Standort: help.ORF.at / Meldung: "Kreditkartenabrechnung per E-Mail sicher genug?"

Kreditkarten der Firmen Mastercard und Visa.

Kreditkartenabrechnung per E-Mail sicher genug?

Die gratis Kreditkartenabrechnung per Post gehört bald der Vergangenheit an. Beim Anbieter Six kostet die monatliche Papierabrechnung schon seit längerem mehr als einen Euro. Ab Juni will auch der Anbieter Card Complete 90 Cent verlangen. Gratis ist dann nur mehr die elektronische Abrechnung per E-Mail. Sie bringt aber auch neue Sicherheitsrisiken.

Geld

Absender, Empfänder und ein Postkasten: Im Grunde sind sich E-Mails und Briefe ziemlich ähnlich - auch in puncto Sicherheit. Wer es darauf anlegt, kann Nachrichten relativ einfach aus dem Postkasten fischen oder elektronisch abfangen.

Sendungshinweis

"Help", das Ö1-Konsumenten- magazin, jeden Samstag um 11.40 Uhr in Radio Österreich 1

Zwei Probleme gibt es aber nur bei E-Mails: Computerviren, die sich zum Beispiel in einem PDF-Anhang verstecken und Phishing Mails, die arglose Empfänger dazu bringen sollen, auf einer gefälschten Webseite ihr Passwort einzugeben. In beiden Fällen gilt: "Eine wirklich gut gemachte Fälschung ist nicht zu erkennen", sagt Alexander Talos-Zens, IT-Sicherheitschef beim ZID, dem zentralen Informatikdienst der Universität Wien.

Virenscanner schützen nur gegen bekannte Viren

Selbst die E-Mail-Adresse des Absenders sei kein zuverlässiges Erkennungsmerkmal, denn wie bei einem Brief könne man einfach einen falschen Absender angeben, so Talos-Zens. Auch gegen Computerviren in E-Mail-Anhängen gibt es keinen 100-prozentigen Schutz. Um ein verstecktes Virus zu installieren, reicht es oft, eine infizierte PDF-Datei nur in der Vorschau zu öffnen. Gerade gegen neue Viren seien Virenscanner oft machtlos, da sie die Signatur des Virus noch nicht erkennen würden, so der IT-Experte.

Trotzdem ist man bei den Kreditkartenunternehmen Card Complete und Six (vormals Paylife) von der elektronischen Abrechnung überzeugt. Bei Six verlangt man seit 2013 von Neukunden einen Euro und zehn Cent für monatliche Papierabrechnungen. Bei Card-Complete kostet die monatliche Papierabrechnung ab Juni 90 Cent. Schon jetzt bekommt dort bereits jeder dritte Kunde elektronische Abrechnungen. Laut Card-Complete-Vorstandsvorsitzenden Heimo Hackel hat es in den zwölf Jahren seit der Einführung der elektronischen Abrechnung keine großen Probleme gegeben.

Informationen auf Abrechnung unproblematisch

Die Informationen, die sich auf der Kreditkartenabrechnung befinden, seien in keiner Weise geeignet, einen Missbrauch zu verursachen, so Hackel. "Es befindet sich keine Kartennummer auf der Aufstellung, sondern nur eine Kontonummer, die für missbräuchliche Aktivitäten nicht geeignet ist."

Zudem informiere das Unternehmen regelmäßig über Sicherheitsmaßnahmen. Ein Kreditkartenunternehmen fordere Kunden generell nie dazu auf, per E-Mail die Kartennummer, den PIN-Code oder sonstige vertrauliche Daten zu übermitteln, so der Card-Complete-Vorstandsvorsitzende. "Wenn wir von unseren Kunden Informationen benötigen, treten wir in aller Regel in Briefform oder per Telefon in Verbindung. Wenn es um sehr heikle Daten geht, ersuchen wir auch um einen Rückruf", so Hackel.

Den persönlichen PIN-Code kenne außerdem niemand im Unternehmen und ein Card-Complete-Mitarbeiter würde nie danach fragen. Ein weiteres Erkennungsmerkmal sei, dass die E-Mail-Abrechnung immer am selben Tag des Monats komme. "Auch das kann helfen, eine Fälschung zu erkennen", so Hackel. Wer Fragen zu E-Mails von Card Complete hat, könne außerdem bei der gratis Service-Telefonnummer anrufen.

Rechnung über Portal abrufen

IT-Sicherheitsexperte Talos-Zens rät, elektronische Abrechnungen regelmäßig über das Internetportal des Anbieters abzurufen. Damit man nicht auf einen Link in einer E-Mail klicken muss, sollte man die Internetadresse speichern - zum Beispiel als Bookmark im Browser. So kann man nicht auf einer gefälschten Seite landen.

Aber auch die Unternehmen könnten noch für bessere Sicherheit sorgen. "Man kann mit dem Dienstleister ein Losungswort vereinbaren, dass in den Betreff hineingeschrieben wird", so Talos-Zens. Dieses Losungswort müsse nicht kompliziert oder schwer zu erraten sein, alleine dadurch, dass es individuell verschieden ist, könnten Fälschungen nicht massenhaft versendet werden.

Wasserdicht sei diese Lösung auch nicht, sagt Talos-Zens, denn das Losungswort könne gestohlen werden wenn zum Beispiel das E-Mail-Postfach gehackt wird. Aber Betrüger müssten zumindest mehr Aufwand betreiben.

Alexandra Siebenhofer, help.ORF.at

Mehr zum Thema:

23.04.2016