Warum sind auf Kreditkarten die Nummer und der CVC-Code für alle sichtbar aufgedruckt?

Letztendlich tragen Sie nicht das Betrugsrisiko, also legen Sie auch nicht die Risikotoleranz fest. Der dreistellige Code, die ganze Kartennummer, Chip und Pin, Chip und Unterschrift, die Unterschrift auf einem Beleg, die Info auf dem Magnetstreifen usw. Ihre Bank wird Ihnen sagen, dass alle diese Daten wirklich geheim sind und Sie sie schützen sollten, aber sie würden sie Ihnen ins Gesicht tätowieren, wenn sie könnten.

Der Name des Spiels ist geringstmögliche Transaktionsreibung im Verhältnis zu akzeptablen Betrugskosten.

Warum ist die dreistellige Nummer auf der Karte aufgedruckt? Weil Sie die Karte vermutlich in der Hand haben, wenn Sie sie benutzen wollen. Dieser “geheime” Code wurde eingeführt, um Betrug auf niedrigem Niveau zu bekämpfen bzw. zu verhindern, vor allem im Zusammenhang mit dem Skimming von Magnetstreifen und den alten Zeiten, als Quittungen Abdrücke der Karte waren. Diese Nummer ist nicht Teil der Magnetstreifendaten und sollte nur vor dem Magnetstreifen und Personen geheim gehalten werden, die in den Besitz einer großen Anzahl von aufgedruckten Belegen (in den frühen Tagen der Kreditkarten) oder einer mit Kreditkartennummern gefüllten Datenbank kommen könnten. Sie war immer nur dazu gedacht, einen niedrigen Beweis für das Vorhandensein der Karte zu liefern, um Fälle zu bekämpfen, in denen große Mengen an Kontonummern entwendet wurden; sie authentifiziert oder sichert keine Transaktionen, es ist keine Prüfsumme, es ist nur eine Zahl, die nicht im Magnetstreifen oder Aufdruck enthalten ist. Interessanterweise, wenn auch nicht überraschend, ist die Nummer nicht einfach zufällig, sondern wird kryptografisch von der primären Kontonummer abgeleitet, und zwar auf eine Weise, die nur dem Kartenaussteller bekannt ist.

Warum versucht die Bank nicht, die Nummer besser zu schützen? Weil die Bank möchte, dass Sie die Karte benutzen können, ohne sich eine Nummer merken zu müssen.

Warum ist die vierstellige “geheime” Nummer von American Express auf der Vorderseite der Karte und nicht einmal sicher auf der Rückseite versteckt, wer weiß das schon; aber es ist klar, dass die Nummer nicht für jeden, der physischen Zugriff auf die Karte haben könnte, sicher sein soll.

Warum ist die Karte nicht nackt, sondern nur mit einem Branding versehen, bei dem die Informationen irgendwo anders sicher gespeichert sind? Weil zwei Orte mehr Orte sind und Sie die Karte möglicherweise nicht benutzen, wenn Sie das Stück Papier ausgraben müssen, das Ihnen separat zugeschickt wurde und auf dem der offensichtlich nie beabsichtigte, sichere dreistellige Code aufgedruckt ist.

Der Anreiz der Bank ist, dass Sie die Karte benutzen. Wenn Sie die Karte nicht benutzen oder eine Karte eines Mitbewerbers verwenden, verdient die Bank kein Geld.

Wenn Sie Ihre Zahlungsmethoden besser absichern möchten, als es der Bank recht ist, steht es Ihnen frei, das zu tun. Kratzen Sie die Nummern ab, ziehen Sie den Magnetstreifen ab, was auch immer; allerdings ist das Ändern der Karte wahrscheinlich ein Verstoß gegen Ihre Kartenmitgliedschaftsvereinbarung. Die Bank macht das nicht, weil es der Bank egal ist.

Der Zweck des Sicherheitscodes ist nicht eine geheime PIN. Der Zweck ist, zu “beweisen”, dass Sie die physische Karte zum Zeitpunkt des Kaufs in Ihrem Besitz haben. Er wird nur verwendet, wenn der Händler nicht bestätigen kann, dass Sie die physische Karte in Ihrem Besitz haben. Sie wird verwendet, wenn Sie etwas auf einer Website kaufen, aber auch in einem physischen Geschäft, wenn die Karte nicht gescannt werden kann und die Nummer manuell eingegeben werden muss.

Der Grund, warum sie auf der Karte aufgedruckt ist, ist, dass jemand anderes als Sie sie möglicherweise lesen muss. Wenn Sie die Karte einem Kassierer aushändigen und dieser die Karte aus irgendeinem Grund nicht scannen kann und die Nummer eintippen muss, kann er die Karte umdrehen und den Sicherheitscode eintippen, um dem Computer zu beweisen, dass er die Karte in seinem Besitz hat. Er war nie dafür gedacht, dass man ihn sich merkt, und wenn Kartenbenutzer den Code auswendig lernen, verliert er seine Wirksamkeit als Beweis für den physischen Kartenbesitz.

Man kann argumentieren, dass der auf der Karte aufgedruckte Code die Karte weniger sicher macht, und einige haben vorgeschlagen, den Code von der Karte abzukratzen nachdem man ihn sich eingeprägt hat, aber das würde wirklich nur eine bestimmte Art von Kreditkartenbetrug verhindern, die nicht so häufig ist wie andere Betrugsmethoden.

In Ermangelung einer echten PIN wird es immer üblicher, die Rechnungs-Postleitzahl als weitere Validierung zu verwenden, da es sich um eine Zahl handelt, die sich der Karteninhaber bereits gemerkt hat und die nicht auf der Karte aufgedruckt ist.

Der Hauptzweck des Sicherheitscodes ist es, zu verhindern, dass gehackte Karteninformationen wiederverwendet werden. Dies wird vor allem dadurch erreicht, dass Zahlungsabwickler diesen Code nicht speichern

Händler, Dienstleister und andere an der Verarbeitung von Zahlungskarten beteiligte Stellen dürfen niemals sensible Authentifizierungsdaten nach der Autorisierung speichern. Dazu gehören der 3- oder 4-stellige Sicherheitscode, der auf der Vorder- oder Rückseite einer Karte aufgedruckt ist, die auf dem Magnetstreifen oder Chip einer Karte gespeicherten Daten (auch “Full Track Data” genannt) - und die vom Karteninhaber eingegebenen persönlichen Identifikationsnummern (PIN). In diesem Kapitel werden die Ziele des PCI DSS und die damit verbundenen 12 Anforderungen vorgestellt Quelle - Folie 11

Sie fragen, warum die Kartennummer und der Sicherheitscode auf der Karte aufgedruckt sind. In beiden Fällen lassen Sie uns ein wenig in die Geschichte zurückblicken:

Die Kartennummer

Die Kartennummer (in der Branche PAN genannt) ist nur eine Kennung, sie hat keinen Grund, geheim zu sein. Sie wird für jede Transaktion benötigt, damit eine Abbuchung… dem entsprechenden Konto belastet werden kann, egal ob:

• an einem physischen Point of Sale (POS), unter Verwendung der alten “Imprinter”-Methode (nicht sicher, ob diese noch irgendwo in Gebrauch ist). Das ist der Grund, warum die Nummer tatsächlich geprägt und nicht nur gedruckt wird (zusammen mit den anderen für die Transaktion erforderlichen Angaben: Ablaufdatum, Name des Karteninhabers).

• an einem Point of Sale, mit einem POS-Terminal (“Kreditkartenautomat”), der entweder den Magnetstreifen oder den Chip der Karte ausliest, die beide die PAN und die restlichen Daten ohne jegliche Authentifizierung oder Verschlüsselung liefern.

• per Telefon oder Papier (was in der Branche als “MOTO” bezeichnet wird: Mail-Order / Telefon-Order), bei dem man die Daten einfach am Telefon abliest oder auf das Bestellformular schreibt.

• im Internet, wo man die Nummer von der Karte ablesen und in ein Formular eintragen muss. Wie könnten Sie etwas bestellen, wenn Sie die Kartennummer nicht ablesen können?

Die PAN war noch nie ein Geheimnis. Es ist nur eine Kontonummer, genau wie Ihre Kontonummer auf Papierschecks erscheint, um zu wissen, von welchem Konto das Geld abgebucht werden soll.

Manche Leute denken, dass der Schlüssel (die letzte Ziffer) ein (schlechtes) Sicherheitsmerkmal ist, während er eigentlich nur dazu dient, vor Eingabefehlern zu schützen (Ziffer geändert, Ziffern vertauscht…).

Heutzutage fangen die Leute an zu denken, dass ein PAN geheim sein sollte, und das hat zur Einführung der “Tokenisierung” geführt: Anstatt die eigentliche Kartennummer zu senden, wird stattdessen eine andere Kartennummer gesendet, die entweder auf einen bestimmten Kanal (und möglicherweise ein Gerät) oder sogar auf eine einzelne Transaktion beschränkt ist.

Dies ist zum Beispiel bei Apple Pay der Fall: Wenn Sie Ihre Karte mit ihrer echten PAN registrieren, sendet die Bank ein Token (“gefälschte” PAN) zurück, das stattdessen verwendet wird und nur für Zahlungen mit Apple Pay auf diesem Gerät verwendet werden kann. Wenn jemand diese PAN abfängt, kann er damit nichts anfangen: Sie wird nicht akzeptiert, um eine Karte zu Apple Pay hinzuzufügen, sie wird nicht im Laden, online, per Telefon oder sonst wo akzeptiert.

Ist das wirklich sinnvoll? In einer perfekten Welt, in der alle Transaktionen durch andere Mittel authentifiziert werden, sollte es eigentlich egal sein, eine PAN allein sollte nutzlos sein. In der Praxis, da es Kanäle gibt, die die Verwendung von ziemlich unsicheren Authentifizierungsmethoden erlauben, ist das eine zusätzliche Verteidigungslinie.

Beachten Sie, dass die Notwendigkeit der Tokenisierung mit der Einführung von kontaktlosen Karten wahrscheinlich etwas wichtiger geworden ist: Sie können die PAN jeder kontaktlosen Karte lesen, ohne sie überhaupt zu berühren, es geht nur darum, nahe genug heranzukommen.

Der Sicherheitscode

Der Sicherheitscode, der auf der Rückseite der Karte aufgedruckt ist (oder auf der Vorderseite, bei American Express Karten), war ursprünglich nicht vorhanden. Er wurde hinzugefügt, um die folgenden Betrugsszenarien zu vermeiden:

• ein Kreditkartenbeleg mit der vollständigen Kartennummer (und Name und Gültigkeitsdauer) wurde weggeworfen und von jemand anderem eingesammelt (dies war insbesondere der Fall, als Imprinter im Einsatz waren, aber auch bevor die Kartennetzwerke schließlich beschlossen, dass es verboten ist, die vollständige PAN auf den Kundenbeleg zu drucken).

• eine Karte wird “durchgestrichen”, um den Inhalt des Magnetstreifens aufzuzeichnen, der die PAN, den Ablauf der Gültigkeit, den Namen des Karteninhabers und mehr enthält…). Dies ermöglichte es Personen, die physischen Zugang zu Karten hatten (Kellner, Kassierer…), ziemlich schnell eine große Anzahl von Karten zu erfassen, ohne bemerkt zu werden.

Um dem entgegenzuwirken, wurde dieser neue Code hinzugefügt, der sich nicht auf dem Beleg befindet (da er nicht geprägt ist), und auch nicht auf der Magnetspur.

Dieser Code wird nur für MOTO- und Online-Käufe benötigt, bei denen man nicht sehen kann, ob der Benutzer die Karte tatsächlich hat (eine sogenannte “card not present”-Transaktion), und man etwas sicherer sein möchte, dass der Benutzer die Karte hat.

Dies ist in der Tat recht einfach zu umgehen: Sie müssen nur entweder eine vollständige Kopie der Karte (beide Seiten) anfertigen oder sich alle Daten notieren. Aber in vielen der oben genannten Szenarien macht es das für einen unehrlichen Benutzer nur ein bisschen schwieriger, es unbemerkt zu tun.

(Die Einführung von Handheld-Terminals hilft auch sehr, da ein Benutzer seine Augen – und Hände – immer auf der Karte lassen kann, aber besonders in Restaurants in den USA ist das noch nicht Standard).

Der Sicherheitscode hilft auch für den Fall, dass eine Website Ihre Kreditkartendaten speichert und es jemandem gelingt, sich Zugang dazu zu verschaffen: Theoretisch darf niemand den Sicherheitscode speichern, so dass ein Hacker nur die PAN und die Gültigkeitsdauer erhalten würde und nicht in der Lage wäre, die Karte erneut zu verwenden, aber in der Praxis speichern immer noch viel zu viele Leute den Sicherheitscode. Die Industrie ist hinterher (das ist einer der Aspekte der PCI DSS-Initiative), aber es ist noch ein langer Weg bis dahin.

Der wirkliche Schutz kommt von neuen Authentifizierungsmaßnahmen (3D Secure), die einen weiteren Verifizierungsmodus über diese Daten hinaus ermöglichen. Abhängig von der Bank (oder sogar der Karte), können diese beinhalten:

• ein Passwort
• ein Einmal-Passwort (OTP), das per SMS oder auf andere Weise gesendet wird
• biometrische Authentifizierung (Fingerabdruck, Gesichtserkennung, Iris-Scan…)
• die tatsächliche Kommunikation mit dem Chip auf der Karte über einen Kartenleser, der mit dem Computer verbunden ist (ich bin mir nicht sicher, ob dies tatsächlich irgendwo eingesetzt wurde) …

Beachten Sie, dass der Sicherheitscode nur für Online/MOTO-Transaktionen (“card not present”-Transaktionen) verwendet wird. Bei Transaktionen mit vorhandener Karte wird entweder:

• einen anderen Sicherheitscode, der sich auf dem Magnetstreifen befindet (der allerdings leicht zu kopieren ist)
• die Kommunikation mit dem Chip (bei Karten, die einen haben), damit sich die Karte authentifiziert.

Einfach, die Absicht hinter dem Kreditsystem ist das Vertrauen zwischen dem Austausch von verschiedenen Parteien in eine rechtzeitige Angelegenheit zu nutzen. Allerdings ist die Cyberwelt weit davon entfernt, kugelsicher zu sein. Die meisten Exploits liegen in der Regel im Design selbst und nicht in anderen Dingen. Mein Rat an alle, die mit Hilfe von Computern im Leben weiterkommen wollen: Halten Sie sich an marktfähige Fähigkeiten wie die Reparatur von Bildschirmen und Logikplatinen und nicht an Cyberdiebstahl. Es gibt viel mehr Möglichkeiten, der Welt zu zeigen, wofür man Zeit braucht, um es zu verstehen, z.B. Elektrotechnik, anstatt andere zu belästigen, indem man von ihnen nimmt (Kreditkartendiebstahl). Es sieht so aus, als ob die Cybersicherheit in der Zukunft auf denkenden Maschinen beruhen wird, die sich wiederholende Entscheidungen treffen, und von dort aus können die Menschen entscheiden, welche Richtung auf lange Sicht vorteilhafter ist.

Früher gab es ein “Verified by Visa”-System, bei dem die Visa-Kreditkarte ein Passwort hatte, das der Verbraucher aufbewahrte. Das Passwort befand sich nicht auf der Karte. Das “Verified by Visa”-System wurde bei Internet-Transaktionen verwendet. Händler hatten die Möglichkeit, das System anzubieten.