Datendiebstahl bei Kreditkarten – Wer zahlt das?
Bankautomaten lassen sich immer seltener manipulieren und Kassenterminals im Handel sind immer besser abgesichert. Zumindest in Deutschland. Im Gegenzug dazu wächst die Kriminalität im Internet stetig, neben den Kunden selbst, die so genannten Phishing-Mails erhalten, um ihre Daten abgreifen zu können, werden auch Händler online vermehrt zum Ziel von Kartenbetrügern.
Dabei handelt es sich oftmals um Einzelfälle, wenn Kartendaten von Privatpersonen abgegriffen werden, die beim Shoppen im Internet ihre Kreditkarte oder Bankkarte nutzen. Manchmal aber erwischt es einen Händler dann doch auch beim bargeldlosen Zahlungsverkehr vor Ort so richtig eiskalt, wie es bei Target in den USA der Fall war.
40 Millionen Kartendaten gestohlen
Im Dezember des vergangenen Jahres bestätigte Target-Chef Gregg Steinhafel, dass es in seinem Unternehmen zum Diebstahl von Kartendaten im großen Stil gekommen war. Dabei wurden nach damaligen Angaben rund 40 Millionen Daten von Kreditkarten und Bankkarten gestohlen.
Der unbefugte Zugriff auf die Kreditkartendaten soll in der Zeit zwischen dem 27. November und dem 15. Dezember 2013 in den Geschäften von Target erfolgt sein, wie Steinhafel in einer Stellungnahme bekanntgab. Die kanadischen Geschäfte und target.com waren seiner Aussage nach nicht betroffen. Gestohlen wurden dabei die Daten von Karten, mit denen Kunden in diesem Zeitraum in den Geschäften bargeldlos bezahlt hatten.
Wer trägt die Verantwortung und muss zahlen?
Gregg Steinhafel machte an jenem 20. Dezember des vergangenen Jahres klar, dass die Kunden nicht zur Verantwortungen gezogen werden für die Kosten, die aus diesem Kartendiebstahl entstanden sind. Der Chef des US-Einzelhändlers machte damals auch klar. „Either your bank or Target have that responsibility.“ Was auf gut Deutsch bedeutet: „Entweder zahlt die jeweilige Karten ausgebende Bank die Zeche oder aber Target.“
18 Milliarden Dollar Schaden
Insgesamt haben Hacker aus Osteuropa im vergangenen Herbst die Daten von mehr als 100 Millionen Kunden gestohlen, was den Banken natürlich starke Kopfschmerzen verursacht hat, gaben sie die betroffenen Kreditkarten und Debit-Karten doch aus. Dabei haben die Hacker, für deren Entdeckung Target Kriminaltechniker eines externen Unternehmens eingesetzt haben soll, nicht nur die Kundennamen und die Nummern der Kreditkarten und Debit-Karten gestohlen, sondern zudem das Ablaufdatum der Karte sowie den Sicherheitscode.
Nachdem der Hackerangriff bekannt wurde, wurden die Karten der betroffenen Kunden ausgetauscht, damit kein Missbrauch mit den Kreditkarten und Bankkarten durchgeführt werden kann. Die ausstellenden Banken der von den Hackern angegriffenen Karten gehen davon aus, dass für jede Debit-Karte oder Kreditkarte, die sie ersetzen mussten, Kosten zwischen 15 Dollar und 50 Dollar entstanden sind. Insgesamt würde dies einen Schaden von 18 Milliarden Dollar für die Karten ausgebenden Banken bedeuten.
Sammelklage wegen des Daten-Verletzung-Fiaskos
Nun sind 40 Millionen gestohlene Kartendaten, wie Target-Chef Steinhafel sie kurz vor Weihnachten des vergangenen Jahres bestätigt hatte und die Daten von mehr als 100 Millionen Kunden nicht gerade die gleiche Zahl. Ob Steinhafel damals einfach untertrieben hatte oder ob er die genaue Zahl einfach noch nicht kannte … wir wissen es nicht. Fakt ist aber, dass die Banken keine Lust haben, die hohen Kosten selbst zu tragen und nun eine Sammelklage gegen den US-Einzelhändler auf den Weg gebracht haben.
Banken wollen Schaden nicht selbst tragen
Die Banken haben keine Lust darauf, den milliardenschweren Schaden selbst zu tragen, was nur zu verständlich ist. Plötzlich aber erscheint die Aussage, die Target-Chef Gregg Steinhafel an jenem 20. Dezember 2013 gemacht hat (siehe oben), in einem ganz anderen Licht. Target weist mittlerweile jedoch die Verantwortung für die Verluste, welche durch den Datendiebstahl entstanden sind, zurück.
Am Dienstag der vergangenen Woche argumentierten die Rechtsanwälte des US-Einzelhändlers vor dem zuständigen Bundesgericht in St. Paul, Minnesota , dass Target keine Rechtspflicht gegenüber den Banken hat. Diese waren gezwungen gewesen, die beim Einzelhändler im Vorweihnachtsgeschäft 2013 gehackten Debit-Karten und Kreditkarten zu ersetzen, um nicht noch einen größeren Schaden durch den Hackerangriff davontragen zu müssen.
Das Unternehmen hingegen ist der Überzeugung, dass es keine Rechtspflicht gegenüber den kartenausgebenden Banken hat, weil es keine direkte Beziehung mit den Herausgebern der Karten hat und ihnen somit auch keine besondere Sorgfalt schuldet.
Präzedenzfall mit weltweiter Wirkung?
Doch wer hat nun eigentlich wirklich Schuld und muss am Ende bezahlen? Die Banken, die ihre Karten nicht ausreichend geschützt haben, damit beim bargeldlosen Bezahlen keine Daten abgegriffen werden können? Oder Target, das als Einzelhändler in der Sorgfaltspflicht steht, die Kundendaten und damit auch die Daten von Kreditkarten und Debit-Karten, genügend abzusichern?
Die Sammelklage der Banken gegen Target dürfte damit weit über die USA hinaus Bedeutung haben und könnte zu einem Präzedenzfall mit weltweiter Wirkung werden. Denn: Das bargeldlose Bezahlen, vor allem im Bereich des Mobile Payment, gewinnt zunehmend an Bedeutung und dies in der ganzen Welt. Doch wer schützt letztlich die Daten der Kunden bzw. ist für deren Schutz in letzter Instanz verantwortlich?
Dieser Frage wird das US-Bundesgericht nachgehen müssen. Bereits jetzt ist abzusehen, dass das Urteil, wie immer es ausfallen mag, Folgen haben wird. Für den bargeldlosen Zahlungsverkehr in den USA und möglicherweise weit darüber hinaus.
Die Frage aller Fragen
Eine Frage wird im laufenden Sammelklage-Verfahren gegen Target wohl ganz besonders wichtig sein bzw. deren Antwort. Wieso konnten die Hacker nicht nur die Namen und die Kartennummer abgreifen, sondern zudem das Ablaufdatum der betroffenen Kreditkarten und Debit-Karten sowie deren Sicherheitscodes? Die Antwort darauf wird möglicherweise viel darüber aussagen, wer wirklich die Verantwortung für diesen Datendiebstahl im großen Stil trägt und wer dann dafür zahlen muss, die Banken oder der vom großangelegten Hackerangriff betroffene Einzelhändler.
Am Ende zahlen die Kunden doch?
Doch egal, wer am Ende für den Schaden bzw. den Umtausch der Kreditkarten und Bankkarten aufkommen muss – am Ende wird wohl doch der Kunde selbst zahlen müssen. Durch höhere Gebühren für neue Karten. Durch höhere Kosten für sein Bankkonto. Oder durch höhere Kosten für Waren, die im Einzelhandel, das heißt bei Target gekauft werden.
So oder so ist es wohl der Kunde, der am untersten Ende steht und zahlen muss -ganz egal- wessen Schuld es nun wirklich ist, dass so viele relevante Daten gestohlen werden konnten. Keiner der Beteiligten, seien es die Banken, die Kreditkartenanbieter und der US-Einzelhändler, werden die Kosten für sich selbst behalten und bezahlen wollen, wie auch immer das Urteil letztlich lauten mag.
Ist ein solcher Datendiebstahl in Deutschland möglich?
Der Fall von Datendiebstahl, von welchem der US-Einzelhändler Target betroffen war, ist von solch einer Dimension, die man sich kaum vorstellen kann. Dabei ist nach wie vor nahezu unverständlich, wie viele wichtige Daten bei diesem Hackerangriff gestohlen wurden, da dabei nicht nur Kartennummer und Kartenbesitzer, sondern daneben die sonstigen, für Kreditkarten und Debit-Karten relevanten Daten in die Hände der Hacker aus Osteuropa fielen.
Dies wirft natürlich die Frage auf, wie skeptisch Verbraucher wirklich beim Bezahlen mit solchen Karten sein sollten. Ist es wirklich besser, generell mit Bargeld zu bezahlen, weil ein solcher Datendiebstahl auch in Deutschland möglich wäre? Oder sind die Hürden, die hierzulande zu beschreiten sind, nicht denkbar höher als in den USA bzw. beim Ziel des Angriffs, bei Target selbst?
EMV-Chips sicherer als Magnetstreifen
Das Problem bei dem Angriff könnte möglicherweise darin gelegen haben, dass in den USA bislang in der Hauptsache auf den Magnetstreifen, denn auf die in Europa längst gängigen, und viel sichereren EMV-Chips auf Kreditkarten und Bankkarten gesetzt wird. Erst jetzt sind die Banken in den USA auf den Trichter gekommen, die Karten neben dem Magnetstreifen auch mit den Chips auszustatten, da sich die Kartenkriminalität inzwischen aus Europa in die Vereinigten Staaten verlagert hat.
Kreditkarten mit EMV-Chip auszulesen ist für Hacker schwieriger, wenn natürlich vielleicht nicht ganz unmöglich. Die Sicherheitsvorkehrungen in Deutschland sind jedoch bei Banken wie bei den großen Einzelhändlern in den vergangenen Jahren auf einem immer höheren Niveau angekommen. Hier gleich auf einen Schlag bei einem Hackerangriff Millionen von Daten auslesen zu können, ist damit schwierig. Dann auch noch gleich die CVC, den Sicherheitscode zu erhalten, ist denkbar schwieriger bzw. nahezu undenkbar.
Solche Hackerangriffe dürften nur über das Internet bzw. bei Onlineshops möglich sein, wo die Kreditkartendaten bzw. die Daten der EC-Karten zusammen mit Sicherheitscode und Ablaufdatum der jeweiligen Karte eingegeben werden. Um dies zu umgehen, weil man sich damit als Verbraucher nicht wohlfühlt, ist ganz einfach: Über einen Zahlungsdienst wie PayPal oder eine digitale Geldbörse (= Wallet) zu bezahlen, damit die Kreditkartendaten und Zahlungsdaten nicht beim Shop selbst eingegeben werden müssen und diese dann dort gar nicht erst präsent sind.