Aufbau einer Kreditkarte: Struktur, Funktionen und Sicherheitsmerkmale

Standards, Maße und die Logik der Kartennummer

Jede physische Kreditkarte folgt einem präzise definierten Format. Der relevante Standard heißt ISO/IEC 7810 ID-1: 85,60 Millimeter breit, 53,98 Millimeter hoch, 0,76 Millimeter dick. Diese Maße sind seit 1985 unverändert — sie bestimmen, dass jede Karte in jeden Geldautomaten, jedes POS-Terminal und jedes Wallet passt. Materialgeschichte in drei Schritten: Pappkarten in den 1950er Jahren, PVC-Plastik ab den 1960er Jahren, Metall-Premiumkarten ab den späten 1990er Jahren als Invite-only-Produkte einzelner Issuer. Heute verarbeiten Spezialhersteller wie CompoSecure (USA) und Idemia (Frankreich) Edelstahl-, Titan- oder sogar Keramik-Inlays, die zwischen drei und sechs PVC-Lagen verklebt werden. Das Gewicht steigt damit von rund fünf auf bis zu 28 Gramm — ein bewusst gewähltes haptisches Signal, das in der Industrie als „Card-Drop-Effekt“ bezeichnet wird und in Verbraucherstudien nachweislich die wahrgenommene Wertigkeit erhöht.

Die 16 Ziffern entschlüsselt

Die Kartennummer heißt offiziell PAN (Primary Account Number) und folgt ISO/IEC 7812. Sie zerfällt in drei Blöcke. Die ersten sechs bis acht Ziffern bilden die BIN (Bank Identification Number) und identifizieren den Issuer — also die ausgebende Bank. Daran schließt eine variable Account-Nummer an, die der Bank intern eine Karte zuordnet. Die letzte Ziffer ist eine Prüfziffer nach dem Luhn-Algorithmus, mit der Tippfehler bei der Eingabe sofort erkannt werden.

An der ersten Ziffer der PAN lässt sich das Netzwerk technisch ablesen: Eine 4 am Anfang signalisiert Visa, eine 5 Mastercard, die Kombinationen 30, 36 oder 38 verweisen auf Diners Club, eine 35 auf JCB und eine 6 auf Discover oder UnionPay. Diese Zuordnung ist Teil der internationalen IIN-Registry, die von der ISO verwaltet wird und regelmäßig um neue BIN-Ranges erweitert wird — seit 2017 sind die BIN-Bereiche auf acht Stellen erweitert, um dem wachsenden Issuer-Markt gerecht zu werden. Für den Karteninhaber sind die Ziffern reine Datenstruktur — für Acquirer wie PAYONE, Adyen, Worldline oder Stripe ist die BIN das erste Routing-Kriterium jeder Transaktion: Sie entscheidet, an welches Netzwerk die Autorisierungsanfrage gesendet wird, welche Interchange-Gebühr anfällt und welche Risiko-Regeln greifen.

Magnetstreifen-Architektur

Der schwarze Streifen auf der Rückseite folgt ISO/IEC 7811. Er enthält zwei lesbare Spuren: Track 1 mit Karteninhaber-Namen, PAN und Ablaufdatum, Track 2 mit PAN und Ablaufdatum in kompakterer Form. Beide Tracks sind unverschlüsselt — das ist der Grund, warum Skimming-Angriffe seit den 1990er Jahren auf diesen Streifen zielen und warum die Branche schrittweise auf den EMV-Chip migriert ist.

Was steht auf der Vorderseite einer Kreditkarte?

Die Vorderseite einer Kreditkarte trägt die wichtigsten Identifikationsmerkmale und gibt Hinweise auf Karteninhaber, Akzeptanznetz und Gültigkeit. Die Anordnung folgt einem internationalen Standard (ISO/IEC 7810), den fast alle Aussteller weltweit einhalten.

Standardelemente

Erstens: die 16-stellige Kartennummer (PAN), meist in vier Vierergruppen gegliedert. Zweitens: das Gültigkeitsdatum im Format MM/JJ, das den letzten Monat angibt, in dem die Karte einsetzbar ist. Drittens: der Name des Karteninhabers in Großbuchstaben. Viertens: das Logo des Kartennetzes sowie das Logo der ausgebenden Bank. Bei modernen Karten zusätzlich ein Hologramm-Element als Sicherheitsmerkmal, der goldene oder silberne EMV-Chip im linken oberen Drittel und das Wellen-Symbol für NFC-Fähigkeit.

Geprägt oder gedruckt?

Klassische Karten haben die wichtigen Felder geprägt — also haptisch fühlbar. Modernere Karten setzen auf reinen Druck mit Lasergravur. Geprägte Karten waren ursprünglich für mechanische Abdrücke gedacht (Imprinter), heute haben beide Varianten dieselbe Funktion. Bei vielen Premium-Karten verschwindet die Prägung komplett zugunsten einer cleanen, fast minimalistischen Optik. Die PAN wandert bei manchen Neuemissionen sogar auf die Rückseite, damit beim Online-Bezahlen niemand über die Schulter mitlesen kann.

Funktionen der Rückseite

Die Rückseite trägt die Sicherheits- und Identifikationselemente, die bei der Online-Zahlung und bei der Akzeptanz im stationären Handel benötigt werden.

Die genaue Anordnung kann je nach Aussteller leicht variieren. Die Pflichtelemente sind durch internationale Standards definiert. Der CVC2 (bei Mastercard CVC2 genannt, bei Visa CVV2, bei JCB CAV2 und in einigen Issuer-Spezifikationen schlicht „Card Identification Number“) hat eine elegante kryptografische Eigenschaft: Er ist nicht im Klartext berechenbar, sondern wird vom Issuer aus PAN, Ablaufdatum und einem geheimen Card Verification Key (CVK) per Triple-DES-Algorithmus abgeleitet. Der CVK verlässt nie das Rechenzentrum der ausgebenden Bank — er ist in einem zertifizierten Hardware Security Module (HSM) eingeschlossen, das den FIPS-140-2-Level-3-Standard erfüllt. Deshalb kann auch ein Händler mit gestohlenen PAN-Daten den Code nicht selbst nachrechnen, und selbst beim Datenleck eines Acquirers bleibt der CVC-Wert für die Angreifer wertlos, sobald er auf Issuer-Seite rotiert wird.

EMV-Chip und NFC-Bezahlung

Seit Anfang der 2010er Jahre ist der EMV-Chip auf europäischen Kreditkarten Standard. Er ersetzt den Magnetstreifen als primäres Daten-Element und bietet erheblich höheren Schutz vor Manipulation. EMV steht für Europay, Mastercard und Visa — die drei Gründungsorganisationen des heutigen EMV Co Konsortiums, das den Standard global pflegt.

Was macht der EMV-Chip?

Der Chip enthält einen kleinen Prozessor, der bei jeder Transaktion eine einmalige kryptografische Signatur erzeugt. Diese Signatur — Application Cryptogram genannt — wird vom Terminal an die ausgebende Bank weitergeleitet und dort verifiziert. Selbst wenn die Transaktionsdaten abgefangen würden, ließen sie sich nicht erneut verwenden: Die Signatur ist für genau diese eine Transaktion gültig. Der Chip hostet zudem mehrere Anwendungen parallel — eine Visa-Anwendung, eine Mastercard-Anwendung, eine PIN-Verifikations-Anwendung. Welche zum Einsatz kommt, handeln Karte und Terminal beim Einstecken in Millisekunden aus.

NFC für kontaktloses Bezahlen

Karten mit dem Wellen-Symbol unterstützen Near Field Communication (NFC) nach ISO/IEC 14443. Die Antenne ist meist im Rand der Karte als feiner Kupferring eingebettet, die Reichweite beträgt rund vier Zentimeter. Bei Beträgen bis zu 50 Euro genügt das Halten der Karte vor das Terminal — ohne PIN-Eingabe. Höhere Beträge erfordern weiterhin die PIN. Die NFC-Übertragung nutzt dieselbe Chip-Verschlüsselung wie der EMV-Kontakt-Modus, ist also nicht weniger sicher.

Tokenisierung bei Mobile-Wallet-Zahlungen

Wenn die Karte in einer Mobile-Wallet auf dem Smartphone hinterlegt ist, wird die echte Kartennummer durch einen verschlüsselten Token ersetzt. Bei jeder Zahlung übermittelt das Smartphone nur diesen Token, nicht die eigentliche PAN. Selbst bei einem Datenleck beim Händler bleibt die Original-Kartennummer unbekannt. Apple Pay, Google Pay und Samsung Pay greifen alle auf dieses Verfahren zurück — Apple etwa nutzt das integrierte Secure Element des iPhone, in dem der Token hardwareseitig geschützt liegt.

Welche Sicherheitsmerkmale eine Kreditkarte hat

Kreditkarten sind mit mehreren ineinandergreifenden Schutzelementen ausgestattet — sowohl physisch als auch digital. Sie sollen Fälschungen erschweren und unbefugte Nutzung verhindern.

Physische Schutzelemente

Hologramme reflektieren je nach Blickwinkel unterschiedlich — sie sind schwer fälschbar und werden bei jeder Karte individuell aufgebracht. Die bekanntesten Motive: die Taube auf Visa-Karten, die zwei verschränkten Kreise auf Mastercard. Mikroschriften, die nur mit Lupe lesbar sind, finden sich oft am Rand der Karte. Ein UV-aktiver Druck wird unter ultraviolettem Licht sichtbar — manche Karten zeigen so versteckte Logos oder Muster. Eine kaum bekannte Schicht: Karten bestehen aus drei verklebten PVC-Lagen, was ein einfaches Aufspalten verhindert.

Digitale Schutzschichten

Der EMV-Chip mit kryptografischer Transaktionssignatur ist die wichtigste digitale Schutzschicht. Hinzu kommt der CVC (Card Verification Code) für Online-Käufe und 3D Secure 2.0 für die Zwei-Faktor-Autorisierung bei Online-Transaktionen. Bei vielen Karten zusätzlich ein dynamischer CVC, der sich alle 20 bis 40 Minuten ändert — entweder über ein kleines Display auf der Karte oder über die Banking-App. Seit dem EMV-Liability-Shift im Jahr 2015 — in den USA als letztem großen Markt — tragen Händler ohne EMV-fähiges Terminal das Betrugsrisiko selbst. Das hat den Magnetstreifen-Fallback in der Praxis fast vollständig verdrängt.

Physische Formate: Plastik, Metall und virtuell

Standardkarten sind Plastikkarten mit dem ISO-Format ID-1 (85,60 x 53,98 mm). Daneben gibt es jedoch mehrere Sonderformate, die sich in Material und Funktion unterscheiden.

Plastikkarten

Die klassische Variante: stabil, leicht, kostengünstig in der Produktion. Die meisten Premium-Karten setzen mittlerweile auf recyceltes Plastik oder bioabbaubare Materialien — eine Reaktion auf Nachhaltigkeitsanforderungen ohne Funktionsverlust. Eine Standard-Plastikkarte wiegt rund fünf Gramm.

Metallkarten

Schwerer, edler, teurer in der Produktion. Metallkarten signalisieren häufig eine Premium-Stufe und werden bei hochwertigen Karten ab 300 Euro Jahresgebühr eingesetzt. Funktional unterscheiden sie sich nicht — Chip und NFC arbeiten identisch. Das Gewicht liegt typischerweise zwischen 14 und 28 Gramm. Bei manchen Metallkarten wird die NFC-Antenne speziell konstruiert, weil das umgebende Metall sonst das Funksignal dämpfen würde.

Virtuelle Karten

Reine Online-Karten ohne physisches Pendant. Sie existieren nur als Datensatz in der Banking-App und sind ideal für sicheres Online-Shopping. Manche Banken erzeugen pro Einkauf eine neue virtuelle Karten-Nummer mit begrenzter Lebensdauer — bei einem Datenleck beim Händler ist die Nummer danach wertlos. Fintech-Anbieter wie Revolut, N26 oder bunq haben diese Einmal-Karten zum Standard-Feature gemacht.

Regulierung: PCI DSS, EMV Co, PSD2 und DSGVO im Zusammenspiel

Der technische Aufbau einer Kreditkarte ist nicht zufällig — er ist das Ergebnis von vier sich überlagernden Regelwerken, die für jeden Issuer in Europa verpflichtend sind.

PCI DSS und EMV Co

Der Payment Card Industry Data Security Standard (PCI DSS) regelt, wie Karteninhaberdaten verarbeitet, gespeichert und übertragen werden dürfen. Er wird vom PCI Security Standards Council gepflegt, einem branchenweiten Konsortium der globalen Karten-Netzwerke und Issuer-Verbände. Die aktuelle Version 4.0 trat im März 2024 verbindlich in Kraft und verlangt unter anderem eine kontinuierliche Risiko-Analyse, Multi-Faktor-Authentifizierung für alle administrativen Zugriffe und eine stärkere Trennung von Produktions- und Test-Umgebungen. Wer eine PAN speichert, muss sie nach AES-256 oder gleichwertigem Algorithmus verschlüsseln; der CVC darf nach der Autorisierung gar nicht erst persistiert werden. Verstöße gegen PCI DSS können Geldstrafen bis zu 100.000 USD pro Monat nach sich ziehen sowie den Verlust der Akzeptanzlizenz beim Netzwerk. EMV Co wiederum kümmert sich um die technische Spezifikation des Chip-Verhaltens — also die Logik, nach der das Application Cryptogram berechnet und geprüft wird sowie die Personalisierungs-Profile, die jeder Issuer für seine Karten registriert.

PSD2 und Starke Kundenauthentifizierung

Die EU-Zahlungsdiensterichtlinie PSD2 (EU 2015/2366) verlangt seit September 2019 für die meisten Online-Zahlungen eine Strong Customer Authentication (SCA): zwei voneinander unabhängige Faktoren aus den Kategorien Wissen (PIN, Passwort), Besitz (Karte, Smartphone) und Inhärenz (Fingerabdruck, Gesichtsscan). 3D Secure 2.0 ist die technische Umsetzung dieser SCA-Pflicht — sie läuft typischerweise als Push-Benachrichtigung in der Banking-App des Karteninhabers.

DSGVO und Karteninhaberdaten

Die DSGVO klassifiziert PAN und Karteninhaber-Namen als personenbezogene Daten. Issuer dürfen sie nur speichern, solange ein Verarbeitungszweck besteht. Der Karten-Lebenszyklus — Produktion, Personalisierung, Versand, Aktivierung, Nutzung, Ablauf, Reissue — ist daher auch ein Datenschutz-Lebenszyklus. Nach der Karten-Sperrung müssen die Daten innerhalb gesetzlicher Aufbewahrungsfristen gelöscht werden, in Deutschland meist nach zehn Jahren wegen handels- und steuerrechtlicher Pflichten.

Ausblick: Dynamische CVV, Biometrie und Wallet-Only-Karten

Der Aufbau der Kreditkarte ändert sich gerade schneller als in den vergangenen drei Jahrzehnten. Drei Entwicklungen prägen die Jahre 2025 und 2026.

Dynamische CVV per E-Paper

Einige französische und schweizerische Issuer haben Karten ausgegeben, bei denen der CVC nicht mehr auf das Plastik gedruckt ist, sondern auf einem kleinen E-Paper-Display erscheint. Der Code wechselt alle 20 bis 60 Minuten. Selbst wenn eine vollständige Kartennummer beim Online-Händler kompromittiert wird, ist der zum Zeitpunkt des Diebstahls gespeicherte CVC kurz danach ungültig. Die Technologie wird derzeit von Card-Tech-Spezialisten wie Idemia und Thales in Stückzahlen produziert, ist aber wegen höherer Material- und Personalisierungskosten noch Nischenausstattung.

Biometrische Fingerprint-Sensoren auf der Karte

Mastercard und Idemia haben gemeinsam Karten entwickelt, in deren Vorderseite ein Fingerprint-Sensor integriert ist. Statt PIN-Eingabe am Terminal hält der Karteninhaber den Daumen auf den Sensor — die Karte gibt erst dann das Application Cryptogram frei. Erste Roll-outs gab es ab 2018 in Südafrika und im Nahen Osten, in Europa testen einzelne Banken seit 2023. Vorteil: keine PIN-Eingabe am Terminal mehr sichtbar, Liability bei Verlust drastisch reduziert.

Wallet-Only und der Weg zur kartenlosen Karte

Apple Card, Revolut Ultra und einige Co-Brand-Karten existieren primär als digitales Element im Mobile-Wallet — die physische Karte ist Sekundär-Artefakt für Akzeptanzstellen ohne NFC. Mit der EU-Verordnung zum Digital Euro (Verhandlung 2025/2026) und der geplanten PSD3 entsteht ein Rahmen, in dem die physische Kreditkarte langfristig zur Ausnahme werden könnte. Bis dahin bleibt sie aber das wichtigste Zahlungsinstrument im stationären Handel — und ihre 16 Ziffern, der Chip und das Hologramm werden weiter exakt nach ISO-Standard produziert.