Nach Barclaycard, KarstadtQuelle Bank und Lufthansa rufen nun auch andere Banken Tausende von Kreditkarten zurück. Der Ursprung der Sicherheitslücke liegt offenbar in Spanien. 

Im Oktober rief die KarstadtQuelle Bank rund 15.000 Kreditkarten zurück. Das Institut ist unabhängig vom Arcandor-Konzern und einer der größten Kartenherausgeber in Deutschland. Es folgten Rückrufaktionen von Barclays und der Deutschen Lufthansa (Miles&More-Kreditkarten), die am vergangenen Wochenende bekannt wurden.

Nach Informationen der "Financial Times Deutschland (FTD)" riefen nun auch Institute aus dem Finanzverbund der Volks- und Raiffeisenbanken vorsorglich rund 60.000 Kreditkarten zurück. Desweiteren bestätigten Sprecher der Deutschen Bank sowie der Commerzbank gegenüber der "FTD", in den vergangenen Tagen Kreditkarte zurückgerufen zu haben.

Die spanische Kreditkartengrippe

Betroffen sind nach bisherigen Informationen Kreditkarten von Visa und Mastercard, die entweder unmittelbar in Spanien zur Zahlung eingesetzt wurden oder bei Akzeptanzstellen entgegengenommen wurden, die ihrerseits mit einem spanischen Zahlungsdienstleister (Prozessor) zusammenarbeiten.

Bei American Express wurden bislang weder Unregelmäßigkeiten in Bezug auf  Kartentransaktionen in Spanien entdeckt, noch mussten Karten zurückgerufen werden, berichtet Unternehmenssprecherin Carola Leube gegenüber Der Handel. Amercian Express wickelt die Zahlungstransaktionen der eigenen Karten selbst ab. Das Unternehmen ist Issuer (Kartenherausgeber) und gleichzeitig Acquirer (Händlerbank; so genanntes Drei-Parteien-System: Kunde, Händler, Bank).

Visa und Mastercard vergeben dagegen Lizenzen die Banken und Zahlungsinstitute zur Herausgabe der Kreditkarten berechtigen. In diesem so genannten Vier-Parteien-System (Kunde, Händler, kartenausgebende Bank und Händlerbank) arbeiten die beiden Kreditkartenorganisationen mit einer Vielzahl von Acquiring- und Prozessoring-Dienstleistern zusammen, mit deren Hilfe Akzeptanzstellen gewonnen bzw. die Zahlungstransaktionen abgewickelt werden.

Bei einem dieser Prozessoren in Spanien kam es nun offenbar zu einem eklatanten Sicherheitsproblem, von dem alle Visa-  und Mastercard-Issuer auch außerhalb Deutschlands betroffen sind.

Deutschland hinkt bei EMV-Standard hinterher

Alle großen Kreditkartenorganisationen wie Visa, Mastercard und American Express arbeiten zur Eindämmung von Kartenmissbrauch seit Jahren an der Umsetzung des Sicherheitsstandards EMV. Er soll unter anderem durch die Ersetzung des Magnetstreifens auf der Karte durch einen Chip dafür sorgen, dass das Kopieren von Karten erschwert wird.

In Deutschland gibt es derzeit jedoch weder eine flächendeckende Versorgung von Kartenterminals, die dem EMV-Standard entsprechen, noch geben alle Banken ihre Kreditkarten mit dem notwendigen Chip heraus. Andere europäische Länder sind aufgrund höherer Kartenumsätze oder umfangreicherer Betrugsvorkommen bei der EMV-Einführung bereits weiter fortgeschritten.

Noch ist allerdings offen, ob der gemeinsame Sicherheitsstandard der Kreditkartenorganisationen EMV die jetzt erforderlichen Kartenrückrufe verhindert hätte. Ebenso unklar ist bislang, ob das umstrittene Regelwerk "PCI DSS", mit dem die Kartenindustrie Akzeptanzstellen und Zahlungsdienstleistern festgelegte Sicherheitsstandards aufoktroyieren will, im vorliegenden Fall das Leck verhindert hätte.

Händler, die Kreditkarten akzeptieren, können sich über die PCI-Anforderungen in einer kostenfreien Broschüre des Instituts ibi research der Univerität Regensburg, die hier heruntergeladen werden kann.