Nicht nur die Lufthansa ist betroffen. Auch die britische Bank Barclays tauscht mehrere Tausend Kreditkarten um, mit denen in Spanien bezahlt worden ist. Visa und Mastercard hatten die ausgebenden Banken vor dem Missbrauch gewarnt und die Warnung mit angeblichen Ungereimtheiten bei einem Abrechnungsdienstleister in Spanien begründet. Um welche Ungereimtheiten es sich handelt, wollten die Kreditkartenfirmen nicht sagen. Eine Sprecherin der DKB-Bank, die mit der Lufthansa zusammenarbeitet, bestätigte lediglich, dass beim spanischen Zahlungsdienstleister Kartendaten "abgegriffen" worden seien. Alle Indizien deuten darauf hin, dass die Kreditkarteninformationen bei einer Hackerattacke auf Abrechnungsserver erbeutet worden sind. Organisierte Kriminalität steckt nach Meinung von Dr. Udo Helmbrecht dahinter, Chef der Internetsicherheitsagentur der Europäischen Union.
"Der typische Fall ist, dass man Daten verkaufen kann. Man kennt das ja grundsätzlich von Adressenhandel, wenn Sie Werbung bekommen und sich manchmal fragen: Wieso bekomme ich schon wieder Werbung? Dann sind irgendwo auf dem Weg im Hintergrund Ihre Daten verkauft worden. Und hier ist das auch so, dass eben illegal Adressenhandel betrieben wird, gerade Kreditkarten haben einen entsprechenden Wert, das heißt also diese Kriminellen, die diese Daten irgendwo gestohlen haben, verkaufen sie weiter an andere Kriminelle, die diese dann benutzen, um damit dann ihre weiteren Machenschaften zu betreiben."
In früheren Fällen wurden Kreditkartendaten von gehackten Servern auf regelrechte Sammelrechner im Internet geschickt. Diese Sammelrechner heißen Dropzones. Thorsten Holz von der Universität Mannheim hat genau nachgeforscht, was mit den erbeuteten Kreditkarteninformationen auf den Dropzone-Rechnern dann geschieht.
"Wir haben vier Dropzones gefunden, im ehemaligen Ostblock, vor allen Dingen in Russland und Estland. Was wir wissen ist, dass die geklauten Daten, die gehandelt werden, da gibt es dann auf dem Schwarzmarkt einen Umschlagplatz, wo man solche Daten entweder komplett kaufen kann oder man eben fünf Kreditkarten kauft."
Es gibt beispielsweise regelrechte kriminelle Einkaufskooperativen, die von den Hackern gestohlene Kreditkartendaten kaufen und damit dann Waschmaschinen, Videokameras oder hochwertige Unterhaltungselektronik fürs Heimkino einkaufen. Neben den Dopzone-Sammelstellen für die geklauten Kreditkartendaten gibt es Dropzones für die damit eingekauften Konsumgüter, Beschaffungs- oder Tarnadressen. Und die werden von dort an sogenannte Weiterverkäufer geschickt. Spannend ist dabei die Frage, ob der Kreditkartenbesitzer, mit dessen Kartendaten missbräuchlich eingekauft wurde, diese Einkäufe dann auch bezahlen muss. Gegenwärtig kommen meist noch die Hausbanken für solche Schäden auf. Sie müssen das nicht, warnt Evelyn Kessler von der Verbraucherzentrale Baden-Württemberg.
"Haftbar bin ich dann, wenn mir Fahrlässigkeit oder Missbrauch der Kreditkarte nachgewiesen werden kann von der Bank. Es gibt mittlerweile einige Prozesse in diesem Bereich und es ist immer wieder so, dass auch Gerichte da dem Kunden eine große Verantwortung und Sorgfalt im Umgang mit ihrer Kreditkarte zuschustern."
Und auch wenn den Verbraucher überhaupt keine Schuld trifft, weil etwa ein Abrechnungsserver gehackt und seine Kreditkartendaten auf diese Weise erbeutet wurden, kann er zur Kasse gebeten werden. Evelyn Kessler:
"Also in diesem Fall ist es offensichtlich so, dass den Verbraucher kein Verschulden trifft. Das heißt, er ist nicht in voller Höhe haftbar. Allerdings ist es seit 30. Oktober den Instituten möglich, dass sie in den allgemeinen Geschäftsbedingungen bei solchen Schäden – egal ob den Kunden eine Schuld trifft oder nicht – den mit 100 oder maximal 150 Euro an solch einem Schaden beteiligen."
Wer mit der Kreditkarte bezahlt, geht ein Risiko ein. Allein deshalb sollte man jeden Monat ganz genau die Abrechnung kontrollieren.
"Der typische Fall ist, dass man Daten verkaufen kann. Man kennt das ja grundsätzlich von Adressenhandel, wenn Sie Werbung bekommen und sich manchmal fragen: Wieso bekomme ich schon wieder Werbung? Dann sind irgendwo auf dem Weg im Hintergrund Ihre Daten verkauft worden. Und hier ist das auch so, dass eben illegal Adressenhandel betrieben wird, gerade Kreditkarten haben einen entsprechenden Wert, das heißt also diese Kriminellen, die diese Daten irgendwo gestohlen haben, verkaufen sie weiter an andere Kriminelle, die diese dann benutzen, um damit dann ihre weiteren Machenschaften zu betreiben."
In früheren Fällen wurden Kreditkartendaten von gehackten Servern auf regelrechte Sammelrechner im Internet geschickt. Diese Sammelrechner heißen Dropzones. Thorsten Holz von der Universität Mannheim hat genau nachgeforscht, was mit den erbeuteten Kreditkarteninformationen auf den Dropzone-Rechnern dann geschieht.
"Wir haben vier Dropzones gefunden, im ehemaligen Ostblock, vor allen Dingen in Russland und Estland. Was wir wissen ist, dass die geklauten Daten, die gehandelt werden, da gibt es dann auf dem Schwarzmarkt einen Umschlagplatz, wo man solche Daten entweder komplett kaufen kann oder man eben fünf Kreditkarten kauft."
Es gibt beispielsweise regelrechte kriminelle Einkaufskooperativen, die von den Hackern gestohlene Kreditkartendaten kaufen und damit dann Waschmaschinen, Videokameras oder hochwertige Unterhaltungselektronik fürs Heimkino einkaufen. Neben den Dopzone-Sammelstellen für die geklauten Kreditkartendaten gibt es Dropzones für die damit eingekauften Konsumgüter, Beschaffungs- oder Tarnadressen. Und die werden von dort an sogenannte Weiterverkäufer geschickt. Spannend ist dabei die Frage, ob der Kreditkartenbesitzer, mit dessen Kartendaten missbräuchlich eingekauft wurde, diese Einkäufe dann auch bezahlen muss. Gegenwärtig kommen meist noch die Hausbanken für solche Schäden auf. Sie müssen das nicht, warnt Evelyn Kessler von der Verbraucherzentrale Baden-Württemberg.
"Haftbar bin ich dann, wenn mir Fahrlässigkeit oder Missbrauch der Kreditkarte nachgewiesen werden kann von der Bank. Es gibt mittlerweile einige Prozesse in diesem Bereich und es ist immer wieder so, dass auch Gerichte da dem Kunden eine große Verantwortung und Sorgfalt im Umgang mit ihrer Kreditkarte zuschustern."
Und auch wenn den Verbraucher überhaupt keine Schuld trifft, weil etwa ein Abrechnungsserver gehackt und seine Kreditkartendaten auf diese Weise erbeutet wurden, kann er zur Kasse gebeten werden. Evelyn Kessler:
"Also in diesem Fall ist es offensichtlich so, dass den Verbraucher kein Verschulden trifft. Das heißt, er ist nicht in voller Höhe haftbar. Allerdings ist es seit 30. Oktober den Instituten möglich, dass sie in den allgemeinen Geschäftsbedingungen bei solchen Schäden – egal ob den Kunden eine Schuld trifft oder nicht – den mit 100 oder maximal 150 Euro an solch einem Schaden beteiligen."
Wer mit der Kreditkarte bezahlt, geht ein Risiko ein. Allein deshalb sollte man jeden Monat ganz genau die Abrechnung kontrollieren.