CVC, CSC und CVV

KK_icon_02

CVC ist eine Abkürzung für Card Validation Code(CVC) und steht für ein Sicherheitsmerkmal bei Kreditkarten. Diese wird unter anderem auch als Card Verification Value(CVV), Card Security Code(CSC) oder Kartenprüfnummer(KPN) bezeichnet. Die CVC soll verhindern, dass entwendete oder gefälschte Kreditkartenangaben zum Einkaufen verwendet werden. Anhand der Nummer kann festgestellt werden, ob für eine Kreditkartennummer auch wirklich eine physische Kreditkarte vorliegt.

Funktion des Card Validation Code

Aktuell wird bei Kreditkarten das Format CVC2 verwendet. Der Code besteht aus einer Nummer mit drei oder vier Ziffern und wird zusätzlich zur Kreditkartennummer auf die Rückseite von Kreditkarten aufgedruckt. Da die Prüfnummer nur aufgedruckt und nicht geprägt wird, kann diese von Kartenlesegeräten nicht gelesen werden. Da es keinen mathematischen Zusammenhang zur Kreditkartennummer gibt, kann lediglich das ausgebende Institut die Prüfziffer verifizieren. Bei einigen Kreditkarten Unternehmen wird die Prüfziffer durch einen DES-Algorithmus gebildet, der sich unter anderem aus der Kreditkartennummer und dem Gültigkeitsdatum generiert wird. Bei Transaktionen über das Internet ist es heutzutage üblich entweder die Anschrift des Karteninhabers als Verifizierung zu nutzen oder den CVC. Diese müssen während der Erfragung der Zahlungsdetails durch den Karteninhaber eingegeben werden. Das Problem dabei ist jedoch, dass diese Eingabe eine besondere Verarbeitung und Speicherung erfordert. Dabei besteht das Risiko, dass die Daten während der Eingabe abgefangen werden und den Code damit nutzlos machen.

Vorgänger des aktuellen Formats

Das Vorgängerformat war CVC oder auch CVC1 genannt. Dieses wurde direkt auf dem Magnetstreifen gespeichert, wodurch ausschließlich physisch vorhandene Kreditkarten geprüft werden konnten. Die Richtlinien der Kreditkartenunternehmen sehen vor, dass diese Prüfziffer ausschließlich zur Abfrage genutzt werden darf. Dagegen ist es nicht erlaubt, den Code beispielsweise auf einer Quittung auszudrucken. Dadurch soll sichergestellt werden, dass die Prüfnummer bei jeder Transaktion neu abgefragt werden muss.

Verwendung des CVC2

Derzeit wird der Code für Kreditkarten von MasterCard, Visa und American Express genutzt. Bei Eurocard und Visa besteht der Code aus drei Ziffern und wird auf die Rückseite der Karte gedruckt. American Express nutzt eine vierstellige Nummer, welche sich auf der Vorderseite der Karte befindet. Kritiker bemängeln, dass der Code zu leicht ermittelbar ist, falls die Kreditkarten Nummer bekannt ist. Zudem kann die Prüfziffer bei einigen Online-Shops beliebig oft falsch eingegeben werden, sodass bei einer missbräuchlichen Nutzung der Code einfach durch Ausprobieren ermittelt werden kann. Inzwischen gibt es mit 3D-Secure ein weitergehendes Sicherungsverfahren. Dabei kann der Karteninhaber ein Kennwort selbst bestimmen, welches dann bei der Bezahlung abgefragt wird. Diese Abfrage wird über das kartenausgebende Institut durchgeführt, wobei der Online-Shop hiervon nichts mitbekommt. Wird das Passwort falsch eingegeben, ist das Bezahlen nicht möglich.