Security done wrong

Ich habe gerade beim Webshop von GRAVIS mir ein neues Spielzeug aus Alu mit einem angebissenen Apfel drauf bestellt. Wie üblich (und für mich die einzig akzeptable Variante) hab ich mit Kreditkarte bezahlt. Während des Eingebens der Informationen hab ich natürlich ein paar Sachen überprüft. Und es war alles in Ordnung. Die Adressleiste zeigte das wichtige “s” und das grüne Sicherheitssymbol wurde auch angezeigt.

Kurz nach der Bestellung kam dann der Schock per Mail:

Bei Erstbestellung über Kreditkarte benötigen wir einmalig von Ihnen (zu Ihrer eigenen und zu unserer Sicherheit) eine beidseitige Kopie Ihrer Kreditkarte und Ihres Personalausweises. Bitte übersenden Sie uns eine PDF-Datei per e-mail oder faxen Sie diese Unterlagen an die Fax-Nummer 030-xxx xx xxxx. Geben Sie bitte die Ref-Nummer Ihrer Webstore-Bestellung an. Alternativ ist die Zahlung per Nachnahme oder per Vorauskasse möglich.

Ich soll also so sensible Daten wie meine Kreditkarte über ein unverschlüsseltes Medium wie e-mail oder Fax versenden? Das ist einfach nur: “Security done wrong”. Wie war das mit E-Mails sind wie Postkarten? Seit wann ist Fax verschlüsselt? Ich hab natürlich sofort den Support angerufen und mir wurde dann als Möglichkeit die Pseudoverschlüsselung von PDF empfohlen. Eine symmetrische Verschlüsselung. Wie bitteschön soll dann der Schlüssel auf sicherem Weg zum Händler gelangen?

Ich akzeptiere ja ohne weiteres die Kopie des Personalausweises. Das ist akzeptabel und auch nachvollziehbar. Aber eine Kopie der Kreditkarte über ein unverschlüsseltes Medium ist nun mal nicht “zu meiner eigenen Sicherheit”.

Wäre ich über diesen Punkt vor dem Bestellen informiert worden, so hätte ich bei dem Händler nicht bestellt, sondern direkt beim Hersteller.

6 thoughts on “Security done wrong”

  1. Also erstmal: Apple! Die sind doch nur zum kaputtmachen gut…

    Musste einfach raus ;-)

    Aber zum eigentlichen Thema: Also zumindest die FAX-Variante ist doch sehr sicher – genau genommen genau so sicher wie ein Telefonat auch. Du kannst zu 100% sicher sein, dass auf der anderen Seite der gewünschte Empfänger ist und dass eigentlich auch niemand mithören kann. Mal abgesehen von BKA und Telekom ;-)

    Klar, nur sichere Ende-zu-Ende-Verschlüsselung schafft absolute Sicherheit. Aber ein Medium kann durchaus auch ohne Verschlüsselung sicher sein ;-)

  2. Klar Fax ist sicherer als Mail. Leider kann man aktuell weder Telekom noch BKA vertrauen. Und warum soll ich allen Mitarbeitern bei GRAVIS, die das Fax in die Hände bekommen vertrauen? Ich frage mich ja schon was Mastercard davon halten würde. Und ich vermute, dass bei GRAVIS sich niemand darüber Gedanken gemacht hat.

  3. Also zumindest den Mitarbeitern bei GRAVIS würde ich so viel vertrauen entgegen bringen. Auch bei einer verschlüsselten Mail musst du dem Menschen auf der anderen Seite weit genug vertrauen – auch der hat irgendwann deine Kreditkartendaten im Klartext.

    Nachdem du das FAX geschickt hast, wird folgendes passieren: Ein GRAVIS-Mitarbeiter geht an das Faxgerät, findet dein Fax und legt es dem Kollegen auf den Tisch, der deine Bestellung bearbeitet. Der guckt mal schnell drüber, trägt dich als “überprüft” ein und schmeißt das Fax durch den Schredder – im schlimmsten Fall hebt er es in irgendeinem Archiv auf – das ist aber eher unwahrscheinlich.
    Trotz allen Security-Überlegungen sollte man seinen Mitmenschen immer noch ein gewisses Maß an Grundvertrauen entgegen bringen. Zumal denen, die ihr Geld damit verdienen, dass sie eben nicht deine Kreditkartendaten missbrauchen ;-)

    Allerdings muss ich dir zustimmen: Das vorgehen ist bei Kreditkartenzahlung eher unüblich. Vielleicht liegts am hohen Betrag.

  4. Timm du beschreibst die idealle Variante. Ich sehe auch die mögliche Variante “Mitarbeiter kommt am gleichen Tag nicht mehr dazu, Fax bleibt auf Schreibtisch liegen und Nachts kommt Putzdienst/Sicherheitsdienst von externen Firmen”

    Ich bin generell auf dem Standpunkt “Vertrauen kann ich nur mir selbst”, bzw. Menschen die ich so gut kenne, dass ich ihnen absolut vertraue. In der Kategorie Kreditkartendaten anvertrauen, haben die Mitarbeiter von GRAVIS noch nicht die absolute Vertrauenskategorie erreicht ;-)

    Aber wenn ich ihnen überhaupt nicht vertrauen würde, dann hätte ich die Daten nicht hingeschickt. Denke die Lösung mit Überkleben der Prüfziffer dürfte in Ordnung gehen.

  5. Mein Tip: Direkt bei apple.de bestellen. Gravis ist eine unseriöse und unsympathische klitsche. (Vorallem wenns dann an Garantieleistungen geht)
    Vorallem erschließt sich mir der Sinn nicht dass man die KK und den Ausweis nochmal kopieren muss – macht doch sonst auch keiner. KK-Daten eingeben und gut ist.

Comments are closed.