Card Validation Code

Der Card Validation Code (CVC) (auch Card Verification Value (CVV), Card Verification Number (CVN), Card Security Code (CSC), Card Code Verification (CCV), Kartenprüfnummer (KPN)) oder Sicherheitscode ist ein Sicherheitsmerkmal auf Kreditkarten.

Die Prüfnummer soll die Nutzung von gefälschten oder gestohlenen Kreditkartenangaben erschweren, da sich hiermit feststellen lassen soll, ob eine Kreditkarte tatsächlich physisch vorliegt.

Funktion

CVC2 (im roten Kreis) auf der Rückseite einer Kreditkarte

Das aktuell gebräuchliche Format heißt CVC2. Es handelt sich dabei um eine drei- oder vierstellige Zahlenkombination, die zusätzlich zur Kreditkartennummer auf der Kreditkarte aufgedruckt (nicht geprägt) ist. Dadurch ist die Prüfnummer nicht maschinenlesbar. Sie kann ausschließlich vom ausgebenden Kreditinstitut verifiziert werden, da es keinen mathematischen Zusammenhang zur Kartennummer gibt. Einige Kreditinstitute erstellen die Prüfziffer mit dem DES-Algorithmus u. a. aus Kartennummer und Gültigkeitsdatum.[1]

Das vorherige Format CVC, heute CVC1 genannt, ist auf dem Magnetstreifen der Karte gespeichert und damit ausschließlich für eine Prüfung einer physisch vorliegenden Karte – nicht per Telefon oder Internet – geeignet.

Der CVC darf nach den Richtlinien der Kartenunternehmen[2] lediglich abgefragt, aber weder gespeichert noch verarbeitet (z. B. auf eine Quittung/Rechnung gedruckt) werden. Dies soll sicherstellen, dass der CVC bei jeder Transaktion erneut abgefragt werden muss.

Bei Online-Transaktionen ist es heutzutage üblich, zur Authentifizierung des Karteninhabers die Anschrift (Address Verification System, AVS) und/oder den CVC2 während der Erfassung der Zahlungsdetails abzufragen, obwohl dies letztlich eine Verarbeitung bzw. Speicherung darstellen kann. Unbefugte könnten durch unsichere Übermittlung oder unzulässige Speicherung Zugang zu den Authentifizierungsdaten erhalten und die Sicherheitsmerkmale damit nutzlos machen.

Verwendung des CVC2

EuroCard/MasterCard: Die Prüfnummer ist dreistellig, heißt CVC2 (Card Validation Code 2) und befindet sich auf der Rückseite der Karte.
Visa: Die Prüfnummer ist dreistellig, heißt CVV2 (Card Verification Value 2) und befindet sich auf der Rückseite der Karte.
American Express: Die Prüfnummer ist vierstellig, heißt CID (Card Identification #) und befindet sich auf der Vorderseite der Karte.

Kritik

Es wird bemängelt, dass die Prüfnummer leicht zu ermitteln sei, wenn die Kreditkartennummer bekannt ist. Sicherheitsexperten der Tübinger Firma SySS führten dies 2007 in der Sendung WISO und 2011 erneut im Auftrag der Wochenzeitung Die Zeit öffentlich vor.[3] Die Verschlüsselung durch DES nutze nichts, weil die Prüfnummer einfach durch systematisches Probieren per Anfrage bei verschiedenen Webshops ermittelt werden kann. Manche Webshops schränken nicht einmal die Zahl der Fehlversuche ein, weil sie ungeschickte Kunden, die sich mehrfach vertippen, nicht verprellen möchten. Somit sei die Prüfnummer nutzlos und täusche dem Kunden zusätzliche Sicherheit nur vor.[3]

Weitergehendes Verfahren

3-D Secure ist ein weitergehendes Verfahren, mit dem Kreditkarten-Herausgeber versuchen, den Kreditkartenbetrug bei Online-Geschäften einzudämmen. Es beruht darauf, dass während der Transaktion eine Verbindung zum Kartenherausgeber hergestellt wird, damit der Käufer seine Identität dort mittels eines Codes bestätigt.

Einzelnachweise

Werner Rockenbach: Die Prüfziffer der Kreditkarte (nicht mehr vorhanden).
Payment Card Industry Data Security Standard (PCI DSS) (PDF; 393 kB) verbietet die Speicherung vertraulicher Authentifizierungsdaten.
Thomas Fischermann: Lauter Löcher. Die Zeit, 19. Mai 2011. Online unter , abgerufen am 5. August 2011.

Literatur

Thomas Lammer (Hrsg.): Handbuch E-Money, E-Payment & M-Payment. Physica-Verlag, Heidelberg 2006, ISBN 3-7908-1651-5.
Ernst Stahl, Markus Breitschaft, Thomas Krabichler, Georg Wittmann: Risiken der Zahlungsabwicklung im Internet. Bedeutung, Gegenmaßnahmen und zukünftige Herausforderungen. IBI Research, Regensburg 2007, ISBN 978-3-937195-15-5, Näheres zur Studie und Management Summary als PDF

Weblinks

Themenspecial des ECC Handel: Risikomanagement im E-Commerce
Sichere Zahlungsverfahren für E-Government: E-Government-Handbuch (Memento vom 17. Januar 2012 im Internet Archive) (PDF; 1,2 MiB)

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.

[1] Werner Rockenbach: Die Prüfziffer der Kreditkarte (nicht mehr vorhanden).

[2] Payment Card Industry Data Security Standard (PCI DSS) (PDF; 393 kB) verbietet die Speicherung vertraulicher Authentifizierungsdaten.

[Fischermann-3] Thomas Fischermann: Lauter Löcher. Die Zeit, 19. Mai 2011. Online unter , abgerufen am 5. August 2011.