Sicherheit zu Lasten des Komforts

Kreditkarte - für das Bezahlen im Internet wenig geeignet



Ralf Ohlhausen, Diplom-Mathematiker und Master of Telecommunications Business, verfügt über 25 Jahre Berufserfahrung in den Bereichen E-Commerce, Financial Services, mobile Telekommunikation und IT. Zuletzt war er als President Europe bei SafetyPay tätig. Weitere Stationen seiner internationalen Karriere waren Führungspositionen bei Digicel, O2, British Telecom und Mannesmann-Kienzle. Aktuell verantwortet er bei PPRO die weltweite Expansionsstrategie des Payment-Lösungsanbieters.
Die Kreditkarte avancierte zum Erfolgsmodell und entwickelte sich zum weltweit beliebtesten Zahlungsmittel direkt nach Bargeld. Mit der steigenden Bedeutung des E-Commerce in den neunziger Jahren, wurde sie zudem für die Bezahlung von Online-Käufen zugelassen - doch trifft das heute noch zu?

Ursprünglich wurde die Kreditkarte den bargeldlosen Einkauf im stationären Handel geschaffen. Die Idee war es, dass der Inhaber der Karte die unterschriebene Karte beim Bezahlen vorlegt. Wenn er seine Unterschrift auf der Rechnung tätigt, sollten die Unterschriften abgeglichen und damit die einwandfreie Übereinstimmung zwischen Inhaber und Karte festgestellt werden. In manchen Fällen wurde sogar ein Lichtbildausweis erbeten, um die Übereinstimmung zweifelsfrei nachzuweisen. Der zweite - vielleicht sogar noch wichtigere - Zweck der Karte war es, dem Käufer einen Kredit zur Verfügung zu stellen, den er erst nach Ablauf des Abrechnungszeitraums zurückbezahlen muss.

Kreditkarte - im Online-Handel nicht mehr zeitgemäß

Die Kreditkarte avancierte zum Erfolgsmodell und entwickelte sich zum weltweit beliebtesten Zahlungsmittel direkt nach Bargeld. Mit der steigenden Bedeutung des E-Commerce in den neunziger Jahren, wurde sie zudem für die Bezahlung von Online-Käufen zugelassen. Damit schnellten jedoch auch die Betrugszahlen in die Höhe. Denn: Bei einer "Card-not-Present"-Transaktion, also einem Bezahlvorgang ohne physische Vorlage der Kreditkarte, entfallen wesentliche Kontrollmechanismen wie der Abgleich der Unterschrift oder eines Lichtbilds des Besitzers. Auch ein Chip&PIN-Verfahren ist online nicht umsetzbar.

Herausforderung Kreditkartensicherheit

Die Kreditkartenindustrie hat daher in den vergangenen 20 Jahren verschiedene Versuche unternommen, den zunehmenden Betrug einzudämmen.

Mit der Einführung des PCI-DSS-Standards wurden Sicherheitsrichtlinien zur Absicherung von entgegengenommenen oder gespeicherten Daten geschaffen. Ein Katalog von zwölf Punkten beschreibt dabei Sicherheitsanforderungen an die IT-Umgebung von Händlern und Payment Service Providern (PSP). Können sie diese nicht einhalten, werden sie nicht für Kreditkarten-Transaktionen zugelassen. Dies betrifft zumeist kleine Händler. Mangels PCI-Zertifizierung lassen sie deshalb ihre Kreditkartentransaktionen über PSPs mit hohen Sicherheitsstandards abwickeln. Leider hat dies nicht verhindert, dass in den letzten Jahren trotzdem Millionen von Kartendaten, insbesondere von sehr großen Händlern, gestohlen wurden.

Weitere Ansatzpunkte in der Online-Benutzung waren die Angabe des Ablaufdatums (Expiry Date) und der Adresse des Inhabers. Letztere kann aber nur in sehr wenigen Ländern und dort auch nur unvollständig geprüft werden. Mit dem 3-D Secure-Verfahren gelang der Branche vermeintlich der große Wurf. Dabei wird der Kreditkartenhalter im Bezahlprozess an seine ausgebende Bank weitergeleitet, wo er über ein Pop-up-Fenster einen nur ihm bekannten Code eingeben musste.

Jedoch führte diese Anforderung dazu, dass Kunden ihre Käufe im letzten Schritt abbrachen, da sie entweder den Code vergessen oder sich gar nicht bei 3-D Secure registriert hatten. So wird heute meist nur die Angabe des Sicherheitscodes auf der Kartenrückseite (CVC, Card Validation Code) verwendet. Für den Kreditkartenhalter ergibt sich dadurch ein gewisses Plus an Sicherheit, da dieser Code zu keiner Zeit vom Händler oder anderen in die Transaktion involvierten Partnern abgespeichert werden darf. Aber auch das ist nutzlos, wenn die Karte gestohlen oder photokopiert wurde.

Sicherheit zu Lasten des Komforts

Der neueste Anlauf zur Absicherung von Kreditkartentransaktionen über das Internet stellt das Verfahren der "Tokenisierung" dar. Kreditkartenunternehmen halten dafür in einer Datenbank eine Token-Nummer für jede Kreditkarte vor, die im Zuge der Online-Bezahlung an den Händler übermittelt wird. Die Kreditkartennummer selbst wird nicht übertragen. Durch den automatischen Abgleich der Token-Nummer mit der Datenbank des Kreditkartenunternehmens wird die Zahlung autorisiert. Ursprünglich sollte für jede Transaktion ein neues Token vergeben werden, aber für das beliebte One-Click-Payment muss der Händler den Kunden über einen festen Code identifizieren können.

Unter dem Strich haben die zahlreichen Bemühungen, die Kreditkarte als Zahlungsmittel für den Online-Handel sicher zu machen, keine nachhaltige Wirkung gezeigt. Kriminelle finden stets Schlupflöcher. Denn Verfahren zur Erhöhung der Sicherheit gehen immer zu Lasten des Komforts beim Interneteinkauf. Diese Hürden führen wiederum zu vermehrten Abbrüchen der Bestellung. Eine Lösung dieses Dilemmas ist für Kartenzahlungen leider prinzipiell nicht möglich, da diese immer vom Händler ausgelöst werden müssen und dieser dafür Daten benötigt, die in irgendeiner Form übertragen oder gespeichert werden müssen. Damit bleibt also eine Hintertür für Datendiebstahl offen.

Das Fazit: Für den Online-Einkauf ist das so genannte Pull-Payment, bei dem der Händler die Zahlung initiiert, wenig geeignet, zumal Händler damit auch noch ein Chargeback-Risiko eingehen. Als Absicherung für die Kunden gedacht, die bei Unzufriedenheit der Zahlung widersprechen können und ihr Geld zurück erhalten, hat es sich zu einem eigenen Betrugsfeld etabliert. Beim so genannten "Friendly Fraud" behaupten Kunden einfach, sie hätten eine Bestellung nicht getätigt oder die Ware nicht erhalten. Händler bleiben dabei fast immer auf dem Schaden sitzen.

Kreditkarten sind zwar im Online-Handel nicht wegzudenken, zu empfehlen ist jedoch eine "gesunde Mischung". Online-Händler sollten einen Zahlarten-Mix anbieten, der neben Pull-Payments auch Push-Payment-Lösungen anbietet, also zum Beispiel Rechnung, Vorkasse und Echtzeit-Banküberweisungssysteme wie giropay in Deutschland oder iDEAL in den Niederlanden und Przelewy24 in Polen, bei denen sensitive Daten gar nicht erst erfasst werden und somit auch nicht missbraucht werden können. (rw)

Zur Startseite