Nach dem Diebstahl von mehr als 100.000 Kreditkarten-Daten in den USA hat das Unternehmen CardSystems eingestanden, für das Sicherheitsleck verantwortlich zu sein. Geschäftsführer John Perry sagte am Sonntag, der Diebstahl sei nur möglich gewesen, weil man die Daten von Transaktionen für «Überprüfungen» aufgehoben habe.

Dies ist Firmen, die Transaktionen für Kreditkarten-Unternehmen vornehmen, eigentlich untersagt. Perry sagte, man habe mit den Kreditkarten-Daten nach Fehlern im System suchen wollen. Dies hatten Hacker ausgenutzt, um ein Programm zu installieren, das die Daten abgriff.

Betroffen vom Diebstahl sind voraussichtlich 100.000 Kunden von Visa-Card, 68.000 Kunden von MasterCard sowie etwa 30.000 Kunden einiger kleinerer Kreditkarten-Firmen. Da sie in der Regel nur bis zu 50 Dollar haften, dürften von dem Diebstahl vor allem Einzelhändler betroffen sein.

Ein Sprecher von MasterCard sagte der «New York Times», man habe erstmals Mitte April ungewöhnlich viele fehlerhafte Zahlungen registriert. Als ähnliche Unregelmäßigkeiten bei Visa und einem weiteren Unternehmen auftraten, habe man unabhängige Ermittler eingeschaltet. Am 22. Mai sei das Programm der Hacker bei CardSystems gefunden worden.

Einen Tag später schaltete das Unternehmen die Polizei ein. Wie groß der Schaden ist, ist bislang noch nicht abzusehen.

CardSystems hatte nicht nur Kreditkartennummern und Namen aufbewahrt sondern auch die drei- bzw. vierstelligen Sicherheitsnummern, die normalerweise zusätzliche Sicherheit bieten sollen. Die Daten wurden zudem unverschlüsselt gespeichert, so dass die Hacker sie nicht einmal dechiffrieren mussten. Ein Analyst von Gartner sagte der «New York Times», das Vorgehen von CardSystems sei völlig unverständlich. «Das ist einfach Leichtsinnigkeit.» (nz)