Schwarzmarkt für geklaute Zahlungskarten boomt

Tauchen Daten von Kredit- oder anderen Zahlungskarten im Darknet auf, lassen sich Kriminelle dafür gut bezahlen. Ein ausgeklügelter Prozess steckt hinter ihren Angeboten, und steigende Preise schrecken die Käufer nicht. 

Die Daten gestohlener Zahlungskarten sind auf den weltweiten, digitalen Schattenmärkten eine gefragte Ware, auch wenn die Käufer dafür deutlich tiefer in die Tasche greifen müssen als noch vor zwei Jahren. Wie eine nun veröffentlichte Studie des IT-Sicherheitsunternehmens Nord VPN offenbart, ist beispielsweise der Durchschnittspreis in Deutschland von 4,77 US-Dollar im Jahr 2023 auf mittlerweile 11,06 US-Dollar angestiegen. Das ist ein Plus von knapp 132 Prozent. Spanien und Frankreich belegen mit 11,68 US-Dollar beziehungsweise 11,07 US-Dollar die Spitzenplätze in Europa.   

Für die Analyse wurden insgesamt 50.705 gestohlene Kartendatensätze, die im Mai 2025 auf Darknet-Marktplätzen gelistet waren, untersucht. Im Fokus standen dabei die öffentlich zugänglichen Angebotsinformationen. Ein Kauf oder die Nutzung von echten Zugangsdaten fanden nicht statt. 

US-Kartendaten werden am häufigsten angeboten

Kartendaten aus den USA finden sich mit durchschnittlich 11,51 US-Dollar im Mittelfeld wieder. Allerdings sind US-Amerikaner im internationalen Vergleich am stärksten von Zahlungskartenbetrug betroffen. Über 60 Prozent der gestohlenen Kartendaten gehörten US-Nutzern. Singapur belegt mit etwa elf Prozent Rang zwei. Spanien folgt mit rund zehn Prozent auf drei.

Kartendaten japanischer Opfer liegen hingegen mit im Schnitt fast 23 US-Dollar preislich an der Spitze. Ganz unten rangieren Länder wie die Republik Kongo oder Georgien mit rund einem US-Dollar. Besonders stark fiel der Anstieg gegenüber der Vorgängererhebung aus dem Jahr 2023 in Neuseeland (444 Prozent), Argentinien (368 Prozent) und Polen (221 Prozent) aus.

Seltenheit und Risiken beeinflussen den Preis

Die Untersuchung zeigt: Je seltener die Daten und höher das Risiko, desto mehr müssen die Käufer bezahlen. "Auch die Stärke der Strafverfolgungsbehörden und die politische Stabilität eines Landes beeinflussen das Risiko und damit den Preis", erläutert Adrianus Warmenhoven, Cybersicherheits-Experte bei Nord VPN. Dabei erzielen Karten mit längeren Laufzeiten höhere Preise. Rund 87 Prozent der analysierten Karten waren noch über zwölf Monate gültig, "das macht ihren Weiterverkauf für Kriminelle besonders attraktiv".

Dabei werden nicht nur Kartennummern gehandelt. Die Anbieter verkaufen auch Namen, Adressen, E-Mail-Adressen und weitere Informationen. Mit diesen geben sich die kriminellen Käufer als Kartenbesitzer aus und umgehen so die Verifizierungsverfahren. 

Und das ist trotz gestiegener Preise ein lukratives Geschäft: 

Auf großen Darknet-Marktplätzen kostet eine gestohlene Zahlungskarte oft nicht mehr als ein Kinoticket. Karten werden häufig in großen Paketen mit langer Gültigkeit angeboten und lassen sich lokal leicht zu Geld machen. Für wenige Dollar wählen die Täter dann zwischen einem Kinoabend oder erheblichem Betrug inklusive möglicher Kontenübernahmen", stellt Warmenhoven klar. 

Kriminelle Lieferkette sorgt für Cash

Den eigentlichen Gewinn bringt der sogenannte Cash-out (Carding). Um gestohlene Kartendaten zu monetarisieren, braucht es eine industrielle Lieferkette: Sogenannte Harvester beschaffen die Daten, Validatoren überprüfen diese mit Bots und Cash-outers wandeln sie schließlich in Gutscheincodes, Waren, Kryptowährungen oder Bargeld um.

"Der entscheidende Schritt beim Carding ist die Validierung", betont Warmenhoven. "Cyberkriminelle nutzen Bots, um kleine Testbuchungen oder Autorisierungsversuche durchzuführen. So finden sie heraus, welche Karten tatsächlich funktionieren. Oft nutzen sie dafür auch Zahlungsdienstleister oder Online-Shops, die sie selbst kontrollieren, um die Versuche zu verschleiern und Fehlschläge unauffällig zu halten", erläutert der Sicherheitsfachmann den Prozess. Ist eine Karte erfolgreich validiert, kann mit ihr Geld an Geldautomaten abgehoben, Gutscheine oder Reisen gebucht und diese anschließend verkauft werden. "Die Monetarisierung und das anschließende Waschen des Geldes sind eng miteinander verknüpft", so Warmenhoven. 

Tipps für Verbraucher

Doch Kartenbesitzer können sich mit folgenden Tipps schützen: 

• Kontoauszüge regelmäßig prüfen, Echtzeit-Benachrichtigungen aktivieren
• Starke Passwörter nutzen
• Keine Passwörter oder Zahlungsdaten im Browser speichern
• Multi-Faktor-Authentifizierung verwenden

Banken können den Schutz ihrer Kunden etwa durch die Nutzung entsprechender Sicherheitsplattformen unterstützen. 

EUDI-Wallet soll Bankgeschäfte sicherer machen

Mehr Schutz verspricht auch die Einführung der European Digital Identity Wallet, kurz EUDI-Wallet. Informationssicherheitsexperte Gregor Paal bezeichnet sie als "Meilenstein in der europäischen Digitalisierung". In der Zeitschrift "Datenschutz und Datensicherheit - DuD" schreibt Paal: 

Mit der Personal Identity Data (PID), dem digitalen Identitätskern, können Bürgerinnen und Bürger ihre Identitätsdaten sicher, schnell und rechtssicher online nutzen. Die EUDI-Wallet wird den einfachen Zugriff auf zum Beispiel Verwaltungsleistungen, Bankgeschäfte oder Gesundheitsservices - europaweit und grenzüberschreitend ermöglichen. Dank modernster Sicherheitsstandards und Konformitätsprüfungen wird die Wallet persönliche Daten zuverlässig schützen können. Als zentrales Element der eIDAS 2.0-Verordnung treibt sie die digitale Souveränität Europas voran. Für Unternehmen und Behörden eröffnen sich durch die Wallet neue Möglichkeiten der nahtlosen Interaktion."

Eine Testumgebung für PID, die sogenannte Sandbox, soll es bereits ab Ende 2025 in Deutschland geben. Hier können Unternehmen zentrale Anwendungen wie KYC-Prozesse unter die Lupe nehmen. "Spätestens im Sommer 2026 sollen alle EU-Mitgliedsstaaten eine digitale Brieftasche anbieten", so die Verbraucherzentrale. Die Verbraucherschützer verweisen darauf, dass die Nutzung der digitalen Brieftasche nicht verpflichtend und kostenlos ist.