Wirtschaft: Missbrauch von Kreditkarten in den USA trifft deutsche Kunden

Berlin - Der Datenschutzbeauftragte des Bundes will den millionenfachen Diebstahl von Kreditkartendaten in den USA auch in Brüssel zum Thema machen. Peter Schaar sagte dem Tagesspiegel, es sei unklar, wie die Daten amerikanischer Kartenunternehmen – und damit auch die Daten der deutschen Kunden – in den USA kontrolliert würden. Schaar will dies beim heutigen Treffen der EU-Datenschutzbeauftragten in Brüssel zur Sprache bringen, an dem auch Vertreter der US-Aufsichtsbehörde Federal Trade Commission teilnehmen werden.

Nach Angaben der Kreditkartenfirmen Mastercard und Visa sind Karteninhaber in Deutschland von kriminellen Attacken bislang verschont geblieben. Auch dem Bundeskriminalamt sind keine Fälle bekannt. „Ich würde aber nicht grundsätzlich ausschließen, dass solche Missbrauchsfälle auch in Deutschland passieren können“, sagte der Datenschützer Schaar.

In den USA waren Hacker in der vergangenen Woche in das Computersystem des Kartenabrechners Cardsystems eingedrungen und hatten die Daten von 40 Millionen Kreditkartenbesitzern angezapft. Der Dienstleister wickelt in den USA unter anderem die Kreditkartenzahlungen für Visa und Mastercard ab. Der Angriff in den USA könnte auch Auswirkungen für europäische Kunden haben: Nach Angaben von Visa sind 800 000 in Europa ausgegebene Kreditkarten potenziell betroffen – und damit theoretisch auch Zehntausende in Deutschland. Generell seien aber nur Kunden betroffen, die in jüngster Zeit in einem Geschäft mit Kreditkarte gezahlt oder im Internet online in Amerika eingekauft hätten, hieß es bei Mastercard.

Das Leck in den USA kam offenbar zustande, weil Cardsystems einen Teil der Kreditkartendaten entgegen den bestehenden Sicherheitsvorschriften in einem weniger stark gesicherten Bereich abgespeichert hatte. Gegenüber der „New York Times“ hatte Cardsystems-Chef John M. Perry zugegeben, dass die Kundendaten „zu Forschungszwecken“ gespeichert wurden. „Wir hätten das nicht tun sollen“, zitiert das Blatt Perry. Nach Unternehmensangaben wurde die Lücke inzwischen geschlossen. „Die Kontrollmechanismen haben offenbar nicht funktioniert“, sagte Margit Schneider, die für das Sicherheitsmanagement bei Mastercard verantwortlich ist.

Diebstähle von Kreditkarten-Daten hat es schon früher im größeren Umfang gegeben. Ein Angestellter einer US-Softwarefirma hatte sich zwischen 1999 und 2002 Kreditkarten-Daten von 30 000 Karteninhabern besorgt und für 30 Dollar je Stück verkauft. Dadurch war ein Schaden von 2,7 Millionen Dollar entstanden. Im Februar 2003 wurde zudem bekannt, dass sich Hacker über das Internet Zugang zu einem nicht genannten Kreditkarten-Abrechner verschafft hatten. Davon waren fünf Millionen Kreditkarten-Nummern betroffen.

Das Grundproblem liegt im System. „Wo Daten gespeichert werden, könnten sie auch geklaut werden“, sagte Uwe Döhler, Kreditkarten-Experte der Stiftung Warentest. „Grundsätzlich sind die Unternehmen immer nur so sicher wie ihre Technik – und die ist gegen neue Viren und Trojaner nicht immer geschützt.“ Insgesamt hält Döhler das Risiko für deutsche Kunden aber für überschaubar. Verbrauchern riet er, die Kreditkartenabrechnungen genau zu prüfen. Sollte eine Kartennummer von dem US-Datenklau betroffen sein, sei es Aufgabe der Banken, die Kundenkarte auszutauschen, sagte Döhler.

Die Banken geben sich gelassen. „Es rufen zwar immer wieder besorgte Kunden an, bislang ist bei uns aber noch kein Betrugsfall aufgetreten“, sagte ein Sprecher der Postbank. Von einer generellen Sperrung der Karten sehe man ab, heißt es bei der Deutschen Bank. Auch bei der Commerzbank und der Postbank sind bislang keine Karten gesperrt worden. .

Datenschützer Schaar forderte die Unternehmen auf, das „Gebot zur Datensparsamkeit“ ernst zu nehmen. Daten müssten sofort gelöscht werden, wenn sie ihren Geschäftszweck erfüllt hätten. Außerdem müsse die Kontrolle im nicht-öffentlichen Bereich verstärkt werden, sagte er.

Trost für Kreditkarten-Besitzer: Wenn etwas schief geht, haften bis auf wenige Ausnahmen die Kartenausgeber oder die Händler. Nur den Ärger, den behalten sie selbst.