Die CVC-Lücke – Warum deine Kreditkarte weniger sicher ist, als du denkst

Veröffentlicht am 08. July 2025 | von oneJanik

Die CVC-Lücke – Warum deine Kreditkarte weniger sicher ist, als du denkst

Stell dir vor, du bestellst online Essen. Du hast deine Kreditkartendaten schon vor einiger Zeit bei dem Lieferdienst gespeichert, um den Bezahlvorgang zu beschleunigen. Beim Checkout wirst du, wie üblich, nach der dreistelligen Prüfziffer (CVC/CVV) auf der Rückseite deiner Karte gefragt. Du tippst aber aus Versehen eine falsche Nummer ein. Was erwartest du? Richtig, eine Fehlermeldung.

Aber was, wenn die Zahlung trotzdem durchgeht? Genau das ist mir neulich bei einem großen Lieferdienst passiert. Und es ist kein Einzelfall. Es ist eine bewusste Entscheidung mancher Händler und Zahlungsdienstleister – eine Entscheidung, die Bequemlichkeit über Sicherheit stellt und eine massive Sicherheitslücke offenbart.

Was ist die CVC-Prüfziffer überhaupt?

Die Card Validation Code (CVC), bei VISA auch CVV genannt, ist diese drei- oder vierstellige Nummer auf deiner Kreditkarte. Sie wurde als Sicherheitsmerkmal eingeführt, um zu beweisen, dass du die physische Karte beim Online-Kauf tatsächlich in der Hand hältst.

Die Logik ist simpel:

Die Kartennummer und das Ablaufdatum könnten theoretisch aus alten Rechnungen, Datenlecks oder durch Phishing gestohlen werden.
Die CVC-Nummer soll aber *nicht* zusammen mit diesen Daten gespeichert werden. Weder vom Händler noch vom Zahlungsanbieter.

Bei jeder Transaktion wird die CVC also neu abgefragt und direkt an die Bank zur Überprüfung gesendet. Stimmt sie nicht, wird die Zahlung abgelehnt. So die Theorie.

Die Realität sieht anders aus

Was ich erlebt habe, ist ein Phänomen, das in der Branche als "CVC-optional" oder "No-CVC-Transaction" bekannt ist. Einige Händler entscheiden sich bewusst dafür, die CVC-Prüfung zu überspringen, insbesondere bei Kunden, deren Karte bereits hinterlegt ist.

Warum? Weil sie Angst haben, dich als Kunden zu verlieren. Die Argumentation dahinter ist rein wirtschaftlich:

Konversionsrate erhöhen: Jeder zusätzliche Klick, jede zusätzliche Eingabe im Checkout-Prozess erhöht die Wahrscheinlichkeit, dass ein Kunde den Kauf abbricht. Die CVC-Eingabe ist so ein "Reibungspunkt".
Fehler vermeiden: Ein Kunde könnte sich vertippen oder die Karte gerade nicht zur Hand haben. Anstatt eine Fehlermeldung anzuzeigen und den Kunden möglicherweise zu frustrieren, lässt der Händler die Zahlung lieber trotzdem durchlaufen.
Gespeicherte Karten: Bei wiederkehrenden Kunden mit gespeicherten Kartendaten argumentieren Händler oft, dass das Vertrauen bereits etabliert sei und eine erneute CVC-Prüfung überflüssig ist.

Das Problem dabei: Diese Logik ist brandgefährlich.

Das Risiko: Wenn Bequemlichkeit auf die Realität trifft

Wenn ein Händler auf die CVC-Prüfung verzichtet, bedeutet das im Klartext: Jeder, der Zugriff auf deine gespeicherten Kartendaten hat, kann ohne weitere Verifizierung auf deine Kosten einkaufen.

Wo könnten diese Daten herkommen?

Datenlecks beim Händler: Wenn die Datenbank des Onlineshops gehackt wird, sind deine Kartennummer und das Ablaufdatum möglicherweise im Klartext verfügbar.
Phishing: Du klickst auf einen Link in einer gefälschten E-Mail und gibst deine Daten auf einer nachgebauten Seite ein.
Unsichere Netzwerke: Du nutzt ein öffentliches WLAN, und jemand fängt deine Daten ab.
Zugriff auf dein Konto: Jemand hackt deinen Account beim Lieferdienst. Da die Kartendaten gespeichert sind, fehlt nur noch die (ignorierte) CVC zur Bestellung.

Die CVC ist oft die letzte Verteidigungslinie, die zwischen deinen gestohlenen Daten und einer betrügerischen Transaktion steht. Wenn diese Linie bewusst ignoriert wird, steht die Tür für Missbrauch weit offen.

"Aber es gibt doch 3D-Secure!"

Ja, viele Transaktionen werden zusätzlich durch 3D-Secure (z.B. "Verified by Visa" oder "Mastercard Identity Check") abgesichert, bei dem du eine Zahlung per App oder SMS-Code freigeben musst.

Aber:

Nicht alle Händler nutzen es konsequent.
Manchmal wird es nur bei der ersten Zahlung oder bei ungewöhnlich hohen Beträgen aktiviert.
Die Entscheidung, ob 3D-Secure ausgelöst wird, liegt oft bei einer Risikoanalyse des Händlers. Wenn du als "vertrauenswürdiger Stammkunde" eingestuft wirst, könnte diese Prüfung entfallen.

Genau hier beißt sich die Katze in den Schwanz: Der Händler stuft dich als vertrauenswürdig ein und deaktiviert daraufhin die Sicherheitsmechanismen, die dich vor Betrug schützen sollen, wenn dein "vertrauenswürdiges" Konto von einem Dritten übernommen wird.

Wer trägt die Verantwortung?

Das ist die komplizierte Frage. Aus der Sicht der Zahlungsnetzwerke (Visa, Mastercard) ist die CVC-Prüfung dringend empfohlen, aber technisch nicht immer zwingend erforderlich, um eine Transaktion zu autorisieren.

Der Händler: Er geht das Risiko ein. Wenn eine Transaktion ohne CVC-Prüfung später als betrügerisch gemeldet wird (ein sogenannter "Chargeback"), bleibt der Händler in der Regel auf den Kosten sitzen. Große Unternehmen kalkulieren eine gewisse Betrugsrate einfach in ihre Geschäftszahlen mit ein. Sie wetten darauf, dass die Einnahmen durch die höhere Konversionsrate die Verluste durch Betrug übersteigen.
Die Bank (Acquirer): Die Bank des Händlers kann Regeln festlegen und Transaktionen ohne CVC ablehnen, tut dies aber oft nicht, um große Kunden nicht zu verärgern.
Du als Kunde: Am Ende bist du derjenige, der den Ärger hat. Du musst deine Kontoauszüge prüfen, betrügerische Abbuchungen melden und dich mit dem Kundenservice herumschlagen. Auch wenn du dein Geld meist zurückbekommst, ist der Aufwand enorm.

Besonders bedenklich finde ich das in Deutschland, einem Land, das sonst so viel Wert auf Datenschutz und Sicherheit legt. Es fühlt sich an, als würde hier ein internationaler E-Commerce-Standard angewendet, der nicht zu den hiesigen Sicherheitserwartungen passt.

Was kannst du tun, um dich zu schützen?

Da du dich nicht darauf verlassen kannst, dass Händler immer in deinem besten Interesse handeln, musst du selbst aktiv werden.

Vermeide das Speichern von Kreditkartendaten: Auch wenn es bequem ist, gib deine Daten lieber bei jedem Kauf neu ein. Das ist der effektivste Schutz.
Nutze "Wegwerf-Kreditkarten": Einige Banken oder Fintechs bieten virtuelle Kreditkarten an, die du nur für eine einzige Transaktion oder einen bestimmten Händler verwenden kannst.
Aktiviere alle Benachrichtigungen: Stelle bei deiner Bank ein, dass du bei *jeder* Transaktion sofort per Push-Nachricht oder E-Mail informiert wirst. So bemerkst du Betrug sofort und nicht erst am Ende des Monats.
Verwende PayPal oder ähnliche Dienste: Wenn du bei einem Händler über PayPal bezahlst, sieht dieser deine Kreditkartendaten gar nicht erst. Die Sicherheit hängt dann an der Stärke deines PayPal-Passworts und der Zwei-Faktor-Authentifizierung.
Prüfe deine Kontoauszüge regelmäßig: Das ist die letzte, aber wichtigste Kontrolle. Melde jede verdächtige Transaktion umgehend deiner Bank.

Fazit: Ein fauler Kompromiss

Die CVC-Lücke ist ein perfektes Beispiel dafür, wie die digitale Wirtschaft oft funktioniert: Deine Sicherheit wird gegen die Gewinnmarge eines Unternehmens aufgewogen. Und leider verliert die Sicherheit dabei zu oft.

Es ist ein fauler Kompromiss, der auf der Hoffnung basiert, dass "schon nichts passieren wird". Aber in einer Welt voller Datenlecks und Cyberkriminalität ist Hoffnung keine Strategie. Es ist an der Zeit, dass Händler verstehen, dass echtes Kundenvertrauen nicht durch das Weglassen von Sicherheitsabfragen entsteht, sondern durch den Beweis, dass sie die Daten und das Geld ihrer Kunden ernst nehmen. Bis dahin gilt: Sei misstrauisch. Sei vorsichtig. Und speichere deine Kartendaten nicht.

Deine Bequemlichkeit ist ihr Gewinn. Deine Sicherheit ist deine Verantwortung.