Kreditkarten-Sicherheit

[Florian]

Holla!
Habe mir gerade "The Path" auf mupromo.com gekauft - ein Spiel mit einem wirklich interessanten Ansatz - und was soll ich sagen… man loggt sich ein und dann steht da tatsächlich die Kreditkartennummer schon mal eingetragen. Sie speichern sie also in ihren Systemen, auch wenn die Security Nummer fehlt.
Das ist doch ein eklatantes Missverhalten, oder täusche ich mich? Ich habe nämlich dort nichts abonniert! Wozu wird also die Kartennummer gespeichert?

Habe die Nummer im Profil gelöscht, aber ob sie damit von deren Server ist, ist natürlich die Frage. In Zukunft, wenn überhaupt, bezahle ich dort nur noch per Paypal, obwohl mir die auch nicht sympathisch sind.

[warlord]

man loggt sich ein und dann steht da tatsächlich die Kreditkartennummer schon mal eingetragen. Sie speichern sie also in ihren Systemen, auch wenn die Security Nummer fehlt.
Das ist doch ein eklatantes Missverhalten, oder täusche ich mich?

Das Speichern der Kartennummer (ohne Sicherheitsnummer) ist durchaus erlaubt. Und so unüblich ist es eigentlich nicht (siehe z.B. auch Amazon).
Die Kartenfirmen stellen da aber recht hohe Anforderungen und regelmässige Sicherheitschecks durch externe Prüfer sind Pflicht. Daher speichern viele Shop-Anbieter diese Daten nicht selbst (obwohl es für den Kunden im Shop so aussieht), sondern beziehen diese Dienstleistung bei einem darauf spezialisierten Payment Provider.

[MacFlieger]

Aber es gibt da erst einmal noch eine andere Frage: Wer hat die Kartennummer da eingetragen? Die Webshop-Software (damm müssen die die Nummer gespeichert haben) oder Safari?

[Florian]

Der Webshop, Safari trägt bei mir nichts ein und ich habe die KK-Nummer auch nirgends gespeichert, nicht mal in 1Password.

Was ich gestern aber vergessen habe, zu schreiben: Bis auf die letzten vier Nummern sind die Zahlen  maskiert, man kann also nach Einloggen nicht die komplette Nummer einsehen, sondern „nur“ dort kaufen.

Aha, also ist das üblich. Finde ich nicht gut. Schließlich werden ständig Datenbanken gehackt. Wurde auch tatsächlich schon mal Opfer, als zwei merkwürdige Buchungen vorgenommen wurden. Meine Bank bzw. das KK-Unternehmen merkte es aber, wahrscheinlich weil die Sicherheitsnummer fehlte. Da muss Jemand geschlampt haben und zwar nicht ich, da bin ich 100%-ig sicher.
Resultat: neue Karte, 20 Euro Kosten für mich. Super.

[warlord]

Aha, also ist das üblich. Finde ich nicht gut. Schließlich werden ständig Datenbanken gehackt.

Ja, ich schätze daher pushen die Kartenherausgeber das 3D Secure auch so. (Zumindest tun sie das hier.)

[MacFlieger]

Resultat: neue Karte, 20 Euro Kosten für mich. Super.

Warum das? Die Kreditkartennummer muss man doch bei jedem Kauf beim Verkäufer angeben. Ob online oder auch im echten Leben. Da kann doch die pure Kenntnis dieser Nummer durch böse Leute gar nicht verhindert werden und auch nicht so schlimm sein, oder?
Es kann doch auch jeder von meinem Konto per Lastschrift Geld abbuchen lassen, sobald er meine Kontonummer kennt. Im Sportverein haben wir momentan den Fall, dass so alle 2 Monate mysteriöse Abbuchungen stattfinden. Da scheint jemand unsere Kontonummer zu missbrauchen. Die Beträge werden zurückgebucht und gut ist.

[fränk]

Es war in einer Ratgebersendung vor kurzem zu sehen:

Die KK ist das unsicherste Zahlungsmittel überhaupt, weil man die Kohle eben nicht so einfach zurück bekommen kann, wie bei Abbuchungen.

Ist die Kohle der KK belastet, ist sie eigentlich, rechtlich, weg.

Zurück geht dann nur mit der Hilfe und Einwilligung der KK-Bank.

Falls das Blödsinn ist, berichtigt mich.


Die 3-stellige Nummer auf der Rückseite der Karte ist jedoch der größte Witz.
Im ungünstigsten Fall muss der Bösewicht halt nur 1.000 probieren, bis die Zahlung erfolgt ist.

[warlord]

Falls das Blödsinn ist, berichtigt mich.

Sorry, das ist IMO Blödsinn. Als Kunde gibt es eigentlich nichts sichereres, als eine Kreditkarte ohne 3D Secure. Da liegt das Risiko zu 100% beim Händler. Wenn Du als Kunde eine Belastung beanstandest, kriegst Du die umgehend wieder gutgeschrieben. Der Händler muss dann nachweisen, dass Du die Bestellung wirklich getätigt hast und er die Ware wirklich an Dich verschickt hat. Gelingt ihm dieser Nachweis nicht (und das wird bei Online-Bestellungen fast immer der Fall sein), guckt er in die Röhre. Nur wenn ihm der Nachweis gelingt, wird Deine Karte erneut belastet.
Anders schaut es aus bei Kreditkarten mit 3D Secure. Da trägst Du als Karteninhaber das ganze Risiko.

[fränk]

Ich habe den Beitrag gefunden.

Es war in HR M€X.

Es geht nur darum, wie man sich Geld über fremde KK beschaffen kann.
Es wird aber nicht erwähnt, wie einfach man es wieder zurück bekommt.
Mein Irrtum.

Bekommt man es denn wirklich so easy zurück?

Und was bedeutet "3D Secure"?

[warlord]

Bekommt man es denn wirklich so easy zurück?

Eigene Erfahrung als Karteninhaber habe ich nur mit einem Fall. Ich hatte in einem Online-Shop in Spanien wirklich etwas bestellt. Karte wurde belastet aber keine Ware geliefert und der Shop-Betreiber antwortete auf keine Anfragen. So habe ich beim Kartenherausgeber die Belastung schriftlich angefochten, mit einer kurzen Erklärung, was vorgefallen ist. Der Kartenbetreiber hat mir umgehend telefonisch bestätigt, dass die Belastung sofort zurückgebucht wird (was auch geschah) und er beim Acquirer (dem Kartenvertragspartner des Shops) einen Charge-Back-Antrag stellt. Sofern der Shop auf den Charge-Back-Antrag reagieren und an der Belastung festhalten sollte, würde man sich wieder bei mir melden, so dass ich allenfalls zu seinen Stellungnahmen wieder würde Stellung nehmen können. Wenn ich nichts mehr hören sollte, sei der Fall für mich erledigt. Und ich habe nie mehr etwas gehört.  

Und was bedeutet "3D Secure"?

Das neue Verfahren bei Online-Transaktionen, das einen Server beim Kartenherausgeber involviert, wo Du als Karteninhaber ein vorher definiertes Passwort eingeben musst.

[Florian]

Resultat: neue Karte, 20 Euro Kosten für mich. Super.

Warum das?

Weil ich mich wegen dem Betrag nicht streiten wollte. Sie fragten mich, ob ich eine neue Karte will, ich sagte Ja und fand dann den Betrag in der Rechnung. Schön blöd halt, aber in dem Moment war ich erstmal dankbar, dass sie schnell und wirksam gehandelt hatten. 

[MacFlieger]

Weil ich mich wegen dem Betrag nicht streiten wollte. Sie fragten mich, ob ich eine neue Karte will, ich sagte Ja und fand dann den Betrag in der Rechnung.

Das meinte ich so nicht. Sondern warum brauchtest Du eine neue Karte? Ich dachte bisher, dass man eben unberechtigte Forderungen einfach zurückbuchen lässt und fertig. So wie auch bei einem normalen Konto. Das die Kartennummer und teilweise auch die Geheimzahl von Dir weitergegeben wird, ist ja kein Versehen, sondern für die Nutzung zwingend erforderlich.

[mbs]

Da muss ich mich auch jetzt auch wundern.

Das Speichern von Kreditkartennummern ist überall üblich und auch nicht unsicher. So leicht wie bei einer Kreditkarte bekommt man nirgendwo sein Geld zurück. Und zunächst mal ist es ja auch nicht das "eigene" Geld, sondern das Geld des Kreditkartengebers, mit dem man zahlt. Dieser zahlt ja stellvertretend auf Kredit, deshalb heißt die Karte ja so. Dieser Kredit wird dann später (in Deutschland bei den klassischen Karten nach einem Monat, seit vorgestern ist hier aber auch eine Frist von 1 Jahr erlaubt) erst vom Kunden ausgeglichen und auch NACHDEM dieser die Zahlung auf seiner Abrechnung genehmigt hat. Wurde eine Transaktion im Internet, d.h. ohne Unterschrift vorgenommen ("Mail Order"), kann die Zahlung auch noch nach einem Jahr zurückgefordert werden ("Charge Back").

Bei einer Kreditkartenzahlung ohne Unterschrift liegt das komplette Risiko beim Händler, nicht beim Kunden.

[Florian]

Das meinte ich so nicht. Sondern warum brauchtest Du eine neue Karte? Ich dachte bisher, dass man eben unberechtigte Forderungen einfach zurückbuchen lässt und fertig. So wie auch bei einem normalen Konto. Das die Kartennummer und teilweise auch die Geheimzahl von Dir weitergegeben wird, ist ja kein Versehen, sondern für die Nutzung zwingend erforderlich.

Naja, ich (und die Bank) dachten halt, die Nummer ist auf einer Liste von Ganoven, die Buchungen sahen auch so aus. Soll ich ständig den Umsatz im Auge behalten (Ja, ich weiß, sollte ich!) und dann zurückfordern bei genervten Mitarbeitern in der Hotline?  Da nehme ich doch lieber gleich eine neue Nummer. Das dies was kostet, habe ich nicht gleich gerafft. Überhaupt war ich zunächst perplex und leichtes Opfer, schätze ich.


Zum Thema generell:
Da habe ich bzgl. Macupdate wohl überreagiert. Tatsächlich speichern alle möglichen Händler die Nummer, z.B. natürlich auch Apple im iTunes Store. Bin halt erschrocken, als da alles schon eingetragen war. Vielleicht sollte man nach Mitternacht keine Bestellungen mehr tätigen.
Danke jedenfalls für die sachkundigen Kommentare, die bekommt man wirklich nicht überall!