Ich stelle mal ein Thema hier im Blog ein, was mir aus zwei Quellen zugegangen ist. Leser haben mir darüber informiert, dass plötzlich Kreditkarten Commerzbank und HypoVereinsbank unberechtigt belastet wurden und vermuten Datenlecks. Meine Vermutung auf Skimming in Online-Shops oder bei den Benutzern selbst scheint sich in einem Fall nicht zu bestätigen. In Teil 1 behandele ich den Fall der HypoVereinsbank im Kontext einer Bestellung einer Maut-Vignette.
Vignettenbestellung mit Kreditkarte der HypoVereinsbank
Blog-Leser Maik hat mich bereits zum 6. Juli 2025 per E-Mail und dem Betreff "Abfluss von Kreditkartendaten bei der HypoVereinsbank?" kontaktiert. In der Mail beschreibt er einen unschönen Vorgang "in der Verwandtschaft". Der Sachverhalt ist ziemlich einfach, es begann damit, dass die Eltern des Lesers ihren Urlaub in Österreich verbringen wollten. Daher haben sie sich vorab über die offizielle Seite der ASFiNAG die erforderlich Maut-Vignette für ihr Fahrzeug bestellt.
Als Zahlungsmittel wurde die Kreditkarte der HypoVereinsbank der Ehefrau auf der Seite zum Kauf der Vignette hinterlegt. Die Zahlung ging auch anstandslos durch.
Wie bei jeder Kreditkartenzahlung bekam die Frau wenigen Minuten nach der Bestellung auch eine SMS der Bank, dass der entsprechende Betrag korrekt abgebucht wurde. Soweit so schön.
Plötzlich Folge-SMS mit Abbuchung und KK-Sperre
Am nächsten Tag trafen laut Leser aber eigenartigerweise noch zwei weitere SMS der Bank ein. Der Inhalt der ersten SMS lautete sinngemäß, dass drei Stunden nach der eigentlichen Bestellung eine weitere Buchung ausgeführt worden wäre. Das Ganze wurde aber noch merkwürdiger, denn die Belastung der Kreditkarte betrug 115 SAR (Währung Saudi-Arabische Riyal), was ca. 25 Euro entspricht. Die Buchungszeit für diese Belastung lag in der Nacht um 2 Uhr deutscher Zeit. Die zweite SMS enthielt die Information "Ihre Kreditkarte wurde aus Sicherheitsgründen gesperrt".
Hotline der HypoVereinsbank überlastet
Der Leser gibt an, dass seine Eltern den ganzen Tag versucht haben (einer übers Handy, der andere übers Festnetz) versucht haben, die HypoVereinsbank zu erreichen. Die Wartezeiten seien utopisch gewesen, heißt es vom Leser. Teilweise sei die Verbindung nach einigen Stunden Wartezeit einfach gekappt worden und der Kunde durfte nochmal neu anrufen und sich somit in der Warteschlange wieder hinten einreihen.
Was könnte passiert sein?
Irgend etwas muss da passiert sein, was das Anrufer-Volumen an der Hotline erklärt. Der Leser schreibt: "Nun, der ganze Umstand verwundert mich doch sehr. Ich kann mir nicht erklären, wie hier jemand an die Kreditkartendaten gekommen ist." Laut Leser seit der Rechner, an dem die Buchung durchgeführt wurde, definitiv sauber. Es sei auch über die offizielle Seite (also kein Scam-Link o.ä.) bestellt worden. Da aber die Hotline der HypoVereinsbank anscheinend "heiß" gelaufen ist, vermutet der Leser irgendwo einen Datenabfluss.
Die spannende Frage ist, wo der Datenabfluss passiert worden sein könnte. Mir fallen HypoVereinsbank und ASFiNAG als beteiligte Stellen ein. Aber weder bezüglich der HypoVereinsbank noch der ASFiNAG konnte ich Meldungen über ein Datenleck herausfinden. Die ASFiNAG warnt lediglich vor Fake-Shops, was der Leser als Ursache aber negiert. Die HypoVereinsbank wäre bei einem Datenabfluss verpflichtet gewesen, die Kunden zu informieren.
Der Leser schloss seine Mail mit "Vielleicht melden sich ja noch mehr Betroffene" – und damit möchte ich diese Frage weitergeben – ist da was bekannt bzw. einem Leser etwas ähnliches bekannt?
Artikelreihe:
Unberechtigte Abbuchungen bei HypoVereinsbank-Kreditkarte: Datenabfluss?
Unberechtigte Abbuchungen auf Debit-Karte: Datenabfluss bei Commerzbank?
MVP: 2013 – 2016
> Ich kann mir nicht erklären, wie hier jemand an die Kreditkartendaten gekommen ist. <
Auf dem Übermittlungsweg lagen kompromittierte, zum Zwecke von Deep Packet Inspection SSL Interception durchführende Next-Generation Firewalls (NGFW). Die Angreifer sassen auf diesen Firewalls und belauschten den Verkehr zwischen ASFiNAG und Vignetten kaufenden Verbrauchern.
Nachtrag: Das Vorstehende ist nur gemutmasst!
also .. damit jemand eine NGFW dazwischen schalten kann, muss auf dem Endgerät das Zertifikat der NGFW eingetragen werden, ansonsten wird das natürlich entdeckt, und davor gewarnt.
Das ist ja auch der größte Kritikpunkt an den NGFW, dass diese die mit viel Aufwand sichere Verbindung von PC zum Endgerät kaputt machen
Sie haben Recht.
also wenn mir jemand versichert der PC wäre "sauber"… werd ich erst recht hellhörig.
Erfahrungsgemäß ist er das nicht! Erst recht wenn "ältere User die nicht selbst technikaffin sind" im Spiel sind. Um überhaupt sagen zu können das dem so ist, muss man schon Sicherheitsforscher sein und selbst die können nicht zu 100% sagen das ein System sauber ist.
Gibt es da kein 2FA bei der Karte? Kenne ich schon viele Jahre gar nicht mehr ohne. Dann hat man auch diesen Blödsinn nicht (mehr):
"Wie bei jeder Kreditkartenzahlung bekam die Frau wenigen Minuten nach der Bestellung auch eine SMS der Bank"
Ich bekomme nie! eine SMS von der Bank alle Buchungen müssen mit der Secure-App der Bank oder über Karteleser mit eingesteckter Karte bestätigt werden.
Hier ist auf dem Smartphone auch nur die Secure-App installiert damit kann man ja keine Geschäfte (Zahlungen) machen nur zur Bestätigung.
Wenn ich bei der ASFINAG eine Bestellung mache, dann werde ich mit der Kreditkarte immer zu einer 2FA an die Bank weitergeleitet.
ABER: Wenn ich die KK für die automatische Abbuchung der Maut bei Durchfahrt der Station hinterlege, dann muss ich nur beim ersten Mal die 2FA machen und bekomme danach auch nur noch einen Hinweis, dass bei ASFINAG ein Umsatz stattgefunden hat.
Soviel dazu!
Man kann den Abbucher als "vertrauens würdig" markieren.
Dann kommt die Abfrage nicht mehr.
Es hilft aber nicht wirklich, weil der Betrüger sich ganz einfach ein eigenes Handy frei schalten kann, wenn er sich die Zugangsdaten zum Konto erphischt hat. Da für ist kein 2. Faktor nötig, also vollig bescheuert implementiert, weil man es denn Kunden einfach und schnell machen will.
Früher hatte ich einen Token Generator. Der musste im Online Banking aktiviert werden und ich musste meine Karte in das Gerät stecken wenn ich eine Zahlung bestätigen wollte. Das war lästig das Gerät und die Karte mit schleppen zu müssen, aber man konnte mehrev Geräte aktivieren. Irgendwann kam ein Bank Hirni auf die grandiose Idee, das der Token Generator zu teuer sei und eine App billiger… Die BaFin-Oberhirmis haben diesen Stuss dann als 2. Faktor genehmigt, was er ja auch ist, auf den ersten Blick…(wenn meine Karte geklaut wurde, merke ich das, aber wenn ein 2. Handy eingerichtet wurde merke ich dass nicht sofort)
Die Folgen sehen wir hier.
Trotz 2 FA massenweise illegale Zahlungen.
Ich habe die Phishing Email für die Solarisbank (ADAC) gesehen.
Perfektes Deutsch. Nur ein Deutsch Fehler ist mir nach dem 3 lesen aufgefallen.
Wer darauf reingefallen wäre hätte wohl nicht grob fahrlässig gehandelt.
In der E-Mail wurde behauptet, das ein weiteres Handy aktiviert worden ist und man ganz schnell widersprechen solle…
Mir kommt mein alter Statistik-Prof in den Sinn: „Post hoc ergo propter hoc" war einer seiner ersten Sprüche zum Thema Fehler und Studiendesign.
Kann es nicht einfach sein, dass die Kartendaten schon bei einem anderen Zahlungsvorgang abgezogen und erst da genutzt wurden? „Wie bei jeder Kreditkartenzahlung…" legt zumindest nahe, dass die Karte häufiger benutzt wird.
Und dass die Hotline einfach überlastet war, weil Urlaubszeit ist, und viele Menschen im Urlaub in vielen Ländern Kartenzahlungen leisten wollen und entsprechend mehr Probleme auftreten, als im Rest des Jahres?
Ansonsten: Onlinezahlung ohne 2FA hatte ich auch schon lange nicht mehr.
Zum Thema 2FA bei Kreditkartenbestellungen: Das hängt m. W. von demjenigen ab, bei dem man bestellt. Ich hatte bei den (nicht übermäßig vielen) Onlinezahlungen mit Kreditkarte sowohl Zahlungen mit als auch ohne 2FA.
2FA bei KK Bezahlungen im Netz veranlasst der Online Shop wo bestellt wird, und wenn der meint er braucht das nicht, dann ist das sein Problem. Dem KK Betreiber ist das wurscht und der kann da auch nichts machen. Hab vor Monaten extra mal bei meinen KK Betreiber nachgefragt ob ich was falsch mache, weil ich so gut wie nie 2FA abfragen bei Käufen im Internet erhielt. Und der hat mir das dann so erklärt.
Wobei zumindest bei Online Shops in der EU das meine ich inzwischen Pflicht sein müsste, eine 2FA Abfrage zu machen, zumindest beim ersten Mal. Gibt da ne EU Richtlinie zu, die inzwischen auch alle umgesetzt haben müssten. Also zumindest nach Zeitplan, keine Ahnung, ob das irgendwie kontrolliert wird und was die potenziellen Strafen sind, wenn der Shop das nicht macht.
Da kam zumindest vor ein paar Jahren mal ein Schreiben von meiner Bank zu.