Kreditkartennummer prüfen

Der Luhn-Algorithmus

Ratgeber Virtuelle Prepaid VorschaubildEine Kreditkartennummer könnte frei erfunden oder durch einen Zahlendreher fehlerhaft sein. Für die Validierung von Kreditkartennummern wird der so bezeichnete Luhn-Algorithmus eingesetzt, der in den 1960er Jahren durch den deutschen IBM-Informatiker Hans-Peter Luhn entwickelt wurde und nicht nur bei Kreditkartennummern, sondern auch für diverse andere Identifikationsnummern eingesetzt werden kann. Der Luhn-Algorithmus dient nicht dazu, vorsätzlich falsch erstellte Kartennummern zu identifizieren: Betrüger können den Algorithmus selbst verwenden und dadurch valide Kartennummern erstellen.

Funktionsweise des Luhn-Algorithmus am Beispiel

Im ersten Schritt wird jede zweite Ziffer der Kreditkartennummer, beginnend mit der zweitletzten und fortlaufend nach links, verdoppelt. Führt die Verdopplung zu einem Wert von 10 oder größer, wird die Quersumme gebildet (die Quersumme von 10 ist beispielsweise 1+0=1). Lauten die letzten vier Ziffern der Kreditkartennummer „3333“, ergibt die Anwendung des Luhn-Algorithmus einen Wert von „6363“. Lauten die letzten vier Ziffern „8383“ ergibt sich ein Wert von „7373“ (Aus Gründen der Anschaulichkeit wird die Berechnung hier für die letzten vier Ziffern durchgeführt – korrekt ist die Anwendung des Algorithums auf die gesamte Kartennummer).

Im zweiten Schritt werden die Ziffern des errechneten Wertes addiert, so dass aus 7373 „7+3+7+3=20“ wird.

Im dritten Schritt erfolgt die Prüfung: Lautet die letzte Ziffer des Ergebnisses (hier: 20) auf „0“, ist die Kartennummer gültig. Lautet die letzte Ziffer auf irgendetwas anders als „0“, ist die Kartennummer ungültig. „3333“ ist somit ungültig, weil daraus „6+3+6+3=18“ wird. „8383“ ist dagegen gültig, weil aus „7373“ in der Quersumme 20 wird.

Die Wahrscheinlichkeit, dass eine vollständig zufällig ausgewählte Kartennummer den Luhn-Test besteht beträgt 1:10.

Weitere Prüfmerkmale und praktische Prüf-Tools

Der hier dargestellte Luhn-Algorithums wird auch als „Modulos 10“ bezeichnet und ist nicht das einzige zulässige Verfahren zur Prüfziffernberechnung: Die Bundesbank schreibt Zahlungsdienstleistern keine bestimmte Methode vor. Stattdessen können die Unternehmen grundsätzlich beliebige Verfahren einsetzen und müssen diese lediglich an die Bundesbank melden. Der Modulos 10 in der Gewichtung „2, 1, 2 usw.“ ist allerdings am weitesten verbreitet.

Die Prüfung von Kreditkartennummern umfasst neben dem Luhn-Algorithmus auch die Länge der Kartennummer und den Präfix der Nummer: Beides variiert je nach Kartengesellschaft. Um den Aufwand der Prüfung im Rahmen zu  halten, bieten sich einfache Rechentools an. In den Rechner müssen lediglich Kartengesellschaft und Kartennummer eingegeben bzw. ausgewählt werden. Der Rechner prüft den Luhn-Algorithmus und gleicht Präfix und Länge der Nummer mit den Richtlinien der Kartengesellschaft ab.

Kartenprüfnummer

Die Kartenprüfnummer ist eine mehrstellige, auf Kreditkarten aufgedruckte (nicht hochgeprägte) Zahl. Sie wird bei Transaktionen via Internet und Telefon abgefragt und dient dazu festzustellen, ob die Karte tatsächlich physisch vorliegt. Dadurch wird verhindert, dass Unbefugte durch den Besitz der Karte allein ohne eine Unterschrift Transaktionen tätigen können.

Die Codes werden durch das kontoführende Institut festgelegt und können ausschließlich durch dieses verifiziert werden. Einige Banken verwenden bestimmte Algorithmen, die die Kartenprüfnummer u.a. aus Kartennummer und Gültigkeitsdatum generieren.

Die Kartenprüfnummer trägt bei VISA-Kreditkarten die Bezeichnung „Card Verifikation Value – CVV2“, bei MasterCard die Bezeichnung „Card Validation Code – CVC2“ und bei American Express „Card Identifikation – CID“. Bei MasterCard und VISA ist der Code dreistellig und auf der Rückseite der Karte   – ganz rechts im Unterschriftenfeld – aufgedruckt. Bei Amex umfasst der Code vier Stellen und ist auf der Vorderseite – rechts über der hochgeprägten Kartennummer – aufgedruckt.

Die aktuellen Standards CVC2 bzw. CVV2 haben die früheren Standards CVC1 bzw. CVV2 abgelöst. Die früheren Codes waren auf dem Magnetstreifen gespeichert und dienten ausschließlich zur Prüfung physisch vorliegender Karten. Die Sicherheitsrichtlinien der Kreditkartengesellschaften sehen vor, dass die Codes im Rahmen einer Transaktion nicht gespeichert werden dürfen. Die Codes werden auch nicht auf Rechnungen, Belegen usw. vermerkt.

Kritik wegen Sicherheitslücken

Die Kreditkartengesellschaften halten das Verfahren für sicher. Nicht alle Experten teilen diese Auffassung. In den vergangenen Jahren ist es Sicherheitsexperten offenbar mehrfach gelungen, die Kartenprüfnummer zu ermitteln. Die SySS GmbH aus Tübingen versuchte für das TV-Magazin „Report München“, die CVC- bzw. CVV-Codes für Kreditkartennummern zu ermitteln, die zuvor von Kreditkarten mit NFC-Chip ausgelesen worden waren.

Zu Ermittlung der Kartenprüfnummer wurde ein Programm verwendet, dass Transaktionen im Onlineshop simuliert und der kontoführenden Bank die Daten übermittelt. Die Prüfnummer wurde bei mehreren Karten nach Angaben der Experten des Unternehmens problemlos ermittelt: Dazu wurden im Trial- and- Error-Verfahren alle möglichen Kombinationen getestet. Bei einem dreistelligen Code ist die Anzahl der Möglichkeiten mit 1.000 beherrschbar. Für die überwiegende Mehrheit der getesteten Banken schien die große Anzahl von Transaktionsanfragen in kürzester Zeit keine Auffälligkeit darzustellen – Sicherheitsalarme wurden nur im Ausnahmefall ausgelöst.

Weiterführende Informationen

Prüftool für Luhn-10 Algorithmus

Prüfzifferberechnungsmethoden – Informationsblatt der Bundesbank

com-magazin.de – Kreditkarten: Prüfnummern sind leicht zu hacken


Top5 Prepaid-Kreditkarten

# Anbieter Grundgebühr
1. Jahr
Grundgebühr
Folgejahre
zinsfreies
Zahlungsziel
Kartenantrag
1. bunq Easy Savings Personal 9,99€ 9,99€ - » Weiter
2. Neteller Net+ Prepaid MasterCard 10,00€ 10,00€ - » Weiter