Sicherheit zu Lasten des Komforts

Kreditkarte - für das Bezahlen im Internet wenig geeignet

19.08.2015 von Ralf Ohlhausen
Die Kreditkarte avancierte zum Erfolgsmodell und entwickelte sich zum weltweit beliebtesten Zahlungsmittel direkt nach Bargeld. Mit der steigenden Bedeutung des E-Commerce in den neunziger Jahren, wurde sie zudem für die Bezahlung von Online-Käufen zugelassen - doch trifft das heute noch zu?

Ursprünglich wurde die Kreditkarte den bargeldlosen Einkauf im stationären Handel geschaffen. Die Idee war es, dass der Inhaber der Karte die unterschriebene Karte beim Bezahlen vorlegt. Wenn er seine Unterschrift auf der Rechnung tätigt, sollten die Unterschriften abgeglichen und damit die einwandfreie Übereinstimmung zwischen Inhaber und Karte festgestellt werden. In manchen Fällen wurde sogar ein Lichtbildausweis erbeten, um die Übereinstimmung zweifelsfrei nachzuweisen. Der zweite - vielleicht sogar noch wichtigere - Zweck der Karte war es, dem Käufer einen Kredit zur Verfügung zu stellen, den er erst nach Ablauf des Abrechnungszeitraums zurückbezahlen muss.

Kreditkarte - im Online-Handel nicht mehr zeitgemäß

Die Kreditkarte avancierte zum Erfolgsmodell und entwickelte sich zum weltweit beliebtesten Zahlungsmittel direkt nach Bargeld. Mit der steigenden Bedeutung des E-Commerce in den neunziger Jahren, wurde sie zudem für die Bezahlung von Online-Käufen zugelassen. Damit schnellten jedoch auch die Betrugszahlen in die Höhe. Denn: Bei einer "Card-not-Present"-Transaktion, also einem Bezahlvorgang ohne physische Vorlage der Kreditkarte, entfallen wesentliche Kontrollmechanismen wie der Abgleich der Unterschrift oder eines Lichtbilds des Besitzers. Auch ein Chip&PIN-Verfahren ist online nicht umsetzbar.

Herausforderung Kreditkartensicherheit

Die Kreditkartenindustrie hat daher in den vergangenen 20 Jahren verschiedene Versuche unternommen, den zunehmenden Betrug einzudämmen.

Mit der Einführung des PCI-DSS-Standards wurden Sicherheitsrichtlinien zur Absicherung von entgegengenommenen oder gespeicherten Daten geschaffen. Ein Katalog von zwölf Punkten beschreibt dabei Sicherheitsanforderungen an die IT-Umgebung von Händlern und Payment Service Providern (PSP). Können sie diese nicht einhalten, werden sie nicht für Kreditkarten-Transaktionen zugelassen. Dies betrifft zumeist kleine Händler. Mangels PCI-Zertifizierung lassen sie deshalb ihre Kreditkartentransaktionen über PSPs mit hohen Sicherheitsstandards abwickeln. Leider hat dies nicht verhindert, dass in den letzten Jahren trotzdem Millionen von Kartendaten, insbesondere von sehr großen Händlern, gestohlen wurden.

Weitere Ansatzpunkte in der Online-Benutzung waren die Angabe des Ablaufdatums (Expiry Date) und der Adresse des Inhabers. Letztere kann aber nur in sehr wenigen Ländern und dort auch nur unvollständig geprüft werden. Mit dem 3-D Secure-Verfahren gelang der Branche vermeintlich der große Wurf. Dabei wird der Kreditkartenhalter im Bezahlprozess an seine ausgebende Bank weitergeleitet, wo er über ein Pop-up-Fenster einen nur ihm bekannten Code eingeben musste.

Jedoch führte diese Anforderung dazu, dass Kunden ihre Käufe im letzten Schritt abbrachen, da sie entweder den Code vergessen oder sich gar nicht bei 3-D Secure registriert hatten. So wird heute meist nur die Angabe des Sicherheitscodes auf der Kartenrückseite (CVC, Card Validation Code) verwendet. Für den Kreditkartenhalter ergibt sich dadurch ein gewisses Plus an Sicherheit, da dieser Code zu keiner Zeit vom Händler oder anderen in die Transaktion involvierten Partnern abgespeichert werden darf. Aber auch das ist nutzlos, wenn die Karte gestohlen oder photokopiert wurde.

EHI-Studie "Online-Payment 2015"
EHI-Studie: "Online Payment 2015"
Anteile der Zahlungsarten am Umsatz in deutschen Online-Shops
EHI-Studie: "Online Payment 2015"
EHI-Online-Payment-Expertin Dorothee Frigge: "Die Herausforderung besteht darin, Sicherheit auf der einen Seite mit Einfachheit und Verständlichkeit auf der anderen Seite in Einklang zu bringen."
EHI-Studie: "Online Payment 2015"
Umsatzerwartungen der Zahlungen im Online-Handel
EHI-Studie: "Online Payment 2015"
SecuRe-Pay, Stimmungsbild zur starken Authentifizierung
EHI-Studie: "Online Payment 2015"
Berechnen Sie bei bestimmten Zahlungsarten einen Aufschlag.

Sicherheit zu Lasten des Komforts

Der neueste Anlauf zur Absicherung von Kreditkartentransaktionen über das Internet stellt das Verfahren der "Tokenisierung" dar. Kreditkartenunternehmen halten dafür in einer Datenbank eine Token-Nummer für jede Kreditkarte vor, die im Zuge der Online-Bezahlung an den Händler übermittelt wird. Die Kreditkartennummer selbst wird nicht übertragen. Durch den automatischen Abgleich der Token-Nummer mit der Datenbank des Kreditkartenunternehmens wird die Zahlung autorisiert. Ursprünglich sollte für jede Transaktion ein neues Token vergeben werden, aber für das beliebte One-Click-Payment muss der Händler den Kunden über einen festen Code identifizieren können.

Unter dem Strich haben die zahlreichen Bemühungen, die Kreditkarte als Zahlungsmittel für den Online-Handel sicher zu machen, keine nachhaltige Wirkung gezeigt. Kriminelle finden stets Schlupflöcher. Denn Verfahren zur Erhöhung der Sicherheit gehen immer zu Lasten des Komforts beim Interneteinkauf. Diese Hürden führen wiederum zu vermehrten Abbrüchen der Bestellung. Eine Lösung dieses Dilemmas ist für Kartenzahlungen leider prinzipiell nicht möglich, da diese immer vom Händler ausgelöst werden müssen und dieser dafür Daten benötigt, die in irgendeiner Form übertragen oder gespeichert werden müssen. Damit bleibt also eine Hintertür für Datendiebstahl offen.

Das Fazit: Für den Online-Einkauf ist das so genannte Pull-Payment, bei dem der Händler die Zahlung initiiert, wenig geeignet, zumal Händler damit auch noch ein Chargeback-Risiko eingehen. Als Absicherung für die Kunden gedacht, die bei Unzufriedenheit der Zahlung widersprechen können und ihr Geld zurück erhalten, hat es sich zu einem eigenen Betrugsfeld etabliert. Beim so genannten "Friendly Fraud" behaupten Kunden einfach, sie hätten eine Bestellung nicht getätigt oder die Ware nicht erhalten. Händler bleiben dabei fast immer auf dem Schaden sitzen.

Marktübersicht Mobile Payment
Marktübersicht Mobile Payment
Anders als etwa in den USA ist das Bezahlen per Smartphone in Deutschland noch nicht weit verbreitet. Die großen Anbieter befinden sich noch in Lauerstellung, deutsche Lösungen sind meist noch kaum über die Pilotphase hinausgekommen.
Yapital
Das von der Otto Group ins Leben gerufene Yapital war einst einer der deutschen Hoffnungsträger. Ende 2015 kam dann aber das Aus.
GS1 Germany: Bezahlen mit dem Smartphone
Die Bundeshauptstadt hat mehr zu bieten als verpatzte Großbauprojekte. Unter dem Motto "Zahl einfach mobil" hat sich dort mit "NFC City Berlin" die deutschlandweit größte Initiative für Mobile Payment gebildet, sagen jedenfalls die Macher von GS1 Germany.
Mobile Payment von PayPal
In den USA ist Mobile Payment schon so weit verbreitet, dass auch viele Taxis entsprechend ausgerüstet sind.
Apple Pay und UnionPay von Apple China
UnionPay, Chinas einziger Kreditkartenanbieter, hat am 18. Dezember 2015 zeitgleich mit Apple und Samsung Pay Verträge unterzeichnet, um den Milliardenmarkt für Mobile Payment zu öffnen. Das Logo von UnionPay schmückt übrigens auch in Deutschland immer mehr Bankautomaten und Geschäfte, darunter auch von Galaria Kaufhof und Karstadt.
LoopPay alias Samsung Pay
Wer ständig ein riesiges Portemonnaie mit sich führt, um alle Karten unterzubringen, der wird mit Samsungs Zukauf LoopPay, Wegbereiter für Samsung Pay, mächtig erleichtert.
LoopPay CardCase
Ironischerweise gab es das CardCase mit der abnehmbaren LoopPay Card zunächst nur für iPhones.
LoopPay versus Apple Pay
LoopPay ist mit der patentierten Magnetic Secure Transmission (MST-Technologie) wesentlich breiter aufgestellt für mPayment als Apple mit NFC.
PayPal macht mobil
Die frühere eBay-Tochter PayPal hat in Berlin Ende 2013 ein Pilotprojekt für mPayment angetreten und ein halbes Jahr später die Ausweitung auf ganz Deutschland angekündigt.
PayPal und Pebble Steel
Wer es mag, kann sich die PayPal-App samt Einkaufsführer und Übersicht über die Bezahlvorgänge auch auf die Smartwatch Pepple des gleichnamigen Anbieters laden.
PayPal QRShopping
Ein QR-Code kann mit einer Matrix von bis zu 177 x 177 Elementen vielfältige Informationen aufnehmen, darunter auch Bilder und Links zu Einkaufsplattformen. PayPal ist dahingehend mit QRShopping auf stationären oder automobilen Werbetafeln schon recht präsent in Deutschland.
PayPal Mobile Payment
In Deutschland war das mobile Bezahlen mit PayPal Anfang 2015 schon in über 200 Gaststätten möglich.
Mobile Payment mit PayPal
Voraussetzung ist, dass der Kunde über ein PayPal-Konto verfügt und dort seine Bankdaten beziehungsweise Kreditkartennummer hinterlegt hat.
Paydirekt
Paydirekt soll die deutsche Antwort auf PayPal sein. Zunächst handelt es sich wie einst das US-Vorbild um eine reine Online-Bezahlplattform. Die Ausweitung auf mPayment ist aber schon in Vorbereitung.
Sparkassen Girogo Shopping
Die Sparkassen haben mit Girogo seit Frühjahr 2012 ihr eigenes System für Mobile Payment.
Payone
Zur Stärkung der Position im E- und M-Commerce ist der Deutsche Sparkassenverlag (DSV) zum 1. Januar 2015 mit 80 Prozent der Anteile bei dem Kieler Payment Service Provider Payone eingestiegen.
Targobank Produkte Mobiles Bezahlen
PayPassT nennt sich der TargoBank Bezahlchip in Kooperation mit der E-Plus-Tochter BASE und Mastercard PayPass. Bis zu einem Einkaufswert von 25 Euro wird wie in der EU üblich keine PIN abgefragt, für alle Beträge darüber zur eigenen Sicherheit schon.
Visa Mobiles Bezahlen in Londoner Bussen
Londons Busse und U-Bahnen akzeptieren seit Mitte 2014 kontaktloses Bezahlen via NFC.
V Pay von Visa
V Pay ist die Debitkarte von VISA, analog zu Maestro von MasterCard und zu der in Deutschland immer noch so allbeliebten EC-Karte. Kredit- oder Debitkarten mit NFC-Funklogo erlauben das kontaktlose Bezahlen an einem entsprechend ausgerüsteten Kartenterminal.
VISA Karte kontaklos
Die Lösungen für kontaktloses Bezahlen reichen von Kreditkarten mit NFC-Funklogo über Smartphone-Apps bis hin zu solchen für Smartwatches.
Google Wallet
Google Wallet lässt sich in den USA bereits wie eine Kreditkarte einsetzen.
Google Wallet
In Deutschland eignet sie sich nur für Online-Einkäufe und App-Käufe im Android PlayStore.
Paij kooperiert mit Taxi Deutschland
Von Wiesbaden startend will paij bald alle rund 15.000 Taxen von Taxi Deutschland mit der auf QR-Code basierenden eigenen mPayment-Lösung ausstatten.
Easy Shopping mit SQWallet
SQWallet ist ein Produkt der mr. Commerce GmbH aus Flensburg, hat aber in Osnabrück mit einem mPayment-Projekt gestartet. Die Grafik zeigt, wie leicht und doch sicher über den QR-Code und die vierstellige PIN-Eingabe das mobile Bezahlen sein soll.
kesh – Bares leicht gemacht
Die biw-Tochter kesh weist eine Verballhornung des englischen Begriffs Cash (Bares) von sich. Aber die eigene mPayment-Lösung ist dem Mitführen von Bargeld nicht unähnlich. Denn das Konto muss erst mit Guthaben gefüllt sein, bevor man damit einkaufen oder konsumieren kann.
Kesh Transaktionsübersicht
Eine Transaktions- oder Kontenübersicht wie hier bei kesh gehört zum guten Ton bei Mobile-Payment.
Cashcloud
"Lösung sucht Nutzer: mPayment steckt in Deutschland noch in den Kinderschuhen", hieß hier Anfang 2015, und das gilt immer noch. Eine Reihe prominent unterstützter lokaler Projekte bringt den Stein aber langsam ins Rollen.
Dallmayr Card Systeme
Mit Dallmayr Card Systeme für bargeldloses Bezahlen per Karte oder Schlüsselanhänger richtet sich der Münchener Kaffeeröster an Unternehmen. Die biw-Tochter kesh liefert die Technologie dazu und soll auch mPayment mit Paydirekt zum Durchbruch verhelfen.
Rossmann: Bezahlvorgang mit dem Handy
NFC City Berlin (Zahl einfach mobil) als bundestweit größte mPayment-Initiative schart viele große Namen um sich. Die Drogeriekette Rossman hat sich erst im November 2015 angeschlossen und sieht sich neben Douglas, Karstadt, Galeria Kaufhof, Aldi Nord und Co.
PWC Mobile Payment Studie 2015
PricewaterhouseCoopers (PwC) nahm im Juni 2015 eine repräsentative Umfrage zum Thema Mobiles Bezahlen vor.
Pwc-Studie Juni 2015
Drei von vier der Befragten in Deutschland haben Mobile Payment noch nie genutzt.
pwc-Studie Bekanntheit von Anbietern
Apple Pay gehört zwar zu drei bekanntesten Anbietern, ist in Deutschland aber noch gar nicht am Start. PayPal und Google Wallet sind hierzulande auch noch nicht uneingeschränkt nutzbar im Vergleich zum Heimatland USA.
Pwc-Studie Gründe gegen Nutzung
Die Sorge um den Datenschutz ist in Deutschland besonders groß.

Kreditkarten sind zwar im Online-Handel nicht wegzudenken, zu empfehlen ist jedoch eine "gesunde Mischung". Online-Händler sollten einen Zahlarten-Mix anbieten, der neben Pull-Payments auch Push-Payment-Lösungen anbietet, also zum Beispiel Rechnung, Vorkasse und Echtzeit-Banküberweisungssysteme wie giropay in Deutschland oder iDEAL in den Niederlanden und Przelewy24 in Polen, bei denen sensitive Daten gar nicht erst erfasst werden und somit auch nicht missbraucht werden können. (rw)