Die ING Diba prüft noch, ob und wie viele Visa-Kreditkarten sie austauscht. Postbank, Commerzbank und Comdirect haben sich – wie berichtet – schon dazu entschlossen, rund 100.000 Kreditkarten ihrer Kunden auszuwechseln. In diesem Ausmaß ist das ungewöhnlich. Alle drei betroffenen Banken sind denn auch von ihrem gemeinsamen Zahlungsabwickler Atos Worldline gewarnt worden. Worldline, eine Art Kreditkartenrechenzentrum, hat anscheinend beobachtet, dass Anfang Januar auffällig oft Betrug mit solchen Kreditkarten gemeldet wurde, die im Internet beim Einkauf bei ganz bestimmten Händlern eingesetzt worden waren.

An welcher Stelle der Bezahlprozesskette aber möglicherweise Daten von Betrügern abgegriffen wurden, ist unklar. Gemunkelt wird über einen isländischen Zahlungsabwickler auf Händlerseite. Offiziell aber schoben sich die vielen Beteiligten am Donnerstag gegenseitig den „Schwarzen Peter“ zu.

Warum sind nur Worldline-Kunden betroffen?

Der Zahlungsabwickler Worldline wies vehement von sich, dass bei ihm Daten abgegriffen wurden. Nicht auf der Seite der Banken, sondern auf Seiten der Händler („Akzeptanzstelle“) habe „vermutlich ein Datenleck“ an einer „noch nicht bekannten Stelle“ die Betrugsabteilung von Worldline aufgeschreckt, wie aus einer Mitteilung des Unternehmens hervorgeht, das am Vortag auf Anfragen der Frankfurter Allgemeinen Zeitung nicht reagiert hatte. Nun heißt es, Worldline habe „vermehrt betrügerische Umsätze mit Karten einiger Bankkunden festgestellt“ und deshalb Banken empfohlen, Karten auszutauschen.

Zuvor hat Worldline die von Bankkunden in bisher unbekanntem Ausmaß gemeldeten betrügerischen Kreditkartenumsätze auf Muster hin untersucht und offenbar Gemeinsamkeiten wie identische Online-Händler festgestellt. Die Commerzbank schickte daraufhin 15.000 neue Kreditkarten an ihre Kunden. Bei Postbank und Comdirect läuft der Umtausch.

Zu den offenen Fragen gehört, warum nur Banken als betroffen bekannt sind, die mit Worldline zusammenarbeiten. Der größte Wettbewerber First Data, der für Sparkassen die Kreditkartenzahlungen abwickelt, teilte am Donnerstag auf Anfrage der F.A.Z. mit, First Data habe zuletzt keine vermehrten Betrugsfälle in seinen Kundenportfolien festgestellt.

Mastercard und Visa prüfen noch

Die Kreditorganisationen Visa und Mastercard prüfen dagegen noch, wo ein Datenleck liegen könnte. Die Prozesskette ist lang: Wenn ein Bankkunde bei einem Online-Händler mit Kreditkarte einkauft, erfolgt die Zahlung über dessen Prozessdienstleister. Anschließend gehen die Daten an die Bank des Händlers, von dort an Visa und Mastercard. Anhand einer sechsstelligen Nummer erkennen die Rechner der Kreditkartenorganisationen, von welcher Bank die Kreditkarte ausgegeben wurde, und leiten die Zahlung an deren Rechenzentrum weiter. Da Worldline hier Marktführer ist, laufen die meisten Daten bei diesem Kreditkartenrechenzentrum ein. Visa und Mastercard dagegen arbeiten europaweit mit verschiedenen Rechenzentren zusammen und können betrügerische Kreditkartenzahlungen anscheinend erst nur später als Worldline auf Auffälligkeiten hin untersuchen. Diese Prüfung werde noch einige Tage dauern, heißt es.

Offiziell hieß es von Visa am Donnerstag nur: „Wir können bestätigen, dass es sich dabei nicht um einen Datenabgriff bei Visa handelt.“ Von Mastercard war gar nichts zu hören. Unter den Banken war hinter vorgehaltener Hand Kritik an dieser Informationspolitik zu hören.

Am Freitag ist auf dem IT-Portal heise.de zu lesen, dass Betrügerbanden bereits mit geklonten Kreditkarten unterwegs sind. In Ganz Europa, und somit auch in Deutschland.