Kreditkartenbetrug: Wie kann ich mich schützen?

Skimming, Phishing, Card Trapping: Cyberkriminelle gehen immer raffinierter vor – und jede und jeder kann Opfer von Kreditkartenbetrug werden. Erfahren Sie in diesem Blog, wo die grössten Gefahren lauern, in welchen Fällen Banken oder Kreditinstitute nicht für finanzielle Schäden aufkommen – und was Sie tun sollten, wenn Sie Opfer eines Betrugs werden.

Was ist Kreditkartenbetrug?

Kreditkartenbetrug bezieht sich auf illegale Aktivitäten, die Kriminelle oder Betrüger betreiben, um unerlaubt Geld von Ihrem Bank- oder Kreditkartenkonto zu erhalten. Dazu gehören:

• der Diebstahl von Kredit- oder Debitkartendaten,
• das Missbrauchen dieser Daten, um unbefugt Einkäufe zu machen, Geld abzuheben oder die Informationen weiterzuverkaufen.

Der Betrug kann online passieren, wenn Informationen gestohlen werden, aber auch offline stattfinden, wenn Verbrecher an Handelsregistrierungsstellen stehen und physische Kopien der Karte abgreifen.

Ist die Zahlung mit Kreditkarte überhaupt sicher? Was wäre die Alternative?

Eine absolute Sicherheit wird es bei der Bezahlung mit Kreditkarte nie geben – weder im physischen Bereich noch im Internet. Alternativen gibt es einige: Sei es der Kauf auf Rechnung, die Vorauszahlung oder die Bezahlung über einen Bezahlservice wie Twint oder PayPal. Gleichzeitig ist die Bequemlichkeit der Kreditkartenzahlung nicht von der Hand zu weisen und so gilt es wohl vor allem, sich der potenziellen Risiken bewusst zu sein.

Gibt es grosse Unterschiede hinsichtlich Sicherheit bei der Bezahlung mit Kreditkarten?

Bezahlservices wie PayPal oder Twint bieten den Vorteil, dass diese Systeme ausschliesslich auf Bezahlung ausgerichtet sind und die Anbieter viel Zeit und Geld investieren um ihren jeweiligen Service so sicher als möglich zu machen. Entsprechend hoch ist der Sicherheitsstandard. Bezahle ich hingegen bei einem kleinen Nischenshop, der «auch» Kreditkartenzahlung anbietet, muss ich als Kunde darauf vertrauen, dass der Shop-Betreiber sein System wartet und so die Sicherheit gewährleistet. Ein weiterer Vorteil der bei Bezahlservices wie Paypal nicht zu unterschätzen ist, ist der angebotene Käuferschutz. So hat der Kunde im Fall eines Missbrauchs neben dem Kreditkartenanbieter eine weitere Instanz, die bei Problemen eingreift.

Bei einigen Onlineshops muss ich zusätzlich einen Code angeben, den ich per SMS erhalte. Erhöht das die Sicherheit?

Auf jeden Fall. Wann immer möglich sollte die sogenannte Zwei-Faktor-Authentifizierung genutzt werden. Das gilt sowohl für die Bezahlung als auch für Logins. Die zusätzliche Identifikation des Users mit der zweiten Komponente steigert die Sicherheit nochmals deutlich.

Schützt mich die Multi-Faktor-Authentifizierung vor Kreditkartenbetrug?

Auf jeden Fall. Wann immer möglich sollte die sogenannte Zwei-Faktor-Authentifizierung genutzt werden. Das gilt sowohl für die Bezahlung als auch für Logins. Und zwar deshalb, weil es neben den reinen Login-Daten, bestehend aus Benutzernamen und Passwort, in der Regel ein zweites Gerät braucht – das Handy.

Nur wenn die Betrüger sowohl die Login-Daten als auch das Handy in ihrem Besitz haben, erhalten sie Zugriff auf das entsprechende Nutzerkonto. Der Diebstahl von Hardware ist jedoch weitaus unwahrscheinlicher als jener von Login-Daten. Die zusätzliche Identifikation der Userin oder des Users mit der zweiten Komponente steigert die Sicherheit also nochmals deutlich.

Können Cyberkriminelle meine Daten während eines Online-Bezahlvorgangs auf einer Website stehlen?

Ja, da ist leider möglich. Und zwar dann, wenn die Seite nicht https-verschlüsselt ist. Ob diese Verschlüsselung besteht, lässt sich an der in der Adresszeile angezeigten Adresse erkennen. Liegt eine Verschlüsselung vor, beginnt diese mit https:// und links davon wird ein kleines Schloss angezeigt. Besteht diese Verschlüsselung nicht, werden während des Bezahlungsvorgangs die Daten unverschlüsselt von Server zu Server übertragen und können entsprechend einfach abgefangen und ausgelesen werden.

Auch mit https-Verschlüsselung sollte man jedoch immer im Hinterkopf haben, dass Daten auch nach dem Bezahlvorgang gestohlen werden können – nämlich im Namen von Datenleaks. Dabei stehlen Hacker ganze Nutzerdatenbanken, darin können u. a. auch hinterlegte Zahlungsdaten gespeichert sein.

Daher empfehlen wir Ihnen:

1. Die Option «Bestellung als Gast» zu wählen, anstatt ein Nutzerkonto anzulegen
2. Die Bezahlung auf Rechnung zu wählen. Dies ist die sicherste Variante, denn so werden keine Zahlungsinformationen in potenziell unsichere Datenbanken geladen

Wichtig: Sollten Sie Anzeichen für einen Betrug bemerken, sollten Sie dies sofort dem Kundenservice der jeweiligen Bank oder der kartenausgebenden Gesellschaft melden.

Zahlt die Bank, wenn meine Kreditkarte gehackt wurde?

Das hängt vom Einzelfall ab. Die Bank oder das Kreditinstitut haftet grundsätzlich nur dann für einen Schaden, wenn eine Vertragsverletzung schuldhaft herbeigeführt worden ist. Das ist beispielsweise dann der Fall, wenn offensichtliche Sicherheitslücken nicht behoben werden.

Verhält sich die Bank jedoch vertragskonform und entsprechen die Sicherheitsmechanismen marktüblichen Standards, besteht grundsätzlich keine Verpflichtung, einen Schaden zu übernehmen. Finanzinstitute haben zudem die Möglichkeit, ihre Haftung im Rahmen der AGB zu beschränken bzw. den Kundinnen und Kunden Sorgfaltspflichten zu übertragen.

Ausserdem zu beachten: Eine solche Vertragsverletzung muss im Einzelfall belegt werden, was nicht immer ganz einfach ist.

Wann hafte ich, wenn meine Kreditkarte gehackt wurde?

Auch hier hängt die Haftung vom jeweiligen Einzelfall ab. Verletzen Sie elementare Sorgfaltspflichten im Umgang mit Ihrer Kreditkarte – wie beispielsweise ein Login über nachweislich ungenügend gesicherte Geräte oder das Aufbewahren des Codes im Portemonnaie –, haften Sie für Schäden selbst. 

Kann kein solches Fehlverhalten nachgewiesen werden und besteht keine vertragliche Grundlage für eine Haftungsbeschränkung, ist die Bank verpflichtet, den entstandenen Schaden zu übernehmen.

Da zwingend der Einzelfall angeschaut werden muss, empfehlen wir in solchen Fällen, juristischen Rat einzuholen.

Was hat es mit der Sorgfaltspflicht im Zusammenhang mit einem Kreditkartenvertrag auf sich?

Die Sorgfaltspflicht definiert bei Kreditkartenverträgen und auch bei der Nutzung von E-Banking, welche Verhaltensweisen im Umgang mit der Karte gefordert sind und welche es zwingend zu vermeiden gilt. Die Banken können selbst entscheiden, wann eine Sorgfaltspflichtverletzung vorliegt und wann nicht.

Dieser Umstand ist entscheidend, da die Bank dadurch einen Grossteil der Risiken auf die Kundinnen und Kunden übertragen kann – und dadurch gleichzeitig die eigene Haftung beschränkt. 

In der Praxis zeigt sich ausserdem oft, dass Kundinnen und Kunden entweder nicht wissen, welche Sorgfaltspflichten auf sie abgeschoben wurden, oder sich nicht bewusst sind, dass gewisse Verhaltensweisen Risiken bergen, die in einer Sorgfaltspflichtverletzung münden können. Die Cyberversicherung (Subsidiärdeckung) bietet in solchen Fällen einen verlässlichen Schutz.

Ich welchen Fällen verletze ich diese Sorgfaltspflicht – wer entscheidet das?

Wie erwähnt legen Banken selbst fest, welche Sorgfaltspflichten Ihnen als Kundin oder Kunde obliegen. Wann eine Sorgfaltspflicht konkret verletzt wird und wann nicht, hängt somit von der jeweiligen vertraglichen Abmachung ab.

Welche Infos können im Kleingedruckten der AGB der Kreditkarteninstitute «versteckt» sein?

Da kommt einiges in Frage. Oft sind in den AGB die oben erwähnten Sorgfaltspflichten näher aufgeführt und definiert. Ausserdem macht es Sinn, sich betreffend der Haftungsbeschränkungen der Banken zu informieren.

Sollte ich sofort Einspruch einlegen, wenn ich auf meiner Kreditkartenabrechnung Unregelmässigkeiten entdecke?

Stellen Sie auf Ihrer Abrechnung verdächtige oder offensichtlich missbräuchliche Transaktionen fest, sollten Sie die Karte sofort sperren lassen. Dies lässt sich bei den meisten Anbietern recht unkompliziert per Computer, Handy oder einer Telefon-Hotline bewerkstelligen.

In einem zweiten Schritt sollten Sie verdächtige Beträge oder Buchungen beanstanden und Widerspruch einlegen. Die entsprechenden Formulare finden sich auf der Website der Anbieter, der Bank oder des Kreditkarteninstituts. Der Widerspruch muss schriftlich und unterschrieben erfolgen, ein Anruf genügt nicht. In der Regel haben Sie hierfür 30 Tage Zeit. Verpassen Sie diese Frist, müssen Sie unter Umständen am Ende selbst für den Schaden aufkommen.

Als letzten Schritt sollten Sie die Internetbetrüger bei der Polizei anzeigen – eine Anzeige braucht es in vielen Fällen auch als Nachweis für die Bank oder das Kreditkarteninstitut.

Gibt es eine Frist innerhalb der ich den Schaden melden muss?

Oft stellen Kartenbesitzerinnen bzw. -besitzer den Datenklau erst nach Wochen oder gar Monaten fest, weil sie ihre Abbuchungen nicht regelmässig kontrollieren. In vielen Fällen ist es dann bereits zu spät, um den Kreditkartenmissbrauch zu reklamieren. Banken und Kreditkartenanbieterinnen bzw. -anbieter müssen den Geldschaden nur dann erstatten, wenn die Reklamation innerhalb der vom Kreditkartenanbieter gesetzten Frist erfolgt.

Fazit

Cyberkriminelle werden immer neue Möglichkeiten finden, um an Ihre sensiblen Daten zu gelangen. Informieren Sie sich daher regelmässig über die neuesten Sicherheitsmassnahmen und Technologien, um Ihre Daten zu schützen.

Die exklusiven Präventionsservices der AXA Cyberversicherung warnen Sie frühzeitig vor potenziellen Gefahren und können so den «worst case» verhindern. Sie erhalten zudem Pushnachrichten zur aktuellen Risikolage im Bereich Cyberkriminalität sowie Tipps und Infos zum richtigen Verhalten im Internet.

Wenn es zu einem Kreditkartenbetrug kommt, indem der Kunde die Zahlung autorisiert – sprich, wenn man die Sorgfaltspflicht verletzt–, ist man über die Cyberversicherung geschützt.