Verified by VISA oder Sicherheit ad absurdum

Seit einigen Jahren besitze ich eine Kreditkarte von VISA; hautpsächlich um im Ausland einfach bezahlen bzw leicht Geld abheben zu können. Auch Online-Bestellungen in Übersee sind deutlich einfacher mit einer Kreditkarte zu bewerkstelligen. Dafür erkaufe ich mir ein höheres Risiko, denn oft kann nur durch Angabe der Kartennummer eine Bestellung abgeschlossen werden. Wer also meine Kreditkartennummer kennt, kann theoretisch ohne Probleme auf meine Kosten shoppen gehen.

Dies verhindern soll die Prüfziffer, eine dreistellige Zahl auf der Rückseite der Karte, die wie eine Art Passwort bei jeder Transaktion eingegeben werden soll. Da die Prüfzimmer allerdings auf der Karte steht, und die meisten Online-Händler diese mit der Kartennummer abfragen, ist es unwahrscheinlich, dass ein Dieb nur an die einfache Kartennummer gelangt.

Online hat sich ein weiteres Sicherheitsverfahren etabliert, welches dem Datendiebstahl vorbeugen soll. Dabei wird der Kunden während der Transaktion auf den Server eines Anbieters, Arcot Systems, umgeleitet, der nach Angabe eines Passwortes bestätigt, dass der Kunde auch der Besitzer der Kreditkarte ist. Dieser muss für das Verfahren Verified by VISA registriert sein; ein bei der Registration angegebenes Kennwort signalisiert dem Nutzer, dass er es mit keinem Schwindler zu tun hat.

Ich bin vor über einem Jahr erstmals mit diesem Verfahren in Kontakt gekommen. Da ich nicht verstanden habe, warum ein weiterer Dienstleister an meinem Einkauf beteiligt sein muss (einige Banken warnen sogar vor Anbietern wie Sofortueberweisung), habe ich dann meist eine andere Zahlungsart gewählt oder den Kauf ganz sein lassen. Denn wenn ein Händler Verified by VISA einsetzt, muss auch der Kunde dieses nutzen. Eine alternative Art der Bezahlung per Kreditkarte gibt es dann nicht.

Nun kam ich aber in eine Situation, in der ich keine Wahl mehr hatte. Ein Hotel in Japan bucht man eben über Kreditkarte oder nicht. Also blieb mir nichts anderes übrig, als mich für das Verfahren anzumelden. Als sicherheitsbewusster Nutzer hätte ich erwartet, dass ich mein Passwort ausreichend kryptisch vergeben kann. Doch Arcot geht wie viele Banken einen eigenen Weg und hat als Kriterien für die Passwörter vorgesehen, dass keine Sonderzeichen verwendet werden können (nur Zahlen und Buchstaben) und die Gesamtlänge zwischen 6 und 10 Zeichen betragen muss. Dies hat zwar eine höhere Sicherheit als die dreistellige Prüfziffer, aber mein Passwortsystem passt nicht in diese engen Grenzen, so dass ich mal wieder ein neues Passwort erfinden musste.

Wann lernen es die Onlineanbieter endlich, dass solche Alleingänge nur dazu führen, dass die Nutzer ihre Passwörter auf Post-its oder in Dateien ablegen, weil sie einfach nicht alle im Kopf zu behalten sind? Ich kenne Unternehmen, da müssen die Mitarbeiter aller drei Monate ihre Zugangspasswörter ändern und dürfen alte nicht wiederverwenden. Als Ergebnis hängen diese dann direkt am den Monitoren oder sind nach dem Zählprinzip aufgebaut. Auf diese Art und Weise wird die Sicherheit nicht erhöht, sondern massiv abgebaut.

Im Fall von Arcot kommt dazu, dass nun immer ein weiterer Partner an dem sicherheitsrelevanten Austausch von Zahlungsdaten beteiligt ist. Ein weiterer Dienstleister, der Daten speichert. Und damit das Risiko erhöht, dass Daten entwendet werden. Nur weil die Transaktion selber https-verschlüsselt ist, sind die erhobenen Daten noch lange nicht sicher. Datensparsamkeit ist etwas anderes. Noch dazu, weil der Anbieter in Kalifornien sitzt und damit amerikanischem Recht unterliegt. D.h. wenn ich in Deutschland bei einem Händler online einkaufe, läuft ein Teil der Prozesse über amerikanische Server.

Ich hoffe, die Zeit wird zeigen, wie Sicherheit im Zahlungsprozess auzusehen hat und dass sich solche Pseudo-Security nicht durchsetzen wird.