Infos und Anregungen zu "Im Ruhestand die Welt bereisen"

Schlagwort: Kreditkarten

Sicherheit von Bankkarten und Finanz-Apps

[Artikel ist in Arbeit. Ist noch etwas unstrukturiert.]

Siehe auch Kontenmodell (für lange Auslandsaufenthalte)

Gestohlenes oder verlorenes Bargeld ist meist unwiederbringlich verloren. Die Haftung bei Missbrauch von Karten ist gesetzlich auf 50 € begrenzt – außer bei grober Fahrlässigkeit (z. B. PIN auf Karte oder Zettel notiert). Nach Sperrung haftet man generell nicht mehr. Viele Banken erstatten die 50 €, wenn keine Mitschuld vorliegt.
Bargeld oder Karten – Was kostet eigentlich Geld? – ING

Auf Reisen gibt es keine wirklich sicheren Aufbewahrungsorte für Wertgegenstände. Selbst für Hotelsafes muss es Nachschlüssel geben, viele lassen sich schon mit einem festen Faustschlag öffnen und manche sind nicht mal festgeschraubt. Hier hilft nur, möglichst wenig Wertvolles dabei zu haben (Bargeld ist am schlechtesten) und seine Wertsachen zu verteilen auf Hotelsafe und unterschiedliche Stellen in der getragenen Kleidung – von „schlauen“ Verstecken in Zimmern oder Gepäckstücken halte ich nichts – habe aber auch schon in Airbnbs meinen Notebook im Backofen versteckt  🙂

Generell bezahlen wir schon lange viele Dinge digital – etwa Miete, Strom oder Versicherungen – per Abbuchungsgenehmigung oder Überweisung. Selbst SEPA-Lastschriftmandate lassen sich wohl relativ leicht fälschen, also kann grundsätzlich jeder von irgendeinem Konto abbuchen.

Ich habe, so möglich, bei allen Konten und Karten Benachrichtigungen über Transaktionen aktiviert und prüfe zusätzlich alle paar Tage meine Konten auf verdächtige Buchungen, damit ich möglichst zeitnah Unstimmigkeiten bemerke. Siehe Vorsorge für Notfälle – Sperr-Notrufe

Es gibt Kredit- und Debit-Karten. Bei Debit werden Zahlungen und Abhebungen immer direkt vom Referenzkonto abgebucht. Bei Kredit räumt die Bank ein Kreditlimit ein und bucht die Umsätze gesammelt erst an einem Stichtag oder in Ratenzahlungen (wegen extrem hoher Zinsen nicht empfohlen!). Die Girocard (früher EC-Karte) ist eine deutsche Debitkarte. Girocards werden nur in Deutschland akzeptiert und in einigen Orten im Ausland mit vielen deutschen Touristen. Girocards können seit 2024 nicht mehr für Online-Zahlungen genutzt werden.

Sicherheitskritisch bei Karten sind vor allem PIN und CVC-Code. Name und Kartennummer sind weniger sensibel und ohnehin relativ leicht zu ermitteln. PINs sollte man sich merken oder sicher speichern, z.B. im Passwortmanager oder auf einem verschlüsselten Spickzettel notieren. Bei manchen Karten lassen sich PIN und CVC-Code in der App anzeigen. Bei einigen Karten (wie Wise und Curve) ist der CVC-Code aus Sicherheitsgründen gar nicht auf der Karte gedruckt, sondern nur in der App sichtbar.

Betrug mit ausgespähtem CVC-Code ist bei Händlern, die über in der EU ansässige Zahlungsdienstleister abrechnen, via 3D-Secure ausgeschlossen. Zwar könnte über nichteuropäische Zahlungsdienstleister z.B. in Japan, USA, Asien mit ausgespähtem CVC-Code bis zum Kartenlimit online eingekauft werden, aber m.W. blockieren meine Banken dann die Transaktion.
Am sichersten ist es, nur Karten ohne aufgedruckten CVC-Code physisch mitzuführen und solche mit aufgedrucktem CVC-Code nur übers Handy-Wallet zu nutzen. Falls eine Karte mit aufgedrucktem CVC sich nicht (temporär) für Online-Käufe sperren lässt, könnte man diesen unkenntlich machen (aber nicht vergessen, den Code sicher im Passwortmanager zu speichern) – das hilft aber nur gegen Ausspähen. Aber bei meinen Versuchen mit Übermalen und Wegkratzen war der Code mit etwas Mühe doch wieder erkennbar. Damit könnte man die meisten missbräuchlichen Online-Zahlungen und Telefongeschäfte verhinderb. Aber es gibt wohl immer noch Händler, die auch ohne CVC-Code abbuchen. Inhabername und Ablaufdatum würde ich auf der Karte nicht verändern – das könnte als Manipulation gewertet werden.

Kartenzahlung per Smartphone-Wallet ist insofern sicherer als mit physischer Karte, als selbst Kleinstbeträge nur mit entsperrtem Handy möglich sind und weil dabei PIN und CVC-Code nicht ausgespäht werden können (diese nicht mal an das Händlersystem übertragen). Wird aber ein Handy gestohlen und dem Dieb gelingt die Entsperrung (technisch oder durch Zwang oder Betäuben oder Entreissen), kann das gefährlicher sein als ein Kartenverlust – dieses Szenario ist aber sehr unwahrscheinlich.

  • Mit der Karte kann ohne PIN nur bis 50 € gezahlt oder abgehoben werden. Mit erpresster PIN bis zum Kartenlimit (bei Girocards sogar bis zum Kontolimit). Mit ausgespähtem CVC-Code könnte über nichteuropäische Zahlungsdienstleister bis zum Kartenlimit online eingekauft werden, falls die Bank das nicht blockiert.
  • Mit entsperrtem Handy kann der Dieb die Karten im Wallet bis zu deren Limit belasten, bei manchen bis zum Guthaben des Kartenkontos. Mit der Überwindung der biometrischen Sperre eines Handys ist auch die biometrische Sperre der Finanz-Apps, Authenticator-App und des Passwort-Managers überwunden. Um zu verhindern, dass ein Dieb die Kartenlimits erhöht oder Guthaben überweist, kann man die Banking-App erst gar nicht auf dem Handy installieren (das geht aber meist nicht, weil die Apps für Freigaben und Banking nicht getrennt sind) oder bei Banking-Apps die komfortable biometrische Entsperrung ausschalten – meine Banking-Apps verlangen dann immer die Eingabe der App-PIN. Bei manchen Banking-Apps (wie ING) lässt sich die Biometrie rein für Freigaben ausschalten – das ist ein guter Kompromiss zwischen Sicherheit und Bequemlichkeit. Bei DKB und der Postbank (BestSign) lässt sich leider nicht getrennt einstellen, ob Biometrie nur für die Anmeldung oder auch für Freigaben genutzt wird. Siehe auch Digitale Souveränität.

Bei Kredit- und Debitkarten lässt sich meist über ihre Apps einstellen, wo sie eingesetzt werden können (an Geldautomaten, an POS-Terminals, für Online-Zahlungen, in welchen Ländern sie gültig sind), welche Tages- und Wochenlimits für sie gelten, ob man über jede einzelne Buchung informiert werden möchte und man kann sie temporär sperren.
Bei jeder neuen Karten sollte man prüfen, wofür sie automatisch freigeschaltet ist und was konfigurierbar ist.

Temporäre Sperren helfen gegen die max. 50€ Abbuchung ohne PIN und missbräuchlichen Einsatz mit dem CVC-Code und gegen die heute nur noch seltene Möglichkeit, dass Händler ganz ohne CVC abbuchen können. Aber man kann sich damit auch selbst aussperren, wenn man den Zugriff auf seine Karten-App verliert.

Ländersperren können unerwartete Auswirkungen haben, z.B. wurde meine Mastercard für Zahlungen bei Amazon abgelehnt, weil Amazon Deutschland aus Luxemburg abbuchte und ich nur Deutschland freigeschaltet hatte.

Girokarten dagegen sind i.A. automatisch für bargeldlose Zahlungen mit gesteckter Karte freigeschaltet und es ist nicht möglich, dies zu deaktivieren. Auch wenn man sie nur zum Abheben an Geldautomaten nutzt und nie zum Zahlen, kann ein Dieb trotzdem damit bis zu 50€ ohne PIN zahlen. Zu ihrem Einsatz lässt sich meist nichts per App einstellen.

(Missbräuchliche) Transaktionen mit Kredit-Karten oder Debit-Karten lassen sich relativ leicht zurückbuchen (Chargeback), wenn man sie rechtzeitig bemerkt und nicht fahrlässig gehandelt hat. Muss man dabei aber eine Unterschrift leisten, wie an manchen Tankstellen, wird die Transaktion über das Lastschriftverfahren abgewickelt und kann nicht über Chardeback storniert, sondern über Lastschrift-Rückgabe.
Mit Girokarten ist das generell nicht so einfach. Ich musste z.B. auf Forderung der Bank wegen Skimming meiner Girocard mal Anzeige erstatten, obwohl die Banksysteme den Betrug schon vor mir bemerkt hatten.

Zurückbuchen irrtümlicher Überweisungen kann schwierig bis unmöglich sein. Man hat diese ja selbst freigegeben und trotz Herausgabeanspruch bei ungerechtfertigter Bereicherung muss man vielleicht gegen den Empfänger klagen, mit unklarem Erfolg.

Für betrügerische Überweisungen und unautorisierte Zahlungen haftet zwar prinzipiell die Bank, aber nur, wenn keine grobe Fahrlässigkeit des Kunden vorliegt, z.B. Weitergabe von PINs (selbst an Bankmitarbeiter), Ignorieren offensichtlicher Warnhinweise oder Sicherheitsvorkehrungen (z.B. Eingabe von Daten auf einer offensichtlich gefälschten Website, Klicken auf Links in E-Mails) oder unzureichender Schutz der Zugangsdaten (ich vermute, Wischgesten zum Entsperren eines Handys zählen dazu). Auch die Nutzung eines gerooteten / gejailbreakten Handys sowie einer nicht aktuellen Version einer Banking-App (typisch für deGoogled Handy) kann von Banken als grobe Fahrlässigkeit gewertet werden.

Vorsichtsmassnahmen bei Handy:
Siehe auch Android: Einstellungen, Sicherheit & Migration auf neues Handy

  • Gerät ein Handy entsperrt in die falschen Hände, dann kann das katastrophale Folgen haben. Deshalb sollten Handys gut gegen missbräuchliches Entsperren geschützt sein und man sollte sie nicht leichtfertig entsperrt aus der Hand geben.
  • Zur Vorbeugung gegen Defekt, Diebstahl oder Verlust meines primären Handys habe ich ein Ersatzhandy, welches bereits zur Authentifizierung (via Password Manager und Authenticator App) und für alle Finanz-Apps freigeschaltet ist. Das ist mir besonders auf Reisen wichtig.
  • Wenn man sein Handy gerne mal aus der Hand gibt – zum Telefonieren, nach dem Wetter gucken, Bilder scrollen – ist es erwägenswert, dafür einen Gast-Zugang einzurichten.
  • Bei Abgabe von Handys zu Reparaturen den „Repair Mode“ aktivieren. Bei Laptops einen Reparatur-Account ohne Adminrechte einrichten. Alle Daten sollten ohnehin immer verschlüsselt sein (Bitlocker, FileVault, Device Encryption auf Handy). Auf Windows sollten sicherheitsrelevante Daten im Nutzerverzeichnis liegen.
  • Zum Entsperren ist Face ID sicherer als Fingerprint und der ist sicherer als kurze numerische PINs. Wischgesten halte ich für zu unsicher. Da man Handys immer auch per PIN entsperren kann, sollte diese mindestens 6-ziffrig sein oder besser ein gutes, langes, leicht einzugebendes Passwort (siehe Toward better Master Passwords). Temporär lässt sich die biometrische Authentifizierung von Handys schnell deaktivieren: Bei Android über den Lockdown-Button im Power-Menü. Bei iPhones über Einstellungen in der Funktion „Notruf SOS“ oder gleichzeitiges Drücken der Seitentaste und einer der Lautstärketasten für etwa 2 Sekunden
  • Wenn möglich, führe ich Bank-Transaktionen und ihre Freischaltung nicht zusammen auf einem Handy aus, sondern veranlasse die Transaktion auf einem PC oder Notebook und gebe sie mit einem Handy frei.

Vorsicht bei (unerwarteten) E-Mails oder Nachrichten von (angeblichen) Banken – insbes. wenn die Mail vor Missbrauch warnt! Phishing ist weitverbreitet. Keine Links anklicken, keine Nummern aus Mails anrufen – auch dann nicht, wenn man ganz sicher ist, dass es eine normale E-Mail von einer Bank ist. Immer direkt per App oder gespeicherter URL ins Onlinebanking gehen. Nicht nach URLs oder Kontakt-Infos im Web suchen, nur die Infos nutzen, die man sich mal in Ruhe bei Kontoeröffnung im Passwortmanager eingetragen hat.

Es gab schon Fälle, bei denen E-Mails abgefangen und die IBAN in Rechnungen geändert wurde. Erst abt Okt 2025 sind Banken verpflichtet zu prüfen, ob Empfängername und IBAN zusamenpassen.

Vorbereitungen für Reisen

[Artikel ist in Arbeit]

Es gibt mit unterschiedlichem Vorlauf zum Reisebeginn vieles zu erledigen. Lasst euch von meinen langen Listen nicht verrückt machen: Ich habe halt so meine Erfahrungen gemacht und mir mindert es Stress, vieles bedacht zu haben. Manchem ist solche Vorausplanerei vielleicht zu viel und das ist natürlich auch OK.

Siehe auch:

Inhalt:

Weiterlesen
Cookie Consent mit Real Cookie Banner