Bankensecurity, die kaputte Risikoverteilung

Urlaub. Ich möchte EInkäufe oder Benzin bezahlen und die Kreditkarte funktioniert nicht. Das kann ja mal passieren, gestörte Leitungen, abgestürzte Server. Nachdem dann an drei Stellen die Zahlung verweigert wird, guckt man aber mal genauer hin.

Ich wollte auch sicherstellen, dass die Fehlversuche nicht nachher doch auf der Karte als Belastungen auftauchen und schaute auf die Online-Banking-App.

Moment: Warum hab ich denn da zwei Konten zur Abrechnung der Kreditkarte? Ich wähle das mit den Belastungen drauf. Moment, das ist doch gar nicht meine Kreditkartennummer, meine endet auf 8010, das weiß ich inzwischen auswendig, weil PayPal und Google und Amazon diese Ziffern anzeigen, wenn ich die Zahlungsmethode wählen soll.

Ich schau auf das andere Konto – ja, das ist meine Kartennummer. Und darunter ein Vermerk “Kartensperrung”.

Ups.

Ich rufe die Hotline der Bank an. Ein Bänker guckt auf mein Konto. Ah. Das sei wegen der als verloren gemeldeten Karte.

Nein, äh, ich hab die Karte hier vorliegen. Die ist nicht verloren.

Eine Stunde später ruft der Mann von der Hotline zurück und hat alles recherchiert. In der MasterCard-Zentrale seine dubiose Zugriffsversuche auf etliche Kreditkarten bemerkt worden, alleine bei der kleinen Genossenschaft, bei der meine Konten sind, mehrere hundert.

Also haben die Abrechnungsstellen am 14.7. alle betroffenen Karten gesperrt und bei den Banken den Versand neuer Karten mit neuer Nummer veranlasst. Ich hätte auch einen Brief mit der Info bekommen. Und die neue Karte müsse sogar schon da sein.

Ja, zu Hause. Ich bin aber im Urlaub. Das macht den Hotlinemitarbeiter betroffen, denn er kann mir nun nicht anders helfen als zu fragen, ob ich wenigstens die EC-Karte dabei hätte. Zum Glück waren wir in Deutschland und nicht zum Beispiel auf Mallorca.

Lustigerweise wollten wir nämlich eigentlich dort hin, hätten am 14. abends im Flughafen Palma an der Autovermietung gestanden und ein mit meiner Kreditkarte reserviertes Auto abgeholt. Beziehungsweise es versucht, denn die Karte war am 14.7. ja bereits gesperrt.

Ich schreibe eine Mail an die Bank und bekomme Antwort. Insbesondere wüsste ich gerne, was da genau passiert ist. Ich zahle viel mit der Kreditkarte und wenn die Zugriffsversuche von einer Firma ausgingen, bei der ich ahnungsloser Kunde bin, würde ich die neue Kartennummer über Kurz oder Lang wieder dort angeben und hätte drei Wochen später den Spaß nochmal.

Wenn unmissverständlich klar ist, dass es sich um versuchten Kartenmissbrauch handelt, was hier der Fall war (Anfragen aus den USA, die bereits bei anderen Karten angefallen sind), wird die Karte ausgetauscht und für drei Wochen in einen Status versetzt, der beinhaltet, dass jeder Verfügungsversuch vom Händler nochmals telefonisch Abestätigt werden muss.

Ah, sehr schön. Bei einem Telefonat mit der Autorin der Mail erfuhr ich, dass ihre Tochter auch irgendwo in Fernost sei und dann einfach bei der Bank angerufen habe und alles sei geklärt. Sie verstünde mein Problem nicht. Die Alternative sei, die Karte mit vier Wochen Vorlauf zu sperren und in der Zwischenzeit würden Kriminelle fröhlich mein Konto abräumen.

Naja, ich hatte ja angerufen, werfe ich schüchtern ein, ohne eine Reaktion zu erwarten. Zum Thema “Wer war es denn eigentlich” schrieb sie:

Es ist nicht bekannt, bei welchem Händler die Daten abgegriffen wurden. Selbst wenn wir hiervon Kenntnis erlangen würden, ist es untersagt, diese Information weiterzugeben. Grund hierfür ist: Wenn man öffentlich macht, dass bei Händler X ein Datenabgriff stattgefunden hat, wird voraussichtlich jeder Kunde, der diese Information erhält, künftig keine Transaktionen mehr bei diesem Händler tätigen – was diesem nachhaltig schaden wird.

Man kann das schon so sehen, dann ist das aber riskant. Es gibt ja mehrere Szenarien:

  • Ein Händler hat von mir meine Kreditkartennummer und den CVC-Code auf der Rückseite bekommen und greift jetzt alle Karten aller Kunden ab. Vielleicht, weil jemand sich nach Südamerika absetzen will.
  • Vielleicht wurden auch die Systeme von Bösewichten übernommen, die auf diese Weise Geld erbeuten wollen.
  • Oder ein Händler hat ein Datenleck durch das die Kreditkartendaten in fremde Hände gefallen sind. Auf alle Fälle bräuchte ich wenigstens die Information, ob das Leck gestopft ist.

Zu Hause angekommen fand ich dann die neue Kreditkarte und einen Brief der Firma Worldline vor. “Phishing per Brief” dachte ich zunächst und hätte fast gelacht, denn von der Firma Worldline hatte ich vorher noch nichts gehört.

Bildschirmfoto vom 2015-08-04 15:59:10Im Brief stand nun drin, dass der Rückrufstatus der Karte dazu führe, dass ich bei Einkäufen über die Karte meinen Personalausweis vorzeigen müsse. Vom “Bank anrufen” war plötzlich nicht mehr die Rede.

Also der Ausweis, Wenn das so wäre, dann wäre das ja toll gewesen. War es aber nicht. Die Kartenlesegeräte in Drogeriemarkt und Tankstelle meinten nur, dass der Vorgang nicht möglich sei. Weder hatten die Mitarbeiter irgendwelche Handlungsanweisungen noch gab es in den Lesegeräten eine wesentlich andere Auswahl als “Abbrechen”.

Selbst, wenn ich den Ausweis vorgezeigt hätte – das Terminal hätte die Zahlung nicht bearbeitet. Und wie ich das “mit einem Anruf bei der Bank” hätte regeln können war auch ein Rätsel. Ich rufe mit dem Handy jemanden an, dücke das Telefon dem Kassierer in die Hand und sage, das sei meine Bank und – Plopp – erscheint eine weitere Auswahl auf dem Kartenlesegerät?

Eher nicht. Eher würde der Kassierer genervt sein.

Ich eskalierte das Thema bei der Bank und der Leiter des Qualitätsmanagements schaltete sich ein. Und nach zwei Tagen klärte er mich dann auf.

Der Rückrufstatus bedeute, dass die Karte halt gesperrt sei. Technisch gesehen könnte die Bank sie aber auf einen Anruf von mir hin auf eine Whitelist setzen und sie funktioniere dann wieder. Allerdings ginge das Missbrauchsrisiko dann auf mich über, vorher läge es bei Bank und Kreditkartenfirma.

Das irritierte mich: Seine Mitarbeiterin hatte das noch anders gesagt. Man habe mich vor illegalen Abbuchungen gerettet, indem man die Karte sperrt. Dabei wären, wie ich jetzt erfahre, selbst erfolgreiche Belastungen gar nicht mein Schaden gewesen.

Dazu kommt, dass so etwas mitten in der Haupt-Urlaubssaison natürlich katastrophal enden kann. Hätte ich am 14.7. abends in Palma versucht, ein Auto mit einer gesperrten Kreditkarte zu mieten, um damit in ein mit derselben Kreditkarte reserviertes Hotel zu fahren, hätte der Urlaub ein jähes Ende nehmen können.

Auch die Hotline der Bank konnte mir nicht helfen und gab mir zwar keine falsche, aber eben auch gar keine Auskunft, wie ich nun zahlen könne.

Dabei hat die Bank mich neben einigen Anrufen wegen einer Depotumstellung der Bank selber vier Wochen vor dem Urlaub noch angerufen, um mir eine MasterCard Gold aufzuschwatzen zu verkaufen. Auf dem Handy. Da wäre dann ein Anruf “es gibt Handlungsbedarf bei Ihrer Kreditkarte” durch Mitarbeiter, die über das Whitelisten der Karte informiert sind, auch möglch gewesen.

Allerdings erfuhr ich auf diesen Einwand hin vom Chef-Quali-Manager, dass der Austausch automatisch erfolgt sei.

Die Bank habe nur die automatisierte Anforderung einer neuen Karte erhalten. Was genau passiert war, musste sie auch im Einzelfall erst bei Worldline erfragen.

Halten wir fest:

  • Die Kreditkartensperrung erfolgte ohne Wissen der Bank
  • Grund war nicht, den Kunden vor Schaden zu bewahren, sondern Bank und Kreditkartenfirma
  • Das ganze läuft vollautomatisch und ohne einen Hinweis an die Bank, dass ihre Kunden gerade ein Problem kriegen könnten
  • Die BankmitarbeiterInnen an der Hotline sind hilflos, es gibt für derartige Notrufe aus dem Urlaub offenbar keinen definierten Ablauf und sogar die hinterher recherchierten Aussagen von Worldline und Bank sind inkonsistent
  • Selbst, wenn sie mir durch Whitelisten der Karte hätten helfen können, wäre dann das Risiko auf mich übergegangen
  • Es gibt keinerlei Informationen über die Quelle der dubiosen Zugriffe, weshalb ich einfach glauben muss, dass die Ursache behoben ist.

Ich finde das toll.

Die dubiosen Zugriffsversuche wurden von der Kreditkartenfirma offensichtlich erkannt und nicht gebucht. Es bestand also ganz am Anfang der Geschichte gar kein Risiko für niemanden. Weil man aber nie ausschließen kann, dass die Bösewichte es auf anderem Wege erfolgreicher versuchen, wird mitten in der Haupturlaubssaison direkt die Karte gesperrt.

Meistens wird bei einer Autovermietung eine Kaution auf der Kreditkarte reserviert. Die senkt nur das Limit, wird tatsächlich nur abgerufen, wenn der Wagen beschädigt zurück gegeben wurde.

Ob es überhaupt möglich ist, die Kaution in Palma mit Bargeld zu zahlen, weiß ich nicht, weil das vermutlich noch nie jemand gemacht hat. Ich denke, es gibt nicht einmal Kassen dort, um die meist ab 900€ Kaution zu sicher unterzubringen. Dass die Zahlung per EC-Karte geht wage ich zu bezweifeln.

Ohne Mietwagen wäre aber der Weg zum Hotel ein Problem. Es bliebe nur das Taxi, falls man nicht zufällig in Palma selber gebucht hat. Ein Taxi nach Cala Ratjada oder Port de Sóller wäre teuer geworden. Und je nach Hotel wäre auch dort die gesperrte Kreditkarte ein Show-Stopper beim Einchecken.

Dass man den Rückflug antreten, für die gebuchten, aber nicht stornierten Leistungen aber trotzdem zur Kasse gebeten wird, ist zwar ein Worst Case, aber der steht glaube ich in keinem Verhältnis zu ein paar augenscheinlich rechtzeitig erkennbaren kriminellen Buchungen.

Bei mir blieb es zum Glück bei ein paar Euro Dispozinsen. Da in Deutschland die EC-Karte überall akzeptiert wird, konnte ich mit ihr zahlen. Allerdings hatte ich nicht genügend Geld auf dem Konto, weil ich mit der Kreditkarte kalkuliert habe. Die Zahlungen mit der Mastercard werden mir ja immer bis ungefähr zum Monatsende quasi gestundet und erst dann in einer Summe vom Konto abgebucht. Meistens am selben Tag, an dem mein Gehalt auf dem Konto ankommt.

tl;dr: Sicherheitsmaßnahmen bei Kreditkarten führen durch Automation und schlechte Organisation zu Risiken für die Kunden.

There are currently no comments highlighted.

Dein Senf dazu?