Remo Hasler (Name geändert) aus Heiden AR besitzt ein Mehrfamilienhaus. Er hat bei der Migros-Bank ein Privatkonto, das er nur für die Mietzins- und Nebenkostenzahlungen seiner Mieter und zum Zahlen von Reparaturen benutzt. Darum legte er die Visa-Debitkarte, die ihm die Migros-Bank letzten August zuschickte, unbenutzt in eine Schublade.
Doch auch ein solch sichere Lagerung bewahrt nicht vor Betrug. Unbekannte bezahlten mit seiner Karte Rechnungen über mehrere Tausend Franken. Denn die neue «Visa Debit»- Karte und die «Debit Mastercard» lassen sich nicht nur an Bancomaten und an Zahlterminals in Läden einsetzen, sondern auch fürs Bezahlen im Internet.
Das Problem: Die Migros-Bank liefert ihre Visa Debit bereits mit aktivierter Internetfunktion aus. Kunden können also mit dem Internetshopping sofort loslegen. Nur für Läden, die das Sicherheitsverfahren 3D-Secure anwenden, muss man zuvor eine Smartphone-App installieren. Damit müssen die Zahlungen jeweils mit einem Code freigegeben werden.
Die Täter kauften mit Remo Haslers Kartendaten etwa über Paypal oder Google Lilith Mobile ein – 55 Mal zwischen dem 25. Januar und dem 1. Februar. Insgesamt wurde das Konto mit 3390 Franken belastet. Anfang Februar entdeckte er den Missbrauch seiner Debitkarte und sperrte sie sofort.
Hasler beanstandete die Abbuchungen bei der Migros-Bank und forderte den ganzen Betrag zurück. Die Bank prüfte den Fall. Da keine Sorgfaltspflichtverletzung des Karteninhabers vorlag, übernahm sie den Schaden und erstattete Hasler das Geld zurück.
Geraubte Daten aus dem Internet oder Computer gehackt
Unklar bleibt, wie der Kartenmissbrauch möglich war. Die Migros-Bank macht dazu keine Angaben. «Wir möchten potenziellen Tätern keine Anregungen liefern», argumentiert Migros-Bank-Sprecher Urs Aeberli. Grundsätzlich seien Interneteinkäufe per Debitkarte aber sicher – sofern beim Einsatz der Karte und beim Schutz des Computers die üblichen Sorgfalts- und Sicherheitsregeln beachtet würden.
Nicolas Mayencourt, Geschäftsführer der Sicherheitsfirma Dreamlab Technologies AG in Bern, kann über den Hergang nur spekulieren. Möglich sei, dass in der Lieferkette der Karten eine Sicherheitslücke bestehe und kopierte Kartendaten im Internet zum Verkauf angeboten worden seien. Oder der Computer von Remo Hasler sei gehackt worden.
Bloss: Hasler versichert, dass er die missbrauchte Debitkarte nie für Internetkäufe eingesetzt habe. Also konnten keine Visa-Debit-Daten auf seinem Computer zu finden sein. Er kann sich aber vorstellen, dass die Kriminellen die Kartendaten im E-Banking der Migros-Bank fischten. Denn dort sind Nummer und Ablaufdatum seiner Debitkarte unverschlüsselt sichtbar.
Klar ist: Liefert eine Bank eine Debitkarte mit aktivierter Online-Funktion an die Kundinnen und Kunden aus, kann dies ein Sicherheitsrisiko darstellen. Das bestätigt auch Experte Mayencourt.
Kunden können Internetfunktion wieder deaktivieren
Die Migros-Bank ist nicht die einzige Bank, die aktivierte Debitkarten verschickt. saldo fragte zwölf Institute an: Neun handhaben es gleich wie die Migros-Bank (siehe Tabelle im PDF). Anders ist es bei Postfinance, UBS und der Zürcher Kantonalbank: Hier muss man die Debitkarte selbst aktivieren – sonst sind keine Interneteinkäufe möglich.
Tipp: Wer die Debitkarte nicht für Transaktionen im Internet benötigt, kann die Internetfunktion gänzlich unterbinden. Das ist je nach Bank im E-Banking, per App oder Auftrag an den Kundendienst möglich.
