Neue Ära für Kreditkartenzahlung: Tokenisierung statt Kartennummer?

Vor drei Jahren verabschiedete sich Mastercard als erster großer Kreditkartenanbieter vom Magnetstreifen – in einigen Jahren könnte den Kunden eine weitere einschneidende Veränderung ins Haus stehen. Denn es gibt offenbar Erwägungen, die gewohnte Kreditkartennummer komplett abzuschaffen. Wodurch diese ersetzt wird und was der Schritt für Kunden und Banken sowie Handelspartner für Folgen hätte.

Die missbräuchliche Verwendung von Kreditkartendaten ist immer noch eine große Herausforderung für die Karten ausgebenden Unternehmen wie Mastercard, Visa oder American Express. Jetzt ist bekannt geworden, dass es zumindest seitens Mastercard Erwägungen gibt, hier einen Riegel vorzuschieben. Möglich werden könnte das mit Hilfe der Abschaffung der gewohnten 16-stelligen Kreditkartennummer. Diese könnte dann bis etwa 2030 durch andere Sicherheitsmerkmale ersetzt werden.

Schon heute gibt es ja die CVC-Nummer, doch die ist bekanntermaßen nur ein unzureichendes Mittel, Betrug zu verhindern, da sie auf der Karte selbst enthalten ist und – zumindest wenn man die Karte aus der Hand gibt oder der Kassierer geschickt ist – ausspioniert werden kann. So berichtet die australische Nachrichtenseite „The Conversation“, dass die derzeit zur Identifizierung von Karten verwendeten Nummern durch Tokenisierung und biometrische Authentifizierung ersetzt werden sollen. Schon seit einigen Jahren arbeitet Mastercard mit biometrischen Lösungen.

16-stellige Kreditkartennummer könnte bald wegfallen

Bei der Tokenisierung wird die 16-stellige Kartennummer in eine andere Nummer oder Zeichenfolge umgewandelt, die auf dem jeweiligen Gerät gespeichert wird, ähnlich wie wir das bereits durch Google- oder Apple Pay kennen. Dadurch können die Karteninformationen nie direkt und komplett weitergegeben, wenn die Karte oder das Telefon an ein Terminal gehalten oder online genutzt werden. Die durchaus schlüssige Idee dahinter: Wenn Unternehmen gar nicht erst die Möglichkeit haben, Zahlungsdaten zu speichern, entfällt das Risiko, dass diese Informationen bei zukünftigen Angriffen offengelegt werden.

Auch wenn die besagten Pläne bislang offenbar nur in Australien kommuniziert wurden, ist gerade im vorsichtigen Europa zu erwarten, dass solche Lösungen – einmal vorhanden – auch bei uns kommen. Kreditkartenbetrug kommt bekanntermaßen häufig vor – und Kreditkartennummern und Zahlungsdaten werden häufig bei größeren Datenlecks offengelegt, was Unternehmen und Datenbanken jeder Größe und Branche betrifft. Studien belegen, dass der sogenannte „Card-not-present“-Betrug, bei dem eine nicht autorisierte Transaktion ohne physischen Besitz der Karte durchgeführt wird, mehr als drei von vier aller Kartenbetrugsfälle ausmacht. Damit verringert sich das finanzielle Schadenspotenzial für Opfer von Datenlecks, da Unternehmen diese Zahlungsdaten nicht mehr speichern können.

Der Card Verification Value oder Code (je nach Anbieter CVV oder CVC) – die dreistellige Nummer auf der Rückseite einer Kreditkarte – soll sicherstellen, dass die Person, die die Transaktion durchführt, die Karte tatsächlich in der Hand hält. Doch dieser Schutz erweist sich offensichtlich als unzureichend.

Werden die Kreditkartenunternehmen die Datenhoheit behalten?

Doch auch wenn jede Maßnahme zur Betrugsbekämpfung erst mal zu begrüßen ist, bringt der neue Ansatz auch neue Herausforderungen mit. So erfordert die Tokenisierung eine entsprechende Einbindung in die Banking-App, ggf. verbunden mit 2FA oder biometrischer Authentifizierung. Für ältere Nutzer ohne entsprechende Mobilgeräte könnte das eine zusätzliche Herausforderung bedeuten, wobei es aber auch entsprechende Karten mit etwas mehr Technik geben könnte, die quasi den Missing Link ersetzen.

Gleichzeitig bedeutet das aber auch, dass die Mobilgeräte und die Mobilfunkanbieter für die Sicherheit sorgen und die Absicherung der Geräte dadurch wichtiger wird. Entsprechende Angriffe könnten nämlich zunehmen, da neue Wege zur Ausnutzung potenzieller Schwachstellen gefunden werden, zumal bekanntermaßen ja auch biometrische Sicherheitsmaßnahmen umgangen werden können.

Denkbar ist aber auch, dass Kreditkartenanbieter vermehrt mit mobilen Wallet-Zahlungen zum Ziel kommen. Ob sie allerdings dann diejenigen sind, die die Datenhoheit und Prozesshoheit haben (oder ob das nicht vielmehr Google und Apple sein werden) bleibt abzuwarten. Fest steht: Auch wenn die Tokenisierungsidee noch nicht einmal ansatzweise bei uns im Sinne der kompletten Abschaffung der Kreditkartennummern geplant ist, könnte die Neuerung für mehr Sicherheit sorgen und wäre regulatorisch kein wirkliches Problem – angesichts der Tatsache, dass Tokenisierung ja keine ganz neue (Seiten-) Technologie ist, die auch bei uns bereits zum Einsatz kommt. Für die Verbraucher wird es entsprechende Hilfslösungen geben, wenn sie (was bis dahin immer weniger werden) kein Mobilgerät zur Hand haben. tw