E-Payment, 3D Secure, Near Field Communications

Ratgeber: Sicher bezahlen im Web

Einkaufen im Internet ist einfach und bequem. Doch die damit verknüpften elektronischen Bezahlsysteme bergen Risiken. Wir klären auf, wie sicher Bezahlverfahren wie E-Payment, 3D Secure und NFC im Internet sind.

Die Internetkriminalität nimmt zu. Dem aktuellen Lagebild "Cybercrime 2010" des Bundeskriminalamts zufolge stiegen die Schäden 2010 um 60 Prozent. Die Zahl der Anwender, deren Zugangsdaten zu Plattformen, E-Mail-Diensten, Auktionshäusern oder Online-Banking ausspioniert wurden, hat sich laut Bitkom fast verdoppelt. Vor einem Jahr waren es noch rund 3,7 Millionen, nun sind es knapp sieben Millionen. "Der Trend geht zum Ausspähen persönlicher Daten und Passwörter", so Bitkom-Präsident Dieter Kempf.

Angesichts der wachsenden Schäden stehen Unternehmen zunehmend vor einem Problem, zumal es kein Patentrezept für ein wirklich sicheres Bezahlsystem gibt. Zudem wird es wohl in naher Zukunft kein einheitliches Bezahlsystem geben, denn nach Ansicht von Branchenkennern ist die Zahl der am Markt beteiligten Player zu groß, als dass eine Einigung auf einen Bezahlstandard zu erwarten wäre.

Zwischen den Stühlen

Für einen Shop-Betreiber bedeutet dies, dass er mehrere Zahlsysteme unterstützen muss. Dabei bewegt er sich immer im Spannungsfeld zwischen erreichbarer Sicherheit und Kundenakzeptanz - mit der Konsequenz, dass die Unternehmen mit Fallanalysen die Akzeptanz der jeweiligen Bezahlsysteme bei der anvisierten Zielgruppe überprüfen sollten.

"Denn das Zahlsystem, das von der Kundschaft hochpreisiger Produkte favorisiert wird, kann bei kleinen Einkäufen auf wenig Gegenliebe stoßen", gibt Georg Hildebrand, Senior Account Manager bei der GFT Technologies AG, einem IT-Dienstleister mit Fokus auf den Finanzsektor, zu bedenken. Ein Unternehmen, so Hildebrand weiter, werde kaum umhinkommen, mehrere Bezahlvarianten anzubieten.

Details: Aktuelle E-Payment-Verfahren wie Paypal werden von den Händlern zunehmend akzeptiert, auch wenn Kreditkarte und Vorkasse weiterhin beliebt sind.
Details: Aktuelle E-Payment-Verfahren wie Paypal werden von den Händlern zunehmend akzeptiert, auch wenn Kreditkarte und Vorkasse weiterhin beliebt sind.

Um den eigenen Auftritt nun möglichst zukunftssicher zu gestalten, empfiehlt der Fachmann, auf die Verwendung offener Schnittstellen zu achten, um neue Systeme einbinden zu können. Ein zusätzliches Sicherheitselement zur Authentifizierung könnte künftig der neue Personalausweis (nPA) sein. Ein Plus an Sicherheit bieten möglicherweise auch die neuen EMV-Chips, mit denen mittlerweile alle Karten ausgestattet sein sollten. Allerdings haben beide Ansätze ein Manko: Sie setzen voraus, dass die Kunden am Ausbau der Sicherheit mitarbeiten, indem sie Kartenleser anschaffen.

Die häufigsten Fehler

Ferner gibt es einige Kardinalfehler, die einfach zu vermeiden wären. "Passwörter eines Kunden-Accounts unverschlüsselt in einer Datenbank abzulegen ist schlicht stümperhaft", erzürnt sich Hildebrand angesichts der zahlreichen geklauten Kunden- und Kreditkartendaten der letzten Zeit. Die sicherste Methode, diese Daten erst gar nicht zu speichern, fällt für die meisten Shop-Betreiber flach, denn im Zweifelsfall müssen sie mit diesen Informationen nachweisen, dass eine Zahlungsforderung berechtigt ist.

Allerdings sollten sich IT-Verantwortliche überlegen, ob es wirklich erforderlich ist, Daten von Tausenden Kunden in einer Datenbank oder auf einem Server zentral zu speichern. Das spart zwar eventuell Kosten, doch der Schaden ist im Falle eines virtuellen Einbruchs höher als bei einer verteilten Speicherung. Ein Punkt, der übrigens unabhängig vom verwendeten Sicherheitssystem zu beachten ist.

Welchen Sicherheitsgewinn bringen neue biometrische Verfahren wie etwa der neue Personalausweis oder eine Stimmerkennung, wenn die entsprechenden Profile zentral gespeichert werden? Ein Plus an Sicherheit könnte hier eine verschlüsselte Ablage auf einer Smartcard im jeweiligen Endgerät bringen. Damit wäre im Falle eines erfolgreichen Angriffs nur ein Kunde betroffen.