja eine bankenartige Institution, ist gegen außen normalerweise recht gut abgeschottet und es ist außerordentlich schwer, mit den berühmten Hacker-Methoden dort einzudringen.

Es ist aber unmöglich zu verhindern, dass jemand, der innen drin sitzt und technischen Zugang zu diesem System hat, egal ob das jetzt auf einer technischen Ebene ist, also im Rechenzentrum sozusagen die Leute, die da die Maschinerie betreuen, oder auf einer Verwaltungsebene, also in den Bürobereichen die Leute, die auf diese Daten Zugriff haben müssen, extrem schwer zu verhindern, dass so jemand solche Daten abzweigt und aus dem Haus schafft.

Ricke: Jetzt kann ich mich ja als Bankkunde in die Position begeben, alles nicht mein Problem, selbst wenn es zu einer Fehlbuchung kommen sollte, muss meine Bank dafür geradestehen. Aber trotzdem denke ich gerade ein bisschen darüber nach, ob mein Verhalten immer das richtige ist, ob es reicht, wenn ich am Geldautomaten so ein bisschen die Hand über den Tastaturblock lege, damit mir keiner die PIN abguckt, wenn ich regelmäßig auf meine Kontoauszüge schaue, ob mir da jemand was abbucht, dem kein Geld zusteht. Ist das ein ausreichendes Verhalten, oder muss ich mir in Zeiten der Datenunsicherheit da noch etwas mehr überlegen?

Prechelt: Was Kreditkarten angeht, würde ich sagen, das ist ganz eindeutig ein ausreichendes Verhalten, denn es ist schon das Beste, was ich tun kann. Der nächste Schritt wäre nur die Radikalmaßnahme, überhaupt keine Kreditkarte mehr zu benutzen. Aber speziell bei Kreditkarten ist es eben in der Tat so, dass ich selber das Risiko gar nicht tragen muss.

Das ist an anderen Stellen schon heikler. Wenn man zum Beispiel seine Kontonummer den falschen Leuten gibt, die dann per Einzugsermächtigung etwas abbuchen, dann muss man wirklich selber aufpassen, dass man seine Kontoauszüge überwacht und der Bank sagt, hallo, dieses bitte zurückbuchen, denn wenn man das verschläft, dann ist tatsächlich was passiert und schiefgegangen.

Aber bei der Kreditkarte ist es tatsächlich so, dass das ein schon sehr luxuriöses Medium ist, wo die Kreditkartenfirmen das Risiko tragen. Man muss sich bloß immer klarmachen, dass man die Handelspartner, mit denen man dort was tut, damit belastet, denn die müssen ja eine Gebühr abführen.

Ricke: Ganz klar ist, dass meine Kreditkarte jetzt anders aussieht, dass jetzt ein Chip darauf ist. Das hat sich also auch wirklich optisch stark verändert. Das dient also gar nicht meiner Sicherheit, sondern der Sicherheit der Bank?

Prechelt: Da bin ich jetzt ehrlich gesagt gerade überfragt, von was für einem Chip Sie da reden.

Ricke: Das kann ich Ihnen auch nicht sagen. Der sieht ungefähr so aus wie der Chip auf meiner EC-Karte.

Prechelt: Ja, genau. Das hätte ich jetzt auch vermutet. Mir ist nichts davon bekannt, dass auf der technischen Ebene bei Kreditkarten eine wesentliche Neuerung stattfindet, um die technische Sicherheit zu vergrößern, und das ist auch in der Tat dem ganzen Kreditkartenzahlungssystem fremd. Eine Kreditkarte ist ja heute im Grunde nichts anderes als ein Notizzettel.

Früher war das mal was anderes, früher war das ein Ausweis. Da wurde die Karte in diese Ritsch-Ratsch-Maschine gelegt und eine Art Fotokopie davon gemacht und man musste die Karte wirklich in der Hand haben, um damit etwas zu kaufen. Heute müssen sie nur noch das wissen, was auf der Karte draufsteht, und das kann man natürlich nicht technisch absichern. Jeder, der auf die Karte guckt, kann das auch sehen.

Der nächste Schritt an Sicherheit ist nur zu erreichen, wenn sie dazu übergehen, dass man die Karte wieder in ein technisches Gerät steckt. Das wird in zehn Jahren sicher so sein. Da hat jeder Computer, mit dem man ins Internet geht, einen solchen Kartenleser eingebaut und dann haben sie plötzlich wieder die Chance, auf einer technischen Ebene etwas zu machen, was einen ganz anderen Grad von Sicherheit vermittelt und wo man wieder wirklich im Besitz der Karte sein muss.

Ricke: Okay! Das heißt dann Smartcard. - Der Informatikprofessor Lutz Prechelt. Vielen Dank, Herr Prechelt.

Prechelt: Auf Wiedersehen, Herr Ricke.