Bei Online-Zahlungen gibt es keine absolute Sicherheit

Schlaue Hacker: Angesichts der Tatsache, dass Kriminelle in der Lage sind, in selbst hoch sichere Computernetze einzudringen, sollte man Onlinezahlungen nicht blind vertrauen. Foto: iStock

Wenn ich eine Zahlung im Internet mache, wird manchmal der Card Validation Code verlangt. Kann ich diesen problemlos preisgeben? H. M.

Der Card Validation Code (CVC) oder der identische Card Verification Value (CVV) hat das Ziel, die Sicherheit bei Einkäufen und generell bei Transaktionen im Internet zu erhöhen. Wenn Sie im Internet etwas bestellen oder eine Buchung tätigen, müssen Sie in den meisten Fällen zwingend zusätzlich zu Kreditkartennummer und dem Ablaufdatum auch den CVC eingeben, der sich rund um das Unterschriftsfeld auf der Rückseite Ihrer Kreditkarte befindet.

Die Abfrage dieses Codes soll die Risiken der Vertragspartner senken. Unternehmen können sich eher schützen, nicht Opfer von Kreditkartenbetrügern zu werden, da die Gefahr eines Missbrauchs bei Onlinebestellungen grösser ist als bei einem Einkauf vor Ort, zumal es immer wieder vorkommt, dass sich Betrüger fremde Kreditkartennummern beschaffen und diese missbräuchlich für Zahlungen im Netz nutzen. Ganz ausgeschlossen werden können Betrügereien mit Kreditkarten auch durch den Einsatz des CVC nicht.

Auf diesen Schwachpunkt zielt letztlich Ihre Frage: Angesichts der Tatsache, dass Hacker heute in der Lage sind, in selbst vermeintlich hoch sichere Institutionen und ihre Computernetze einzudringen, sollte man nicht naiv sein und glauben, dass der CVC nicht von Betrügern beschafft werden kann. Der Sicherheitscode ist aber eine zusätzliche Hürde für Betrüger. Die Missbrauchsrisiken werden gesenkt, können aber nie ganz ausgeräumt werden.

Damit stellt sich für Sie als Karteninhaber die Frage, inwiefern Sie selbst ein Haftungsrisiko tragen. In der Praxis ist dieses gering. Vorausgesetzt, dass Sie alle notwendigen Vorsichtsmassnahmen bei der Nutzung Ihrer Karte erfüllt haben, müssen Sie den Schaden bei einem Kartenmissbrauch in der Regel nicht selbst tragen und können den CVC-Code eigentlich problemlos nutzen.

Entscheidend ist, dass Sie nicht gegen Sorgfaltspflichten verstossen: Wenn jemand etwa mit seinem CVC fahrlässig umgeht und diesen sowie die Geheimnummer nicht schützt, muss man damit rechnen, dass die Kreditkartenherausgeberin eine Schadendeckung ablehnt. Falls aber die Sorgfaltspflichten eingehalten sind, zeigen sich die Kartenfirmen kulant und übernehmen den Schaden ganz oder verlangen lediglich die Zahlung eines Selbstbehaltes im Umfang von rund 100 Franken.

Zusätzlich schützen können Sie sich bei Einkäufen im Internet über weitere Sicherheitscodes. Bei Mastercard zum Beispiel ist dies über den sogenannten SecureCode möglich. Damit kann man sich bei der Begleichung von Einkäufen im Netz als rechtmässiger Karteninhaber ausweisen, so wie Sie es von der PIN-Eingabe am Bankomaten kennen. Damit sind Kartenbetrüger mit einer weiteren Hürde konfrontiert.

Trotzdem gibt es die volle Sicherheit bei Onlinetransaktionen meines Erachtens nicht. Internetbetrüger sind schlau und finden immer neue Möglichkeiten, um an Codes heranzukommen und Karten zu missbrauchen. Darum rate ich, Kreditkartenabrechnungen immer genau zu prüfen und allfällige unbekannte Buchungen umgehend bei der Kartenherausgeberin zu beanstanden.

17 Kommentare zu «Bei Online-Zahlungen gibt es keine absolute Sicherheit»

  • piotr kuhglock sagt:

    Dann sollte man halt auf Papier überweisen – was spricht dagegen außer die Bequemlichkeit.

    • Tim Weser sagt:

      Ja, die Langsamkeit – und dass es auch nicht sicherer ist.
      Eine beleghafte Überweisung kann man genauso fälschen und es gibt quasi nur einen Sicherheitsfaktor (die eigene Kontonummer). Bei der Kreditkarte hingegen gibt es mehrere Sicherheitsfaktoren, welche geprüft werden.

      • Anton Meier sagt:

        Auf Papier überweisen gab es schon – und auch die dazugehörige Betrugsmasche: Am Freitag abend wurden die Briefkästen geplündert, die Couverts geöffnet, die Einzahlungsscheine durch die eigenen ersetzt und wieder zurück auf die Post – mit Originalunterschrift. Nicht wirklich besser.

    • Martin Leu sagt:

      @piotr kuhglock
      Dagegen spricht neben der Verzögerung, dass eine Papierüberweisung insbesondere im Ausland oft gar nicht möglich ist, sondern eine Bezahlung mittels Kreditkarte, Paypal o. Ä. verlangt wird.

  • werner sagt:

    Rund um das Unterschriftsfeld hat es keine Ziffern!

  • Kurt Waldvogel sagt:

    Das einzig sichere im Leben ist der Tod.
    Alles andere kann mit dem Kopf beeinflusst werden.

  • Charles Hügli sagt:

    Die Schweizer sind solche Hasenfüsse. Seit Jahrzehnten gibt es Kreditkarten, und es ist vollkommen klar, wer die Kosten eines Missbrauchs trägt: Nicht der Kunde, sondern der Herausgeber. Aber sogar im Jahr 2018 gibt es noch Leute, die dieses jahrzehntealte System nicht verstehen und Angst haben vor Missbrauch. Es ist schon krass. Ich meine, wie soll jemand beispielsweise die Unternehmenssteuerreform verstehen, der schon vom Mechanismus der Kreditkarte überfordert ist?

  • Michael.sold sagt:

    Herr Spieler, bei allem Respekt für Ihre Hinweise. Aber jeder Ihrer Tipps ist jeder mal schon Monate oder Jahre überholt. Sie hätten gut daran Infos zu geben die wirklich neu sind. Bei praktisch allen Kreditkarten braucht es seit ein paar Monaten für online Zahlungen ein Securitycode der per SMS geschickt wird. Was daran blöde ist, wenn man die Onlinezahlung mit dem gleichen Handy macht wie das SMS kommt, muss man sich den security code blitzschnell merken oder beim Wechsel der Seite geht die Onlinezahlung weg.

    • Martin Leu sagt:

      @Michael.sold
      Bei meinen Kredikartenzahlungen wurde auch in den letzten Wochen nie ein Securitycode verlangt.
      Smartphones sind grundsätzlich viel zu unsicher, um damit irgendwelche sensible Daten zu übertragen. Und viele Benutzer haben noch nicht einmal eine Antivirensoftware darauf installiert.

  • Martin Leu sagt:

    Kredikartenzahlungen im Internet sind immer betrugsgefährdet, dieses Problem wird auch mit CVCs, Securecodes oder kryptischen Passwörtern nur ungenügend gelöst. Ich selbst wurde vor 2.5 Jahren Opfer eines Angriffes mit einem Keylogger, vermutlich dem Gozi-Trojaner, der u.a. via das Newsportal von „20 minuten“ verbreitet wurde. Trotz aktuellem Virenscanner, Anti-Spyware und Firewall konnten meine sämtlichen Passwörter ausspioniert und so Bestellungen bei amazon und via PayPal im 4-stelligen Bereich getätigt werden. Auch auf meinen Mailserver wurde zugegriffen und die Bestätigungsemails selektiv umgeleitet, sodass ich den Vorfall erst anhand der Kreditkartenrechnung bemerkte. 7 verschiedene Virenscanner inkl. SISA Check konnten die Schadsoftware nicht finden.
    Fortsetzung folgt

  • Martin Leu sagt:

    Teil 2
    Es blieb mir schliesslich nichts anderes übrig, als alle 4 Rechner in meinem Netzwerk komplett neu zu installieren. Immerhin wurde der Schaden von VISA und PayPal andstandslos ersetzt. Mehr Sicherheit bietet eine Zwei-Faktor-Authentisierung mittels zustellung eines SMS-Codes, wie sie mittlerweile öfter angeboten, aber kaum beworben wird. Amazon kann entsprechend konfiguriert werden. Von Paypal wurde mir dies auch empfohlen, aber erst der 5. Hotline-Mitarbeiter konnte mir bestätigen, dass dies aus unerfindlichen Gründen für schweizer Kunden nicht möglich ist. Auch jetzt nach 2.5 Jahren ist dies immernoch so. Deshalb ist PayPal für mich gestorben.
    Fortsetzung folgt

  • Martin Leu sagt:

    Teil 3
    Für E-Banking und Online-Zahlungen habe ich seiher einen speziellen Rechner, der getrennt vom restlichen Netzwerk für nichts anderes verwendet wird und auf dem ausschliesslich Betriebsystem, Browser, Antivirensoftware und Firewall installiert sind und diese natürlich immer auf dem aktuellsten Stand gehalten werden.

    • Thomas sagt:

      Ja Herr Leu, das ist die schöne neue stressige Digitalisierungs-Welt, die ihnen (und mir) offensichtlich keine Erleichterung sondern Zusatzbelastungen bringt…
      Was folgern wir als intelligente Menschen daraus….?

  • Martin Leu sagt:

    @Thomas
    Da ich zu jener Generation gehöre, die das Tippen noch auf einer mechanischen Schreibmaschine (ohne Korrekturtaste!) gelernt hat, weiss, wie ein Telephon mit Wählscheibe funktioniert und ich die ganze Entwicklung der digitalen Welt seit ihren z.T. sehr mühseligen Anfängen hautnah miterleben durfte (mit z.B. Musikkassetten als „Massenspeicher“), kann ich deren Erleichterungen, wie sie sich heute präsentieren, nicht genug wertschätzen. Dafür bin ich auch bereit, gewisse unangenehme Zusatzbelastungen in Kauf zu nehmen.

  • Kramer Jörg sagt:

    Der Titel ist missverständlich, denn der Inhalt des Artikels betrifft die Zahlung mit Kreditkarte. Besonderen die aufgedruckte CVC. Hat aber mit den eBanking Zahlungen nichts zu tun. Es soll offenbar das Cliché bedienen, eBanking sei grundsätzlich nicht sicher. Und dies ist eine grundsötzlich falsche Aussage!

  • Pius Tschirky sagt:

    Bei der Gratis-Supercard von Coop erhalte ich, bevor ich eine Zahlung tätige sogar noch einen Code via SMS, den ich dann eingeben muss. Hatte auch noch nie Probleme damit.

  • ehn sagt:

    Ich mache seit vielen Jahren meine Onlinezahlungen auf dem Mac. No noch nie wurde mein Konto geknackt!
    Auch meine Visa Karte nicht im fernen Osten.
    Herr Spieler sie sind nicht up to Date!

Die Redaktion behält sich vor, Kommentare nicht zu publizieren. Dies gilt insbesondere für ehrverletzende, rassistische, unsachliche, themenfremde Kommentare oder solche in Mundart oder Fremdsprachen. Kommentare mit Fantasienamen oder mit ganz offensichtlich falschen Namen werden ebenfalls nicht veröffentlicht. Über die Entscheide der Redaktion wird keine Korrespondenz geführt.