Zum Inhalt springen
Inhalt

Schweiz «Das Prinzip der Kreditkarte wurde nie überarbeitet»

Ohne grossen Aufwand konnten die Betrüger, die heute in Bellinzona vor Gericht stehen, die Kreditkarteninformationen Tausender Leute klauen. Wieso es so einfach ist, solche Daten zu klauen und weshalb diese Sicherheitslücken nicht überarbeitet wurden, erklärt Digitalexperte Reto Widmer.

Frau hält Kreditkarte in der Hand, im Hintergrund Computer.
Legende: Heute stehen drei Hacker vor Gericht, die mit Kreditkartenphishing in der Schweiz über 3,5 Millionen Franken erbeuteten. Keystone

Über 133'000 Kreditkarten-Daten konnten die Phishing-Beschuldigten, die heute in Bellinzona vor Gericht stehen, klauen. Ihre Beute: Allein in der Schweiz rund 3,5 Millionen Franken. Welche Sicherheitslücken es bei Kreditkarten gibt und wie man sich vor Phishing-Attacken schützen kann, erklärt SRF Digitalredaktor Reto Widmer.

SRF News: Was macht Kreditkarten so anfällig?

Reto Widmer: Das Problem bei Kreditkarten ist, dass in vielen Fällen die reinen Nummern auf der Karte reichen, um mehrmals online zu bezahlen. Eine zusätzliche Sicherheitshürde, wie zum Beispiel ein Passwort, fehlt meistens. Das Prinzip der Kreditkarte stammt aus dem letzten Jahrhundert und ist nie komplett über den Haufen geworfen worden. Bei der Verbreitung auf die digitale Welt kommt es wohl auch deshalb zu diesen Sicherheitslücken.

Weshalb wird das System nicht überarbeitet?

Die Kreditkartenunternehmen bewegen sich auf einem schmalen Grat: Sie sollen Sicherheit gewähren, aber auch bequem zu handhaben sein. Wenn es zu aufwendig wird, mit der Kreditkarte zu zahlen, wechsle ich auf ein anderes Zahlungssystem. So verliert die der Kreditkartenherausgeber Kunden, Bearbeitungsgebühren und letzten Endes wohl mehr Geld als durch Phishing-Attacken.

Eine Umstellung des Systems wäre viel teurer.

Gibt es denn gar keine Identifikationsüberprüfungen?

Doch, es ist einiges gegangen. Die Sicherheitsstandards variieren allerdings stark je nach Unternehmen. Bei einigen Kreditkarten muss man einen persönlichen Code eingeben, der z.B. via SMS zugeschickt wird. Am meisten läuft im Hintergrund: Die Kreditkartenfirmen kontrollieren das Zahlungsverhalten von Kunden und rufen diese an, wenn dieses stark abweicht. Wenn ich also plötzlich in Finnland eine Prepaidkarte mit meiner Kreditkarte aufgeladen haben soll, auch wenn in meinem Profil nichts darauf hinweist, dass ich regelmässig in dieses Land reise, läuten die Alarmglocken.

Weshalb halten die Kreditkartenunternehmen an ihrem System fest?

Es hat sich weltweit bewährt. Im Fall, der heute vor Gericht steht, wurde jeder Schweizer Kreditkartenbesitzer im Schnitt um 1‘000 Franken betrogen. Dieses Geld ist gedeckt mit den Kreditkartengebühren und dem Jahresbetrag für die Karte. Eine massive Umstellung des ganzen Kreditkartensystems, bei der das Kreditkartenunternehmen viele Kunden verlieren könnte, würde viel teurer zu stehen kommen.

Wo besteht das grösste Risiko für Kreditkartenbenutzer und –banken?

Dort, wo es reicht, die Kreditkartennummer anzugeben, um zu bezahlen. Das gibt es immer noch in Online-Shops. Viele von diesen haben keine zusätzlichen Sicherheitshürden für die Kreditkartenzahlung. Hier könnten die Kreditkartenbetreiber die Shops verpflichten, Zusatzidentifikationen einzubauen. Dann könnten Phishing-Betrüger nicht mehr mit gestohlenen Kreditkarteninformationen online bezahlen.

Wie kann ich mich selbst vor solchen Phishing-Attacken schützen?

Die Grundregel ist: Niemals die Kreditkarteninformationen herausgeben. Schon gar nicht per E-Mail. Gerade wenn diese mit meinen Emotionen spielt, also entweder droht, dass ich kein Geld mehr beziehen kann oder dass ich etwas gewonnen habe. Keine Bank oder offizielle Stelle würde bei irgendetwas, das mit Sicherheit zu tun hat, per E-Mail korrespondieren, sondern per Post.

Was ist «Phishing»?

«Phishing» setzt sich zusammen aus den Worten «Password», «Harvesting» (ernten) und «Fishing» (fischen). Beim Phishing versuchen die Betrüger, über E-Mails, gefälschte Webseiten oder Kurznachrichten an die Bankdaten eines Benutzers zu gelangen und Konten zu plündern oder mit gestohlenen Kreditkarteninformationen im Internet zu shoppen.

Keine wichtigen News verpassen

Erhalten Sie die wichtigsten Nachrichten per Browser-Push-Mitteilungen.

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren.

3 Kommentare

Navigation aufklappen Navigation zuklappen

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Kommentarfunktion deaktiviert

Uns ist es wichtig, Kommentare möglichst schnell zu sichten und freizugeben. Deshalb ist das Kommentieren bei älteren Artikeln und Sendungen nicht mehr möglich.

  • Kommentar von Harald Buchmann (Harald_Buchmann)
    In China bezahle ich alles online mit der normalen Bankkarte (Sicherrung SMS) oder der chat-App WeChat (QR Scan mit eigenem Handy). Kreditkarten brauche ich nur noch fuer westliche Angebote, v.a. buchen westlicher Hotels. Europa ist da schon weit abgehaengt von China. Selbst Apple Pay braucht hier keiner, weil es alles schon seit 3-4 Jahren gibt.
    Ablehnen den Kommentar ablehnen
  • Kommentar von Markus Berner (Markus Berner)
    Innovative und sicherere Lösung wäre ApplePay & Co. Aber da tun sich ja gerade die Schweizer Banken schwer damit.
    Ablehnen den Kommentar ablehnen
  • Kommentar von Charles Halbeisen (ch)
    Es ist noch keine 8 Jahre her, da habe ich mein Postfinance-Konto kurz nach der Eröffnung wieder aufgelöst, weil der Code der Karte nur 4stellig war. Zu riskant. Ich hoffe, dass heute mindestens 6 Stellen möglich sind.
    Ablehnen den Kommentar ablehnen