Card Validation Code
Der Card Validation Code (CVC) (auch Card Verification Value (CVV), Card Verification Number (CVN), Card Security Code (CSC), Card Code Verification (CCV), Kartenprüfnummer (KPN)) oder Sicherheitscode ist ein Sicherheitsmerkmal auf Kreditkarten.
Die Prüfnummer soll die Nutzung von gefälschten oder gestohlenen Kreditkartenangaben erschweren, da sich hiermit feststellen lassen soll, ob eine Kreditkarte tatsächlich physisch vorliegt.
Funktion
Das aktuell gebräuchliche Format heißt CVC2. Es handelt sich dabei um eine drei- oder vierstellige Zahlenkombination, die zusätzlich zur Kreditkartennummer auf der Kreditkarte aufgedruckt (nicht geprägt) ist. Dadurch ist die Prüfnummer nicht maschinenlesbar. Sie kann ausschließlich vom ausgebenden Kreditinstitut verifiziert werden, da es keinen mathematischen Zusammenhang zur Kartennummer gibt. Einige Kreditinstitute erstellen die Prüfziffer mit dem DES-Algorithmus u. a. aus Kartennummer und Gültigkeitsdatum.[1]
Das vorherige Format CVC, heute CVC1 genannt, ist auf dem Magnetstreifen der Karte gespeichert und damit ausschließlich für eine Prüfung einer physisch vorliegenden Karte – nicht per Telefon oder Internet – geeignet.
Der CVC darf nach den Richtlinien der Kartenunternehmen[2] lediglich abgefragt, aber weder gespeichert noch verarbeitet (z. B. auf eine Quittung/Rechnung gedruckt) werden. Dies soll sicherstellen, dass der CVC bei jeder Transaktion erneut abgefragt werden muss.
Bei Online-Transaktionen ist es heutzutage üblich, zur Authentifizierung des Karteninhabers die Anschrift (Address Verification System, AVS) und/oder den CVC2 während der Erfassung der Zahlungsdetails abzufragen, obwohl dies letztlich eine Verarbeitung bzw. Speicherung darstellen kann. Unbefugte könnten durch unsichere Übermittlung oder unzulässige Speicherung Zugang zu den Authentifizierungsdaten erhalten und die Sicherheitsmerkmale damit nutzlos machen.
Verwendung des CVC2
- EuroCard/MasterCard und Visa: Die Prüfnummer ist dreistellig, heißt CVV2 (Card Verification Value 2) und befindet sich auf der Rückseite der Karte.
- American Express: Die Prüfnummer ist vierstellig, heißt CID (Card Identification #) und befindet sich auf der Vorderseite der Karte.
Kritik
Es wird bemängelt, dass die Prüfnummer leicht zu ermitteln sei, wenn die Kreditkartennummer bekannt ist. Sicherheitsexperten der Tübinger Firma SySS führten dies 2007 in der Sendung WISO und 2011 erneut im Auftrag der Wochenzeitung Die Zeit öffentlich vor.[3] Die Verschlüsselung durch DES nutze nichts, weil die Prüfnummer einfach durch systematisches Probieren per Anfrage bei verschiedenen Webshops ermittelt werden kann. Manche Webshops schränken nicht einmal die Zahl der Fehlversuche ein, weil sie ungeschickte Kunden, die sich mehrfach vertippen, nicht verprellen möchten. Somit sei die Prüfnummer nutzlos und täusche dem Kunden zusätzliche Sicherheit nur vor.[3]
Weitergehendes Verfahren
3-D Secure ist ein weitergehendes Verfahren, mit dem Kreditkarten-Herausgeber versuchen, den Kreditkartenbetrug bei Online-Geschäften einzudämmen. Es beruht darauf, dass während der Transaktion eine Verbindung zum Kartenherausgeber hergestellt wird, damit der Käufer seine Identität dort mittels eines Codes bestätigt.
Einzelnachweise
- Werner Rockenbach: Die Prüfziffer der Kreditkarte (nicht mehr vorhanden).
- Payment Card Industry Data Security Standard (PCI DSS) (PDF; 393 kB) verbietet die Speicherung vertraulicher Authentifizierungsdaten.
- Thomas Fischermann: Lauter Löcher. Die Zeit, 19. Mai 2011. Online unter , abgerufen am 5. August 2011.
Literatur
- Thomas Lammer (Hrsg.): Handbuch E-Money, E-Payment & M-Payment. Physica-Verlag, Heidelberg 2006, ISBN 3-7908-1651-5.