Kreditkarten: Datenmissbrauch beginnt an der Tankstelle

Das geht doch noch viel einfacher. Viele Autofahrer tanken mit Karte und schmeißen den Beleg noch an der Tankstelle weg. Die Kartendaten sind da alle drauf ...

 

Nicht aber deine Unterschrift und die Kartenprüfnummer.

P.S.: Ein Mal drücken reicht...

 

Ich kenne Tankstellen, die geben den Beleg nur auf Wunsch aus.
Bis jetzt war ich der Meinung, dies diene der Müllvermeidung vor der Tür.

 

Was auch sonst? Schließlich haben sie ja sowieso ihren eigenen Beleg, auf dem genau das gleiche draufsteht wie auf deinem.

 

Ich finde es sehr interessant, dass hier ausgerechnet als Beispiel Tankstellen genannt werden.

Dies finde ich aus mehreren Gründen interessant:

1. Beim Großteil der Tankstellen sind bereits EMV-fähige Kartenterminals installiert.
2. Die Aussage, dass die POS-Hersteller sich keine Gedanken über gespeicherte Daten machen, ist geradezu lächerlich.
3. Das Speichern der Kartendaten ist bei einer in das POS integrierten Kartenverarbeitung absolut notwendig und kann überhaupt nicht vermieden werden.
4. Viele POS-Systeme haben ein elektronisches Journal, in dem alle Verkäufe dokumentiert werden. Das Journal ist gesetzlich vorgeschrieben und muss 11 Jahre aufbewahrt werden. (unabhängig davon, ob das Journal auf einem Journaldrucker ausgedruckt oder elektronisch gespeichert wurde).
5. An den meisten Tankstellen werden die Kartendaten sowohl auf dem Kunden- als auch auf dem Journalbeleg "verstümmelt" dargestellt.
6. Die seit Anfang 2006 geltende Haftungsumkehr bei Kreditkartentransaktionen (liability shift) hat die Mineralölgesellschaften geradezu dazu gezwungen, Kreditkarten gemäß EMV2000 durchzuführen (sofern die Kreditkarte mit einem EMV-Chip ausgestattet ist).
Diese Haftungsumkehr bedeutet, dass der Händler (in diesem Fall die Mineralölgesellschaft) dafür haftet, falls eine gestohlene oder gefälschte Karte akzeptiert wird.
7. Mir ist keine Tankstelle bekannt, an der das POS per WLAN mit WEP mit einer anderen Systemkomponente kommuniziert (glaubt mir, ich kenne viele Tankstellen).

 

Beim Bezahlen im Internet reich oftmals der Name, die Kartennummer und Gültig bis - und das alles steht oft auf dem Beleg! Und die Kartenprüfnummer wird, meiner Erfahrung nach, viel zu selten verlangt. Aber wer all die Daten abfängt, der kann dann mit der "Karte" alles machen, was er will und Du als Besitzer kannst dann gar nichts beweisen!
Und wozu ist auf meinem Beleg mein Name? Ich weiß doch, wie ich heiße oder nicht?

 

Tankstelle haben sie als Beispiel genommen, weil das griffiger ist als POS. Denke ich.

Aber - wieso die Aufregung? Kreditkarte enthält immer ein Missbrauchsrisiko. Selbst bei manueller Buchung: Als die Karten noch in so keinen Geräten über einen Durchschreibsatz gezogen wurden, da gab es etliche Fälle, wo bei der Gelegenheit einfach ein Doppel von deinen Kartendaten erzeugt wurde. Die Unterschrift ist schnell nachgemacht ...
Will sagen: Um die regelmäßige Prüfung deiner KK Kontoauszüge kommst du nicht umhin, so oder so.

Und was die mögliche "Benutzung" deiner Einkaufsdaten für gezielte Werbung angeht (manche würden Missbrauch dazu sagen): Das ist doch gar nichts gegen Payback, wo die deine Einkaufsgewohnheiten per gezielter Werbung "heimgezahlt" werden. Und das machen die Leute freiwillig, in der irrigen Annahme, sie hätten einen Vorteil dadurch. Armes gieriges Deutschland.

 

Komisch, ich verwende Payback seit Jahren und erhalte trotzdem nicht mehr oder weniger oder anders Werbung als zuvor. Außerdem ist es mir sch...egal, ob man mir Werbung zusendet, in der Papiertonne ist Platz für 240 l Werbemüll.

The undertaker

 

Wenn Papiermüll die einzige Folge wäre, dann könnte man drüber hinweg sehen - abgesehen von der vermeidbaren Umweltbelastung. Aber die legen Profile über dich an: Wann wo was gekauft. Und irgendwann wunderst du dich und verstehst gar nicht, dass du vielleicht diesen Kredit nicht bekommst oder diesen Job nicht bekommst oder oder. Die Möglichkeiten zum Missbrauch sind mannigfach. Es gab dazu bereits etliche Reports. Sage später keiner, er hätte es nicht wissen können!

beste Grüße an den Big Brother.

 

Hallo r3po,

glaubst Du allen Ernstes, dass die dafür Payback brauchen? Oder das ein Arbeitgeber nachschauen geht, welche ASorte Müsli Du isst?. Deine Agst vor Nutzerprofilen kommt etwas spät, gerade heute war es im Radio, dass Du bei dre Post komplette Profile kaufen kannst, also nicht nur die Anschriften, sondern vom Konsumverhalten über den Fuhrpark bis zu den Familienverhältnisse. Und die haben garantiert nicht alle Payback. Jeder gibt jeden Tag mehr über sich preis, als ihm eingentlich lieb sein sollte. Wer das verhindern will, muss sich als erstes den Film Der Staatsfeind Nr. 1 mit Will Smith anschauen, danach sein(e) Handy(s) und seine(n) Computer abschaffen, ebenso die Kontoverbindung(en) kündigen, EC-Karte(n) und Kreditkarte(n) vernichten. Bedenke aber, wenn Du kein Konto hast, fährst Du in Deutschland kein Auto, da die KFZ-Steuer nur per Lastschrift erhoben wird. Telefonieren ist ebenso tabu wie Briefeschreiben. Allenfalls aufs Fahrrad setzen und persönlich jemanden besuchen. Rundfunk und Fernsehen geht auch nicht, da Du dafür ja GEZ bezahlen musst und da werden auch schon wieder Daten gespeichert. Ich glaube Payback ist da unser kleinstes Problem solange wir alle bereitwillig jeden Tag unsere Daten eimerweise aus dem Fenster kippen.

The undertaker

 

Bleib' geschmeidig. Ich rede nicht von Paranoia, sondern von vermeidbaren Risiken. Zu denen gehört "Heimzahlen" jedenfalls. Der Unterschied zwischen "Heimzahlen" und GEZ, Steuer, Kreditkarten etc. ist, dass es sich bei letzteren - noch - um getrennte Datenbestände handelt. "Heimzahlen" hingegen hat bereits die Datenfusion erledigt. Und das ist das bedrohliche. Und vermeidbar.

Dass aus den anderen Daten, die wir überall hinterlassen, kein Big Brother wird, ist eine politische/gesellschaftliche Aufgabe. Wehret den Schäubles, Zimmermanns, und wie die Überwachungsgeier alle heißen.

Meine volle Zustimmung hast du bei dem mulmigen Gefühl, wenn schon wieder Daten von mir gewünscht werden. Tatsächlich gebe ich immer nur an, was absolut unabdingbar ist.

Ein Hinweis noch: Wir reden über "Daten" und meinen zwei unterschiedliche Qualitäten:
a) die statischen Daten (Adresse, Telefonnnummer, ...)
b) die verfolgenden Daten (was wann wo gekauft, getankt, Auto gemietet, Film ausgeliehen, ...)

Die Gefahr geht von b) aus.
Und gerade da sammelt "Heimzahlen".
Eines tags stehst du auf einer "No Fly" Liste und wunderst dich. Das ist sogar Prominenten schon passiert: http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/67083&words=No Fly no&T=no fly
Und niemand kann sich erklären, wie das passieren konnte ...