Zum Inhalt springen
Video
Sicherheitssystem bei Kreditkarten versagt
Aus Kassensturz vom 28.04.2020.
abspielen. Laufzeit 8 Minuten 31 Sekunden.

Kreditkarten-Betrug Sicherheitssystem bei Kreditkarten versagt

Das Sicherheitssystem von Swisscard zeigt Schwächen. Haften soll jedoch der Kunde.

Eine Belastung von 2021 Franken für Reifen von Ad-Tyres aus Paris. Eliane Schmid ist erstaunt, als sie ihre Kreditkartenabrechnung kontrolliert. Denn: Sie besitzt weder ein Auto noch ein Motorrad.

Falscher Name, falsche Adresse, falsches Land

Das muss ein Missverständnis sein. Deshalb schreibt Eliane Schmid Swisscard, der Kreditkartenherausgeberin, und verlangt den Transaktionsbeleg. Jetzt wird klar: Ein Fremder namens Diego Elsano hat mit ihren Kreditkarten-Angaben eingekauft. Lieferadresse: Via Casalotti in Rom. Eliane Schmid wohnt aber in Bern.

«Ich bin sehr erschrocken, dass es möglich ist, mit meiner Kreditkartennummer, dem Verfalldatum aber mit falschem Namen und falscher Adresse eine Bestellung auszulösen, für die ich bezahlen muss», ärgert sich Schmid.

Reto Koenig, Informatikprofessor an der Berner Fachhochschule, kritisiert die Kreditkartenherausgeberin Swisscard: «Aus meiner Sicht ist das nicht seriös: Ein spanischer Name, eine Adresse in Italien – das sind genug Verdachtsmomente. Hier müsste die Bank nachforschen oder die Transaktion stornieren.»

Video
Für Informatikprofessor Reto Koenig hätten beim Institut die Alarmglocken läuten müssen
Aus Kassensturz vom 17.03.2020.
abspielen. Laufzeit 25 Sekunden.

Kundin soll haften

Eliane Schmid besitzt eine Mastercard von Coop-Supercard, herausgegeben von Swisscard. Bei der Transaktion wurde das Sicherheitssystem 3D-Secure angewendet. Dieses soll Einkäufe im Internet mittels eines mobilen Transaktionsnachweises sicherer machen.

Video
So funktioniert 3D-Secure
Aus Kassensturz vom 28.04.2020.
abspielen. Laufzeit 51 Sekunden.

Tatsächlich erhielt Eliane Schmid innert weniger Minuten vier SMS mit verschiedenen M-Tan-Codes auf ihrem Telefon. Doch sie sagt, sie habe diese nie eingegeben.

Kartenherausgeberin Swisscard bestätigt: Hier liegt ein Kartenmissbrauch vor. Aber: Swisscard wirft ihrer geprellten Kundin vor, sie hätte ihre Sorgfaltspflichten verletzt und Kartendetails und das Mobiltelefon nicht sicher verwahrt oder sei auf eine Phishing-Attacke hereingefallen. Zudem habe sie nach Eingang der M-Tan Codes nicht unverzüglich reagiert und den Vorfall gemeldet. Deshalb müsse Eliane Schmid jetzt den gesamten Schaden bezahlen.

Eliane Schmid ist Datenschutz-Expertin, arbeitete während zehn Jahren auf diesem Gebiet und weiss, wie man sich vor Online-Betrügern schützen muss. Sie habe keinen Fehler gemacht, sagt sie. «Die Situation ist absurd! Es liegt ein Betrug vor, mit gefälschtem Namen und Swisscard unterstellt mir, dass mein Mobiltelefon nicht sicher sei, dass man dort M-Tans abfischen kann.»

Kundenfeindliche AGB

Professor Reto Koenig kennt die Schwachstellen von 3D-Secure. Es lasse Betrügern viele Türen offen. Sicherheitsrisiken gebe die Kreditkartenfirma der Kundin weiter: «Weil der Prozess so komplex ist und Institute diesen Prozess nicht komplett kontrollieren können, beginnen sie damit, diese Risiken an die Kunden abzuwälzen. In den AGB steht: Kunde, du bist für alles, was schief geht, verantwortlich, du hast grundsätzlich deine Sorgfaltspflicht verletzt.»

Eliane Schmid ist erschüttert, dass sie von Swisscard derart in Stich gelassen wird: «Sie versuchen, mir die Verantwortung in die Schuhe zu schieben, für ein System, das offensichtlich nicht sicher ist.»

Kassensturz, 17.04.2020, 21.05 Uhr

Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel