Kartennummer entschlüsselt: BIN, Kartentyp und der Luhn-Algorithmus

Jede Kreditkarte, Girocard oder Debitkarte trägt eine 15- oder 16-stellige Nummer, die weit mehr enthält als eine zufällige Kennung. Wer die Struktur kennt, kann auf den ersten Blick erkennen, welches Netzwerk eine Karte nutzt, ob sie Debit oder Credit ist — und warum das direkte Auswirkung auf die Gebühren hat, die Händler zahlen.

Anatomie einer Kartennummer

Eine standardisierte Kartennummer nach ISO/IEC 7812 besteht aus drei Teilen:

4539  1488  0343  6467
└─┬─┘ └───────────┬──────────┘ └┬┘
 BIN          Kontonummer    Prüfziffer
(6–8 Stellen)  (variabel)    (1 Stelle)

BIN – Bank Identification Number (auch IIN: Issuer Identification Number)
Die ersten 6 Stellen identifizieren eindeutig das Kartennetzwerk und den ausstellenden Anbieter. Seit 2017 empfiehlt ISO den Übergang auf 8-stellige BINs, um die wachsende Zahl von Kartenausgebern abzubilden. Viele Acquirer und Händlersysteme unterstützen bereits BIN-8.

Kontonummer
Die mittleren Stellen sind die individuelle Kennung des Karteninhabers beim Aussteller. Sie haben keinerlei Informationsgehalt für Dritte.

Prüfziffer
Die letzte Stelle wird nach dem Luhn-Algorithmus berechnet. Sie dient der schnellen Erkennung von Tippfehlern — nicht der Sicherheit.

BIN-Präfixe der wichtigsten Kartennetzwerke

Die erste Ziffer einer Kartennummer — der sogenannte Major Industry Identifier (MII) — gibt bereits das Netzwerk grob vor:

Erste Ziffer	Industrie
3	Reise & Entertainment (Amex, Diners, JCB)
4	Visa
5	Mastercard (klassisch)
6	Discover, Maestro, Girocard-Kooperationen

Die vollständigen BIN-Bereiche der gängigsten Netzwerke:

Netzwerk	Präfix	Stellen
Visa	4	16 (selten 13 oder 19)
Mastercard (klassisch)	51–55	16
Mastercard (neu, seit 2017)	2221–2720	16
American Express	34, 37	15
Maestro	6304, 6759, 6761–6763	12–19
Discover	6011, 622126–622925, 65	16
JCB	3528–3589	16
Diners Club	300–305, 36	14

Girocard: Die deutsche Girocard hat keinen einheitlichen, öffentlich dokumentierten BIN-Bereich. Sie wird am Terminal durch das EMV-Chip-Protokoll (Kartenschema-Kennung) identifiziert, nicht durch ein Präfix. Viele Girocards sind zusätzlich mit Visa Debit oder Mastercard Debit co-gebrandet — in diesen Fällen liegt das Präfix im Visa- (4) oder Mastercard-Bereich, die Routing-Entscheidung trifft aber das Terminal anhand der Chip-Daten.

Was der BIN über den Kartentyp verrät

Innerhalb desselben Netzwerks unterscheiden sich Karten erheblich. Der BIN kodiert nicht nur den Aussteller, sondern auch:

• Debit vs. Credit: Debitkarten haben eigene BIN-Ranges, die Acquiring-Systeme kennen
• Prepaid vs. regulär: Prepaid-Karten tragen gesonderte BINs
• Consumer vs. Commercial: Firmen- und Unternehmenskarten sind über den BIN erkennbar
• Herkunftsland: Jeder BIN ist einem Land zugeordnet

Diese Unterscheidungen sind für Händler direkt finanziell relevant — denn sie bestimmen die Interchange-Gebühr, die der Acquirer an den Kartenaussteller weiterleitet.

Eine europäische Visa-Debitkarte kostet den Händler 0,20 % Interchange. Eine US-amerikanische Visa-Kreditkarte, außerhalb der EU-Interchange-Regulierung, kann ein Vielfaches kosten. Beide Karten sehen physisch ähnlich aus — der BIN macht den Unterschied.

→ Mehr dazu: Interchange-Gebühr: Die versteckte Kostenkomponente jeder Kartenzahlung

Der Luhn-Algorithmus: Prüfziffer-Validierung erklärt

Der Luhn-Algorithmus (auch Modulo-10-Verfahren) wurde 1954 von Hans Peter Luhn bei IBM entwickelt. Er ist kein Sicherheitsmechanismus — er erkennt zufällige Zahlendreher und Tippfehler, aber keine absichtlich manipulierten Nummern.

Schritt-für-Schritt am Beispiel

Nehmen wir die Testnummer 4111 1111 1111 1111 (ein offizieller Visa-Teststring):

Schritt 1: Prüfziffer (letzte Stelle) temporär beiseitelegen

4  1  1  1  1  1  1  1  1  1  1  1  1  1  1  [1]

Schritt 2: Von rechts jede zweite Ziffer verdoppeln

(Die Prüfziffer selbst wird nicht verdoppelt, Zählung beginnt rechts neben ihr)

Position: 15 14 13 12 11 10  9  8  7  6  5  4  3  2  1
Ziffer:     4  1  1  1  1  1  1  1  1  1  1  1  1  1  1
Verdoppeln: ×2    ×2    ×2    ×2    ×2    ×2    ×2    ×2
Ergebnis:   8  1  2  1  2  1  2  1  2  1  2  1  2  1  1

Schritt 3: Ist ein verdoppelter Wert > 9, Quersumme bilden

8 ist ≤ 9, alle anderen verdoppelten Werte (2) ebenfalls — kein Schritt nötig.
Beispiel für einen Fall wo es nötig wäre: Ziffer 7, verdoppelt = 14 → 1 + 4 = 5.

Schritt 4: Alle Werte summieren, Prüfziffer addieren

8+1+2+1+2+1+2+1+2+1+2+1+2+1+1 + [1] = 30

Schritt 5: Prüfung

30 mod 10 = 0 → die Kartennummer ist Luhn-gültig. ✓

Eine ungültige Nummer (z. B. letzte Stelle auf 2 geändert: 4111 1111 1111 1112) ergibt Summe 31 → 31 mod 10 = 1 ≠ 0 → ungültig. ✗

Was der Luhn-Algorithmus leistet — und was nicht

Er erkennt:

• Einzelne Zahlendreher (eine falsch eingetippte Ziffer)
• Transpositionsfehler (zwei benachbarte Ziffern vertauscht — in den meisten Fällen)

Er erkennt nicht:

• Absichtlich konstruierte Fantasie-Nummern mit gültiger Prüfziffer
• Gestohlene oder kompromittierte echte Kartennummern
• Karten, die zwar Luhn-gültig, aber längst gesperrt sind

Jedes Online-Zahlungsformular der Welt prüft beim Eingeben die Kartennummer per Luhn client-seitig, bevor der Request überhaupt den Server erreicht — nicht als Sicherheitsschicht, sondern um Nutzern sofort Feedback bei Tippfehlern zu geben.

BIN-8 und der Übergang zu erweiterten Ranges

Ursprünglich wurden 6-stellige BINs verwendet. Mit der wachsenden Zahl von Fintechs, Neobanken und Co-Brand-Karten wurden die verfügbaren 6-stelligen Blöcke knapp. ISO/IEC 7812:2017 definierte daher den Übergang auf 8-stellige BINs.

Das hat praktische Konsequenzen für Händler und Acquirer:

• Acquiring-Systeme müssen BIN-Tabellen mit 8 Stellen pflegen
• Die Kartentyp-Erkennung (Debit/Credit, Herkunftsland) wird mit BIN-8 präziser
• Nicht alle Systeme haben den Übergang abgeschlossen — was zu Fehlern bei der Interchange-Kategorisierung führen kann

Warum das für Händler praktisch relevant ist

Für die meisten stationären Händler ist das Kartennummer-Innenleben Blackbox — das Terminal regelt es. Relevant wird das Wissen in drei Szenarien:

1. Unerwartete Interchange-Abrechnungen
Wenn eine Karte plötzlich zum höheren Tarif abgerechnet wird, liegt es oft daran, dass der Acquirer sie als Commercial Card (Firmenkarte) oder als Non-EEA Card erkannt hat. Der BIN ist die Quelle dieser Klassifizierung.

2. Kartenakzeptanz-Entscheidungen
Händler, die American Express bewusst nicht akzeptieren (wegen höherer Gebühren), sollten wissen, dass Amex-Karten mit BIN 34 und 37 beginnen — und dass manche Karten aus dem Ausland trotz Visa/MC-Präfix höhere Interchange als EU-Karten verursachen.

3. Manuelle Zahlungsabwicklung und Fehlerprüfung
Wer Zahlungen manuell erfasst (z. B. telefonische Bestellungen, MOTO-Transaktionen), kann mit Luhn-Prüfung sofort erkennen, ob eine eingegebene Kartennummer plausibel ist — bevor die Transaktion zur Bank geht und eine Gebühr anfällt.

Wichtiger Hinweis: Kartennummern nicht in Webtools eingeben

BIN-Lookup-Dienste im Netz fragen oft nach den ersten 6–8 Stellen einer Karte — das ist unbedenklich, da diese Stellen keine persönlichen Kontodaten enthalten. Vollständige Kartennummern sollten jedoch niemals in externe Tools oder Webseiten eingegeben werden, auch nicht zur „Prüfung”. Der einzige legitime Ort für vollständige Kartennummern ist das Bezahlformular eines PCI-DSS-zertifizierten Zahlungsdienstleisters.

---

→ Interchange-Gebühr: Was Händler wirklich zahlen
→ EMV-Terminal: Chip, Kontaktlos und was dahintersteckt
→ PIN oder Unterschrift: Welches Verfahren sicherer ist