Im Gespräch mit Nicole Mantow, ConCardis, www.concardis.com
Nicole Mantow ist Head of International Expansion and Sales SME bei der ConCardis GmbH, die als Gemeinschaftsunternehmen der deutschen Kreditwirtschaft Serviceleistungen rund um den kartengestützten Zahlungsverkehr erbringt. Zu den Kunden von ConCardis zählen rund 400.000 Handels- und Dienstleistungsunternehmen, in deren Geschäftsstellen bargeldlos gezahlt werden kann bzw. deren Leistungen bargeldlos in Anspruch genommen werden können.
Wie kommen Betrüger an Kreditkartendaten?
Betrüger bedienen sich verschiedener Methoden, um an Kreditkartendaten zu gelangen. Im einfachsten Fall wird einfach die Karte gestohlen, was vom Karteninhaber aber in der Regel schnell bemerkt wird und zur Sperrung der Kreditkarte führt. Da viele Händler bei Kreditkartenzahlungen im Internet nur die Angabe der Kreditkartennummer und des Gültigkeitsdatums der Karte fordern, reicht es jedoch auch aus, wenn die Betrüger in den Besitz von Kreditkartenabrechnungen oder Zahlungsbelegen kommen, auf denen diese Daten aufgedruckt sind. Um diese Art der Beschaffung von Kreditkartendaten für Betrüger zu erschweren oder gar unmöglich zu machen, haben die Kartenorganisationen beschlossen, nur noch eine verschlüsselte Darstellung der 16-stelligen Kartennummer zuzulassen und dadurch Missbrauch durch unberechtigte Dritte zu verhindern.
Um im großen Stil an Kreditkartendaten zu gelangen, werden manche Betrüger selbst als Händler aktiv und bieten Waren im stationären Handel oder im Internet an. Die dabei gesammelten Kreditkartendaten der Kunden werden anschließend verwendet, um selbst im Internet einzukaufen, oder in Internet- Foren an andere Betrüger verkauft. Auch Hacker- Angriffe auf Kundendateien von großen Handelsunternehmen, in denen Kreditkartendaten von Kunden gespeichert sind, gewinnen an Bedeutung. So wurden bei einer anglo-amerikanischen Kaufhauskette im Laufe von 2 Jahren über 45 Millionen Kreditkartendatensätze gestohlen. Durch die Einführung des Payment Card Industry Data Security Standards (PCI-Standard, vgl. Abschnitt 4.2) sollen solche Fälle zukünftig vermieden werden.
Wie kann ich mich als Händler vor Betrügern schützen?
Prüfen Sie Bestellungen aufmerksam auf Auffälligkeiten (vgl. Checkliste 5-3). Kontaktieren Sie bei Verdachtsfällen Ihre Händlerbank bzw. die Hotline Ihres Genehmigungs-Services und teilen Sie den Betrugsverdacht mit. Kontaktieren Sie den Kunden und fordern Sie ihn auf, Ihnen eine Ausweiskopie oder eine Kopie der letzten Kreditkartenabrechnung zuzusenden.
Um Sie als Händler besser vor Betrügern zu schützen, wurden zudem von den Kreditkartenunternehmen mit der Kartenprüfnummer, dem Address Verification Service und MasterCard SecureCode bzw. Verified by Visa zusätzliche Sicherheitsmechanismen für den Online-Handel entwickelt. Sollten Sie diese Verfahren bisher noch nicht einsetzen, sprechen Sie Ihren Payment Service Provider oder Ihren Acquirer darauf an.
Die drei- bis vierstellige Kartenprüfnummer – auch als Card Verification Code 2 (CVC2), Card Verification Value 2 (CVV2) oder Card Identification Number (CID) bezeichnet – ist bei MasterCard und Visa auf der Rückseite (dreistellig) und bei American Express auf der Vorderseite der Karte (vierstellig) aufgedruckt. Für Betrüger ist es weitaus schwieriger, in den Besitz der Kartenprüfnummer einer Kreditkarte zu gelangen. Im Gegensatz zur Kreditkartennummer und dem Gültigkeitsdatum ist diese nicht im Magnetstreifen der Karte gespeichert oder auf Kreditkartenabrechnungen oder Zahlungsbelegen enthalten. Die vom Kunden angegebene Kartenprüfnummer wird mit den übrigen Kreditkartendaten an den Kartenherausgeber übermittelt, der die Richtigkeit der Nummer prüft und das Ergebnis mit der Autorisierungsantwort an den Händler zurückmeldet.
Mithilfe des Address Verification Service lässt sich prüfen, ob die angegebene Lieferanschrift mit der Anschrift des Kreditkarteninhabers übereinstimmt. Der Kartenherausgeber vergleicht dazu die ihm vom Händler übermittelte Lieferanschrift mit der Anschrift, an die die Kreditkartenabrechnung versandt wird. Bei MasterCard und Visa ist dieser Service nur für Kreditkarten verfügbar, die z. B. in den USA herausgegeben wurden, American Express bietet den Address Verification Service für alle Karten an.
MasterCard SecureCode und Verified by Visa nutzen beide das so genannte 3-D-Secure-Protokoll. Setzt ein Händler diese Verfahren ein, so wird nach Angabe der Kreditkartendaten durch den Kunden zunächst geprüft, ob der Kunde von seiner Bank ein geheimes Kennwort zu seiner Kreditkarte erhalten hat. Ist dies der Fall, wird der Kunde zur Eingabe seines Kennworts aufgefordert, das anschließend durch den Kartenherausgeber verifiziert wird. Bei positivem Ergebnis ist der Händler vor Chargebacks mit der Begründung geschützt, die Kreditkartendaten seien von Betrügern missbraucht worden (vgl. die Chargeback Reason Codes 37 und 63 bei MasterCard sowie 83 bei Visa in Infobox 5-8). Hat der Kunde kein Kennwort von seiner Bank erhalten, wird er nicht zur Kennworteingabe aufgefordert. Der Händler kann Chargebacks mit den Reason Codes 37 und 63 bzw. 83 aber in der Regel dennoch zurückweisen, wenn er die Verfahren einsetzt. Von dieser Regel existieren nur einige wenige Ausnahmen, die bestimmte vorausbezahlte Kreditkarten (Prepaid-Kreditkarten) und bestimmte Transaktionen mit Firmenkreditkarten betreffen. Aufgrund des verbesserten Schutzes vor Chargebacks empfehlen wir grundsätzlich allen Händlern, die Verfahren im Internet einzusetzen.
Internet: www.concardis.com