Die Internet-Kriminalität wächst. Nach dem aktuellen Lagebild "Cybercrime 2010" des Bundeskriminalamts stiegen die Schäden 2010 um 60 Prozent. Die Zahl der Anwender, deren Zugangsdaten zu Plattformen, E-Mail-Diensten, Auktionshäusern oder Online-Banking ausspioniert wurden, hat sich laut Bitkom fast verdoppelt. Vor einem Jahr waren es noch rund 3,7 Millionen, nun sind es knapp sieben Millionen. "Der Trend geht zum Ausspähen persönlicher Daten und Passwörter", so Bitkom-Präsident Dieter Kempf.
Angesichts der wachsenden Schäden stehen Unternehmen zunehmend vor einem Problem, zumal es kein Patentrezept für ein wirklich sicheres Bezahlsystem gibt. Zudem wird es wohl in naher Zukunft kein einheitliches Bezahlsystem geben, denn nach Ansicht von Branchenkennern ist die Zahl der am Markt beteiligten Player zu groß, als dass eine Einigung auf einen Bezahlstandard zu erwarten wäre.
Zwischen den Stühlen
Für einen Shop-Betreiber bedeutet dies, dass er mehrere Zahlsysteme unterstützen muss. Dabei bewegt er sich immer im Spannungsfeld zwischen erreichbarer Sicherheit und Kundenakzeptanz. Mit der Konsequenz, dass die Unternehmen mit Fallanalysen die Akzeptanz der jeweiligen Bezahlsysteme bei der anvisierten Zielgruppe überprüfen sollten.
"Denn das Zahlsystem, das von der Kundschaft hochpreisiger Produkte favorisiert wird, kann bei kleinen Einkäufen auf wenig Gegenliebe stoßen", gibt Georg Hildebrand, Senior Account Manager bei der GFT Technologies AG, einem IT-Dienstleister mit Fokus auf den Finanzsektor, zu bedenken. Ein Unternehmen, so Hildebrand weiter, werde kaum umhinkommen, mehrere Bezahlvarianten anzubieten.
Um den eigenen Auftritt nun möglichst zukunftssicher zu gestalten, empfiehlt der Fachmann, auf die Verwendung offener Schnittstellen zu achten, um neue Systeme einbinden zu können. Ein zusätzliches Sicherheitselement zur Authentifizierung könnte künftig der neue Personalausweis (nPA) sein. Ein Plus an Sicherheit könnten auch die neuen EMV-Chips bieten, mit denen mittlerweile alle Karten ausgestattet sein sollten. Allerdings haben beide Ansätze ein Manko: Sie setzen voraus, dass die Kunden am Ausbau der Sicherheit mitarbeiten, indem sie Kartenleser anschaffen.
Die häufigsten Fehler
Ferner gibt es einige Kardinalfehler, die einfach zu vermeiden wären. "Passwörter eines Kunden-Accounts unverschlüsselt in einer Datenbank abzulegen, ist schlicht stümperhaft", erzürnt sich Hildebrand angesichts der zahlreichen geklauten Kunden- und Kreditkartendaten der letzten Zeit. Die sicherste Methode, diese Daten erst gar nicht zu speichern, fällt für die meisten Shop-Betreiber flach, denn im Zweifelsfall müssen sie mit diesen Informationen nachweisen, dass eine Zahlungsforderung berechtigt ist.
Allerdings sollten sich IT-Verantwortliche überlegen, ob es wirklich erforderlich ist, Daten von Tausenden Kunden in einer Datenbank oder auf einem Server zentral zu speichern. Das spart zwar eventuell Kosten, doch der Schaden ist im Falle eines virtuellen Einbruchs höher als bei einer verteilten Speicherung.
Ein Punkt, der übrigens unabhängig vom verwendeten Sicherheitssystem zu beachten ist. Welchen Sicherheitsgewinn bringen neue biometrische Verfahren wie etwa der neue Personalausweis oder eine Stimmerkennung, wenn die entsprechenden Profile zentral gespeichert werden? Ein Plus an Sicherheit könnte hier eine verschlüsselte Ablage auf einer Smartcard im jeweiligen Endgerät bringen. Damit wäre im Falle eines erfolgreichen Angriffs nur ein Kunde betroffen.
Schutz durch PCI-Compliance
Um im Fall der Fälle Schadensersatzforderungen durch die Kreditkartenunternehmen sowie die Akquirer - sie geben Karten aus und wickeln meist die Zahlungen ab - zu vermeiden, rät der auf bargeldlosen Zahlungsverkehr spezialisierte Frankfurter IT-Dienstleister Concardis GmbH Händlern und Dienstleistern, unbedingt darauf zu achten, ob die eingesetzte Lösung PCI-compliant ist.
Hinter PCI verbirgt sich ein Regelwerk für den Zahlungsverkehr (Payment Card Industry Data Security Standard = PCI DSS), das seit Oktober 2010 in der Version 2.0 vorliegt. Diese Liste enthält zwölf Anforderungen für Bezahlverfahren, die im Unternehmensnetz zu erfüllen sind.
Darüber hinaus müssen je nach verwendetem Bezahlsystem noch weitere Anforderungen oder Empfehlungen berücksichtigt werden. Wer etwa 3D Secure einsetzt, benötigt ein zertifiziertes Merchant Plug-in (MPI). Ferner sollte er den 3D-Aktivierungsservice in seiner Website per iFrame steuern. Je nach Umsatz müssen die Händler zudem unterschiedliche interne und externe Audits bestehen, um ihre PCI-Compliance nachzuweisen.
Es bleibt ein Hase-und-Igel-Rennen
Doch egal wie ausgefeilt die Vorschriften und wie ausgeklügelt neue Security-Verfahren sind, es bleibt ein Hase-und-Igel-Rennen. Cyber-Kriminelle erkunden systematisch die Sicherheitslücken im Zahlungsverkehr und nutzen gefundene Schwachstellen gezielt aus. Bis Händler und Finanzindustrie das Schlupfloch entdeckt und Gegenmaßnahmen ergriffen haben, ist es meistens schon zu spät. Und kurze Zeit später beginnt das "Spiel" an anderer Stelle von vorne.
Deshalb sind viele Experten der Meinung, dass man sich weniger auf die Entwicklung neuer Sicherheitssysteme konzentrieren als vielmehr die Betrugsvermeidung durch Prävention verstärken sollte. Im einfachsten Fall reichen für diesen Ansatz Plausibilitätsprüfungen: "Kann es sein, dass eine Kreditkarte, die zum Tanken in Italien verwendet wurde, zwei Minuten später in New York benutzt wird?" Sowohl Karteninstitute wie auch Akquirer arbeiten mit Nachdruck an der Verbesserung ihrer Prevention-Systeme, lassen sich dabei aber nur ungern in die Karten schauen.
Drei E-Payment-Verfahren im Vergleich
Neben der Kreditkarte haben sich hierzulande vor allem drei E-Payment-Verfahren etabliert. Doch alle weisen Schwächen auf.
E-Payment - per Turboüberweisung zum Geld
Eigentlich können sich deutsche Unternehmen freuen. Wer via Internet Handel treibt, kann laut dem aktuellen E-Commerce-Leitfaden auf über 40 verschiedene Zahlungsverfahren zurückgreifen. Allerdings kommt davon nur ein Bruchteil auf breiter Front zum Einsatz, denn es gilt den Spagat zwischen Kunden- und Händlerakzeptanz zu meistern - also den Ausgleich zwischen dem Interesse der Anbieter, Zahlungsausfälle zu vermeiden sowie die Kosten gering zu halten, und dem Wunsch der Kunden, für ihr Geld sicher Waren zu erhalten.
Laut dem E-Payment-Barometer von ibi Research an der Universität Regensburg dominieren bei den elektronischen Bezahlverfahren (E-Payment) Paypal und sofort-überweisung.de den Markt. Deutlich abgeschlagen folgt das von den deutschen Finanzinstituten initiierte giropay, so das Ergebnis der ibi-Untersuchung, an der im Frühjahr dieses Jahres 245 Händler teilnahmen. Alle drei Systeme fungieren dabei als Mittler zwischen Händler und Kunde.
Paypal boomt dank Ebay
Paypal war ursprünglich nur dafür gedacht, dass sich die Mitglieder Geld überweisen können. Zum Identifizieren des Empfängers dient dessen E-Mail-Adresse. Die Überweisungsgebühren hat der Geldempfänger zu tragen. Ein weiterer Vorteil für den Sender ist, dass seine Finanzdaten wie Kreditkarten- oder Kontonummer dem Empfänger verborgen bleiben. Seine hohe Popularität verdankt der Service der Ebay-Tochter sicher auch der Tatsache, dass Ebay neue Verkäufer verpflichtet, den Dienst als Bezahlverfahren zu offerieren.
Da bei Transaktionen via Paypal nur die E-Mail-Adresse sowie ein Passwort zur Autorisierung dienen, ist die Plattform öfter das Ziel von Angriffen oder betrügerischen Mail-Aktionen, mit denen Kriminelle die Zugangsdaten ergaunern wollen.
Die Rolle der Vermittler
Während Paypal unter anderem mit Kreditkarten arbeitet, setzen sofortüberweisung.de, ein Dienst der Payment Network AG, und giropay ein Online-fähiges Bankkonto voraus. Vereinfacht ausgedrückt sind beide Systeme eine Art elektronische Vorkasse für den Händler. Beim Kaufabschluss transferiert der Kunde das Geld quasi per elektronische Blitzüberweisung von seinem Online-Bankkonto an den Händler. Dieser erhält dann eine Bestätigung der Transaktion und somit eine Freigabe.
Das System ist nicht unumstritten, da der Kunde seine PIN und TAN bei der Überweisung an einen Dritten, etwa Payment Network, weitergibt. Damit dürfte er in der Regel gegen die Allgemeinen Geschäftsbedingungen (AGB) der Finanzinstitute verstoßen. Kritiker argumentieren dagegen, dass dies auch bei giropay der Fall sei. Hier gebe der User PIN und TAN an die Rechner eines IT-Dienstleis-ters weiter, auch wenn dieser eine Bankentochter sei. Über die Frage, ob der User beim E-Payment PIN und TAN an Dritte als Mittler weiterreichen darf, sind Juristen geteilter Meinung.
Mit Blick auf die Sicherheit ist ein anderer Aspekt kritisch zu sehen: Die Mittler stellen einen weiteren Angriffspunkt für Cyber-Kriminelle dar. Hier sollten letztlich Händler und Anwender sorgfältig abwägen, ob Mehrwertdienste wie Zahlungsabgleich, Bonitätsprüfung, Treuhandservice etc. das eventuell gestiegene Sicherheitsrisiko wert sind. In letzter Konsequenz stehen und fallen diese Bezahlmethoden mit der Sicherheit des TAN-Verfahrens. Und hier zeichnet sich mit der Einführung der chipTAN eine deutliche Verbesserung ab.
3D Secure - Sicherheit für Webshops?
Geklaute Kreditkartendaten im Hunderter-Pack mit Funktionsgarantie der Hehler, ferner Händler, die angesichts von Zahlungsausfällen Kreditkarten gar nicht mehr oder nur mit saftigen Aufschlägen akzeptieren. Die Zunahme der Betrugsfälle zeigt, dass die klassische Kombination aus Name, Kreditkartennummer, Ablaufdatum und Kreditkartenprüfnummer (CVC2, CVV) beim Online-Shopping oft keine ausreichende Sicherheit mehr bietet.
Bezahlen per Passwort
Deshalb sahen sich die Kreditkartenorganisationen Visa und Mastercard gezwungen zu handeln, um nicht weiter an Akzeptanz im Online-Handel zu verlieren. Was heute unter den Markennamen "Verified by Visa" und "Mastercard SecureCode" zum Einsatz kommt, wurde von Visa als System 3D Secure entwickelt. Es soll bei Transaktionen zusätzliche Sicherheit gewährleisten.
Die Idee dahinter ist ebenso einfach wie auf den ersten Blick genial: Kauft ein Kunde mit Karte in einem Webshop ein, muss er sich beim Bezahlen gegenüber dem Händler als rechtmäßiger Kartenbesitzer authentifizieren. Hierzu sendet der Webshop eine Authentifizierungsanfrage an den Kreditkartenausgeber (meist eine Bank). Letzterer öffnet auf dem Rechner des Kunden ein eigenes Browser-Fenster, in welchem er den Kauf mit seinem selbst gewählten Passwort (Code aus sechs bis zehn Zeichen) bestätigt.
Während dieses Vorgangs sollte der Anwender darauf achten, ob die Site die richtige persönliche Begrüßungsformel anzeigt, die einmal vom User gewählt wurde. Dies soll vor Phishing-Versuchen schützen. Nach der Überprüfung schickt die Bank dem Händler eine Freigabe der Transaktion mit dem elektronischen Beleg.
Haftungsumkehr für Händler
Nach seiner Einführung wurde das neue Verfahren schnell von den Online-Shops angenommen. Das dürfte weniger daran gelegen haben, dass die Werbung mit 3D Secure bis zu 70 Prozent weniger Missbrauchsfälle versprach, sondern an der Einführung eines Liability Shift. Dank dieser Haftungsumkehr wird der Händler vor Zahlungsausfällen geschützt, und der Kartenherausgeber haftet bei Missbrauchsfällen. Ferner hält sich der Implementierungsaufwand in Grenzen.
Nach Angaben des auf Kartenumsätze spezialisierten IT-Dienstleisters Concardis benötigen Webshops ein von Mastercard und Visa zertifiziertes Merchant Plug-in (MPI). Ferner ist eine Registrierung bei den Kartenorganisationen sowie eine Erweiterung des Akzeptanzvertrags um 3D Secure erforderlich.
Großes Risiko für den Kunden?
Während die Kreditkartenfirmen 3D Secure als Sicherheitsgewinn feiern, kamen die Fernsehmagazine Wiso und ARD-Ratgeber im Februar 2011 zu einem anderen Ergebnis: Sie zeigten konkrete Betrugsfälle, in denen es Kriminellen gelungen war, trotz 3D Secure auf Kosten ihrer Opfer einzukaufen. Verbraucherzentralen kritisieren zwei Punkte: Ähnlich wie bei der PIN einer Scheckkarte gehen die Institute davon aus, dass Dritte nur dann in den Besitz des persönlichen Passworts gelangen können, wenn der Kunde fahrlässig handelt. Angesichts immer neuer Trojaner und Keylogger erscheint diese Argumentation fragwürdig. Erschwerend kommt hinzu, dass der Anmeldeprozess, bei dem der Kunde Begrüßungsformel und Passwort festlegt, nicht wirklich sicher ist. Es gibt nämlich keine Garantie, dass die Anmeldung zu 3D Secure beweiskräftig vom Karteninhaber selbst ausgeführt wurde.
Vor diesem Hintergrund veröffentlichte die Stiftung Warentest Anfang Mai 2011 auf ihrer Website die Empfehlung: "Lehnen Sie SecureCode und Verified by Visa unbedingt ab." Mittlerweile relativierten die Warentester ihre Aussage dahingehend, dass sich Kunden deutscher Banken und Sparkassen bedenkenlos anmelden könnten, denn diese hätten ihre Haltung in Sachen Verbraucherhaftung bei 3D Secure überdacht.
Near Field Communications - das mobile Geld der Zukunft?
Sekundenschnell bargeldlos an der Kasse bezahlen, kontaktlos Überweisungen veranlassen, sich an Zugangssystemen authentifizieren, virtuelle Fahrkarten lösen oder kleine Datenmengen (etwa im Museum als virtueller Ausstellungsführer) übertragen - angesichts dieser vielen Verwendungsmöglichkeiten wird schnell deutlich, warum sich alle großen Player der ITK- und Finanzbranche mit der NFC-Technik befassen.
Ob Deutscher Sparkassen- und Giroverband (DSGV), Visa, Mastercard, Paypal, Google, Microsoft, Telekom, Vodafone, die Geldnotendrucker Giesecke & Devrient, Deutsche Bahn, Städte wie Hanau (Fahrkarte, RMV-Erlebniscard) oder Handy-Hersteller wie Nokia, um nur einige zu nennen: Sie alle arbeiten daran, marktfähige Lösungen für das Bezahlen per NFC zu schaffen. Nach Angaben des DSGV sollen etwa ab 2012 im Regeltausch alle 45 Millionen SparkasssenCards (im Volksmund immer noch gerne als EC-Karte bezeichnet) mit NFC-Technik ausgestattet werden. Einen späteren Transfer des Systems auf Smartphones schließen die Banker nicht aus.
Kombi aus Smartcard und NFC
Was beim ersten Lesen nach moderner Hightech klingt, ist im schnellen IT-Zeitalter eigentlich schon ein technischer Oldie: Erste Spezifikationen für Near Field Communications (NFC) wurden bereits 2002 verabschiedet. Ausgangspunkt war die Idee, kleine Datenmengen kurzzeitig auszutauschen, wozu im Standard zwei Verfahren vorgesehen sind.
Das große Interesse von Google und Co. an NFC erklärt sich mit Blick auf eines der definierten Transferverfahren: die verbindungsbehaftete Übertragung zwischen gleichwertigen Transmittern - etwa Smartphones. Zudem sind Sicherheitsfunktionen definiert, so dass die Übertragung auch für Bezahlverfahren sicher ist.
Ferner sieht NFC eine Kombination mit Smartcards - etwa der SIM-Karte im Handy - vor, womit sich beim Bezahlen sichere Authentifizierungen realisieren lassen. Auf diesen Ansatz setzt beispielsweise die Telekom. In ihrem Auftrag soll Giesecke & Devrient eine universelle SIM-Karte mit NFC-Funktionen entwickeln. Damit will der Carrier die Grundlage für zukünftige berührungslose Bezahl- und Servicedienste schaffen.
Gefahr der Marktzersplitterung
Einen anderen Weg beim Bezahlen per NFC beschreitet Google in Zusammenarbeit mit Mastercard Paypass. Die Unternehmen setzen auf einen Extrachip im Handy, den Google als "Secure Element" bezeichnet. Laut Google kann man sich den Chip als Extra-Computer im Smartphone vorstellen, auf dem die Kreditkartendaten verschlüsselt hinterlegt sind. Getrennt von der Android-Umgebung, wäre der Chip nur für zertifizierte und als besonders vertrauenswürdig eingestufte Anwendungen zugänglich.
Die Beispiele veranschaulichen die drohende Gefahr: Die Zersplitterung des NFC-Marktes in diverse Systeme, die unterschiedliche Apps erfordern oder inkompatibel sind. Vor dieser Entwicklung warnt auch Christina White, Mitglied des Mobile & Digital Display Center of Excellence bei der Sapient-Tochter SapientNitro: "Wenn die digitale Geldbörse ein Erfolg werden soll, müssen wir vermeiden, dass sie mit unterschiedlichsten Apps zugemüllt wird. Als Gegenstand des täglichen Gebrauchs muss sie einfach sein." Deshalb appelliert White an alle Player, zusammenzuarbeiten und eine Lösung zu suchen. (mhr)