Rasanter Datenfluss: Das passiert bei einer Kartenzahlung

Das Croissant zum Frühstück mit einer Tasse Cappuccino für 6 Euro, ein Paar neue Laufschuhe für 120 Euro, danach zum Friseur, der 49 Euro abrechnet – all das lässt sich einfach und bequem per Karte bezahlen. Für das Frühstück und den Haarschnitt geht das mit einem kurzen Auflegen auf das Zahlterminal. Bei höheren Beträgen, wie für die Sneakers, wird zusätzlich die persönliche PIN überprüft.

Seit Jahren ist der Vorgang vertraut. Die Kartenzahlung ist schnell, einfach, unkompliziert. Rund 41 Millionen Kreditkarten waren Ende 2020 nach Angaben der Bundesbank in Deutschland im Umlauf, außerdem mehr als 100 Millionen Debitkarten.

Doch was passiert eigentlich genau, wenn Verbraucher*innen beim Bezahlen ihre Karte auflegen, in das Bezahlterminal stecken und einen Kauf mittels PIN freigeben oder Bezahlfunktionen wie Google Pay oder Apple Pay im Handy nutzen? Wie gelangt das Geld für Frühstücksgebäck, Haarschnitt oder Sportschuhe vom Konto der Kund*innen zur Bankverbindung von Bäckerei, Friseur und Sportgeschäft? Wer sieht dabei welche Daten? Wo werden welche Informationen auf ihre Richtigkeit geprüft? Und wie sicher ist dieser Vorgang?

Basis der Kartenzahlungen ist das sogenannte Vier-Parteien-System. Neben Karteninhaber*in und Handelsunternehmen gehören dazu zwei Finanzdienstleister: Der Issuer, oder die Bank, die die Karten an die Kund*innen ausgibt, und der Acquirer, oder die Händlerbank, als Dienstleister für die Kartenakzeptanz. Sie treten über die Vermittlung einer Kartengesellschaft, von der sie lizenziert sind, in Kontakt. Die weltweit bekanntesten sind Visa oder Mastercard. Zu diesen vier Hauptakteuren können weitere Dienstleister für die technische Abwicklung der Zahlung kommen.

Ein Beispiel, damit du dir die Abläufe besser vorstellen kannst: Marina nutzt eine Visa Karte, ausgegeben von der DKB, um ein Abendessen mit Freund*innen im griechischen Restaurant „Poseidon“ zu zahlen. Der Händler, „Poseidon“-Eigentümer Marco, arbeitet mit seiner lokalen Sparkasse zusammen, um Kartenzahlungen abzuwickeln.

150 Euro sind für Speisen und Getränke fällig. Marina steckt ihre Visa Karte in das Lesegerät und bestätigt die Zahlung des Betrags mit ihrer PIN. In Windeseile läuft dann die Genehmigung der Zahlung ab.

Die Kartendaten gehen zunächst an die Händlerbank (Acquirer). In den Informationen enthalten ist auch die sechsstellige Bank Identification Number (BIN), die deutlich macht, dass das Kartenkonto bei der DKB (Issuer) verwaltet wird. Die DKB-Computer prüfen, dass Marinas Karte keinen Sperrvermerk hat und sie finanziell gedeckt ist. Mithilfe komplexer Kontrollprozesse im Hintergrund werden auch Geldwäsche oder andere Betrügereien ausgeschlossen.

Sind bei der DKB alle Anforderungen erfüllt, geht die Bestätigung über die Acquirer-Bank zurück und erreicht das Terminal. Marinas Kartenkonto wird belastet, 150 Euro werden von der DKB an die Sparkasse überwiesen und Marco wird der Betrag auf dem Konto gutgeschrieben. Der gesamte Datentransfer nimmt nur den Bruchteil einer Sekunde in Anspruch.

Ermöglicht wird die Kommunikation zwischen den Beteiligten durch diese etablierte Infrastruktur sowie den auf der Karte gespeicherten Informationen. Bleibt der Zahlbetrag unter dem Limit von 50 Euro und die Kartenzahlung läuft kontaktlos ab, erfolgt die Zahlungsgarantie für den Handel statt über die PIN über den auf der Karte eingebauten Chip.

Dienstleister wickeln die Millionen täglichen Zahlungsströme in Deutschland in riesigen Rechenzentren ab. Dafür erhalten sie eine Provision in Höhe eines kleinen Anteils des Kaufpreises. Gleiches gilt für die herausgebenden Banken. Laut europäischer Verordnung dürfen diese Interbankenentgelte bei Zahlungen mit Kreditkarte maximal 0,3 Prozent des Transaktionswerts und bei Zahlung mit Debitkarte maximal 0,2 Prozent betragen.

„Für alle beteiligten Banken und Zahlungsdienstleister gelten hohe Sicherheitsanforderungen und strikte Regeln“, sagt Robert Kusber, Zahlungsverkehrsexperte bei der DKB. Mit dem Payment Card Industry Data Security Standard (PCI DSS) hat sich die Branche einen strengen Rahmen gesetzt. Dazu gehören umfangreiche Anforderungen zum Schutz von Kartendaten, Verschlüsselung bei der Übermittlung, Restriktionen beim Zugriff auf Informationen, ständige Aktualisierung von Software und Anti-Virenprogrammen sowie regelmäßige Tests, um die Sicherheit der Systeme zu prüfen. Kartenorganisationen wie Visa oder Mastercard sorgen dafür, dass alle Beteiligten im System über die erforderlichen Lizenzen und Sicherheiten verfügen.

Um das Risiko von Missbrauch zu minimieren, werden bei einer Kartenzahlung – verschlüsselt – nur die nötigsten Daten übermittelt. Marinas Name gehört beispielsweise nicht zu den Informationen, die durch die Leitungen laufen. Die erste Stelle der 16-stelligen Primary Account Number (PAN), wie die Kartennummer im Fachjargon heißt, macht dabei deutlich, ob die weitere Kommunikation mit dem Visa- oder Mastercard-Netz erfolgt. Die Anfangsziffer 4 steht für Visa, die 5 für Mastercard.

Andere Informationen wie Kartennummer oder Zahlungsbetrag sind dezentral im System verteilt. Das bedeutet, dass für Unberechtigte nur Bruchstücke des gesamten Zahlvorgangs zu sehen sind. Lediglich bei Acquirer und Issuer werden die Daten zusammengeführt. „Erst für die Abrechnung kommen alle Informationen zusammen. So haben Kund*innen die Möglichkeit zu prüfen, ob das Konto korrekt belastet wurde“, erläutert Kusber. Vergleichbar laufen die Datenströme auch bei einer Zahlung im Ausland oder online ab. Der wichtigste Unterschied für letzteren Fall, der in der Branche als „Card not present“ oder „Karte liegt nicht vor“ bezeichnet wird: Statt der PIN oder dem Chip auf der Karte wird zur Verifizierung hier die dreistellige Nummer auf der Rückseite der Karte verwendet.

Hinzu kommen oft weitere Sicherheitsschritte im Rahmen der 3D-Secure-Verfahren, die garantieren, dass Online-Zahlungen tatsächlich nur von den Karteninhaber*innen getätigt werden. Dabei wird die Zahlung ein weiteres Mal bestätigt, etwa mit der Banking-App durch biometrische Merkmale wie Fingerabdruck und Gesichtserkennung. Auch die Überprüfung bei Bezahl-Apps wie Apple und Google Pay, bei denen eine Zahlkarte hinterlegt ist, funktioniert nach diesem Muster.

Doch was ist angesichts dieser Regularien, Sicherheitsvorkehrungen und Verschlüsselungen mit der oft kolportierten Gefahr, dass Betrüger*innen quasi im Vorbeigehen Geld stehlen können, indem sie ein Kartenlesegerät an die Tasche halten, in der die Zahlkarte steckt? „Die Panik ist übertrieben“, betont Kusber. Dabei müsste der Kartenleser sehr nah in Kontakt mit der Karte kommen. Vor allem aber: „Das Geld lässt sich aus dem Lesegerät nicht unerkannt herauslösen. Die Gegenpartei ist darüber direkt zu identifizieren.“ Anders gesagt: Der Betrag kann nicht auf ein anonymes Konto überwiesen werden, da das Lesegerät innerhalb des Vier-Parteien-Systems fest eingebunden und verknüpft ist mit der Acquirer-Bank, für die wiederum die strengen Branchenregeln gelten.

Wer die Karte verliert, kann sich darauf verlassen, dass ohne PIN die gesamte Sicherheitsabfrage zur Bezahlung nicht ausgelöst werden kann. Der kontaktlose Einsatz ist nicht nur auf 50 Euro je Einkauf begrenzt, in unregelmäßigen Abständen muss die Karte aus Sicherheitsgründen in das Kartenterminal gesteckt und die Zahlung mit PIN bestätigt werden.

Trotzdem ist es wichtig, eine verlorene Karte sofort bei der Bank sperren zu lassen. So stockt der Datenfluss spätestens bei dem ausgebenden Geldhaus, das für den Zahlungsversuch dann den Daumen senkt. Das Geld ist damit sicher – ganz anders als bei einem Bündel verlorener Geldscheine.