Die Geschäfte in den Internet-Shops boomen. Kein Wunder, günstige Preise und Rund-um-die-Uhr-Einkaufsmöglichkeiten locken die Kunden. Da Waren auch im Internet Geld kosten, stellt sich für die Webshop-Inhaber und auch für die Kunden die Frage nach der sicheren bargeldlosen Bezahlung.
Zurzeit gibt es über 40 verschiedene Zahlungsverfahren beim Internet-Handel. Das kann man aus dem aktuellen E-Commerce Leitfaden entnehmen. Allein die Vielzahl der unterschiedlichen Bezahldienste verdeutlicht, dass es nicht das "ideale" Zahlungsverfahren gibt und der Konkurrenzkampf groß ist. Das Gros der Internet-Shops kooperiert mit verschiedenen Bezahldiensten, um möglichst großen Kundenkreis anzusprechen. Denn in der Regel entscheidet die Akzeptanz eines Zahlungsserfahrens über den Kaufabschluss im Internet.
Wie das aktuelle E-Payment-Barometer aus dem Dezember 2010 zeigt, nutzen 61 Prozent der Händler, die weniger als 500.000 Euro Umsatz machen, Paypal, 31 Prozent setzen auf sofortueberweisung.de und nur noch sieben Prozent verwenden moneybookers.de. Alle restlichen Bezahlverfahren wie Click & Buy (früher: Firstgate) sind noch weniger gefragt. Und das, obwohl Click & Buy mit über 13 Millionen registrierten Kunden sich hinter Paypal auf Platz zwei der größten Anbieter platziert. Zum Vergleich: Zahlungen per Vorkasse haben 80 Prozent der Internet-Shops im Angebot.
Platzhirsch Paypal
Auch in der Gunst der Nutzer liegt die eBay-Tochter Paypal laut E-Payment-Barometer, das von ibi research an der Universität Regensburg erstellt wird, bei den rein digitalen Verfahren in Deutschland vorn. Von den befragten Shop-Betreibern gaben 26 Prozent an, dass ihre Kunden per Paypal zahlen. Selbst Kreditkarten - normalerweise dank der damit verbundenen Käuferschutzmechanismen bei Konsumenten weltweit das beliebteste Zahlungsmittel - haben eine niedrigere Akzeptanz als Paypal.
Foto: Uli Ries
Längst sind die elektronischen Zahldienste aus dem Schatten von eBay und anderen reinen Online-Händlern herausgetreten. So bietet beispielsweise Lufthansa schon seit längerem an, über die Website der Fluglinie gekaufte Tickets per Paypal zu bezahlen. Die Airline erlässt ihren Passagieren dabei sogar eine Gebühr, die beim Bezahlen mit Kreditkarte anfällt. Und auch bei allen namhaften E-Commerce-Betreibern haben Kunden die Möglichkeit, per Paypal zu zahlen.
Wie funktioniert Paypal?
Ursprünglich dient Paypal nur dazu, dass sich Mitglieder nach dem Registrieren gegenseitig Geld überweisen können. Zum Identifizieren des Empfängers dient dessen E-Mail-Adresse. Bei Überweisungen fallen Gebühren an, die der Geldempfänger zu tragen hat. Weiterer Vorteil für den Sender: Seine Finanzdaten wie Kreditkarten- oder Kontonummer bleiben verborgen.
Paypal dient quasi als Mittler und verbirgt die Informationen vor dem Empfänger - ideal beim Geschäftemachen mit Unbekannten, was bei eBay ja an der Tagesordnung ist. Zudem bietet Paypal als Treuhänder einen Käuferschutz: Kommt es zu Unstimmigkeiten, weil die Ware beispielsweise nicht geliefert wurde oder defekt ankam, friert der Anbieter den Betrag ein und überweist ihn nach Klärung auch wieder zurück. Wichtig zu wissen ist, dass der Käuferschutz nicht bei digitalen Gütern greift wie elektronischen Flugtickets, Gutscheinen, eBooks und so weiter. Auch Dienstleistungen und Fahrzeuge sind ausgenommen.
Verkäufer erfahren ebenfalls Sicherheit durch den Dienst: Sie sind bis zu einer Schadenssumme von 4000 Euro pro Kalenderjahr vor Rückbuchungen von Girokonten und Kreditkartentransaktionen (nur innerdeutsch) sowie von Zahlungen geschützt, die der Paypal-Kontoinhaber nicht autorisiert hat.
Nachteile von Paypal
So vorteilhaft das Prinzip Paypal auch klingt, in der Praxis hat der Dienst auch Nachteile. Es werden beispielsweise immer wieder Vorkommnisse bekannt, bei denen Paypal das Konto eines Nutzers - sowohl private wie auch kommerzielle Anwender sind betroffen - wegen vermeintlicher Unstimmigkeiten ohne Vorwarnung einfriert. Das ist aus Sicht potentieller Betrugsopfer vorteilhaft. Nachdem der Kundenservice von Paypal aber erfahrungsgemäß schwer zu erreichen ist beziehungsweise standardisierte Antwort-E-Mails verschickt, kann eine ungerechtfertigte Sperrung schnell zum echten Problem werden.
Wie sicher ist Paypal?
Insbesondere der Platzhirsch ist immer wieder Ziel von Angriffen. Wobei hier gar nicht die Serverinfrastruktur aufs Korn genommen werden muss, so wie es die Wikileaks-Sympathisanten getan haben. Denn Paypal-Konten sind klassisch nur mit Benutzernamen und Kennwort gesichert. Michael Barrett, der CISO (Chief Information Security Officer) von Paypal, sagte im Rahmen einer Podiumsdiskussion, dass sein Unternehmen den Kunden zwar Sicherheitstipps wie den Einsatz von schwer zu knackenden Passworten an die Hand gibt. Gleichzeitig ist Barrett aber auch klar, dass damit schon das Ende der Fahnenstange erreicht ist. Denn ein komplexeres Login-Verfahren oder durchgehende Zwei-Faktor-Authentisierung würden wahrscheinlich zu viele Kunden verschrecken.
Also setzt Paypal auf die Analyse von Transaktionen. Das Unternehmen versucht, auffällige Muster im Verhalten seiner Kunden zu erkennen: Ein Paypal-Nutzer überweist monatelang zumeist am Abend vom heimischen PC kleinere Beträge und loggt sich dann sofort wieder aus. Plötzlich soll eine Transaktion über eine größere Summe unter Tags von einem anderen Ort ausgeführt werden - das System schlägt Alarm. Laut Barrett sind solche Analysen aufwändig und teuer, gleichzeitig aber das einzige Mittel, das Unternehmen wie Paypal bleibt. An Verfahren wie Device-ID oder Sicherheitstokens glaubt Barrett nicht, da sie früher oder später auch umgangen würden. Paypal bietet jedoch einen Sicherheitsschlüssel (Token) von Verisign gegen Zahlung von 23,00 Euro.
Skeptisch ist der CISO auch, was die Sicherheit von Smartphones angeht: "Die Frage ist nicht, ob diese Geräte attackiert werden. Es geht nur noch um das Wann", so Barrett während der RSA Conference 2011.
Moneybookers (Skrill)
Ähnlich wie Paypal funktioniert Moneybookers, das seit neuestem Skrill heißt. Auch hier wird der Empfänger per E-Mail-Adresse identifiziert. Überweisungen sind in mehr als 40 Währungen und in mehr als 200 Länder der Erde möglich. Nutzer des Dienstes müssen sich, genau wie auch bei Paypal, beim Registrieren legitimieren (zur Registrierung verwendeter Name sowie Name von Konto oder Kreditkarte müssen übereinstimmen), um Betrug und Geldwäsche einzudämmen.
Foto: Uli Ries
Insbesondere Online-Händler profitieren vom Moneybookers-Dienst. Denn Rücküberweisungen sind ausgeschlossen, der Verkäufer bekommt sein Geld in jedem Fall. Nach eigener Auskunft akzeptieren über 80.000 Verkäufer Zahlungen per Moneybookers/Skrill, darunter inzwischen auch die Paypal-Mutter eBay.
Click & Buy und iclear
Ohne den Überweisungsdienst von Paypal und Moneybookers kommt Click & Buy (ehemals Firstgate) aus. Hier hinterlegt der Nutzer Konto- oder Kreditkartendaten und macht sich dann ans Online-Shoppen. Inzwischen akzeptieren alle großen E-Commerce-Anbieter wie der ADAC, Apple (iTunes Store), Amazon, Otto oder Steam (Online-Plattform zum Verkauf von PC-Spielen) Zahlungen per Click & Buy. Weit verbreitet ist der Dienst nach wie vor bei Anbietern, die viele Transaktionen über kleine Beträge abwickeln, wie zum Beispiel Publikationen. Der Grund hierfür sind die bei solchen Konstellationen niedrigen Gebühren, die Click & Buy vom Verkäufer verlangt.
Wie funktioniert Click & Buy?
Beim Einkauf meldet sich der Anwender mit Benutzernamen und Passwort an. Click & Buy übernimmt dann die Auszahlung an den Shop-Betreiber, die Zahlungsinformationen des Nutzers bleiben unsichtbar. Weitere Sicherheitsfunktionen wie TANs oder Tokens bietet Click & Buy nicht.
Ebenfalls als Treuhänder fungiert das in Mannheim ansässige Unternehmen iclear. Wobei der Käufer bei iclear noch mehr Schutz genießt als bei den anderen Verfahren: Zwar zieht der Dienstleister das Geld sofort nach Abschluss des Online-Einkaufs vom Konto des Kunden ein. An den Händler ausgezahlt wird der Betrag aber erst, wenn die Lieferung der Ware erfolgt und das Produkt unversehrt ist. Außerdem wartet iclear den Ablauf der Rückgabefrist ab, bevor überwiesen wird.
Alternativen: sofortueberweisung.de und Giropay
Laut Uni Regensburg erfreut sich neben Paypal noch sofortueberweisung.de einiger Beliebtheit bei Käufern und Verkäufern. Das Verfahren entspricht im Endeffekt einem Mix aus Kreditkartenzahlung und Vorauskasse: Vor Abschluss der Bestellung muss der Kunde per Online-Überweisung den geforderten Betrag an den Händler senden. Der Dienst baut dazu eine Verbindung zum Online-Banking-Service der Bank des Kunden auf und bekommt von diesem dann nach Eingabe des notwendigen TAN-Codes eine positive Rückmeldung.
Wie sicher ist die Sofortüberweisung?
Foto: Uli Ries
Problematisch hierbei ist, dass PIN und TAN durch die Systeme von sofortueberweisung.de wandern. Zwar versichert der Anbieter, die Daten nicht zu speichern und sie auch keinem Mitarbeiter zugänglich zu machen. Dennoch dürfte das Vorgehen gegen die AGB der meisten Online-Banking-Anbieter verstoßen. Diese schreiben vor, dass kein Kunde seine Login-Daten Dritten gegenüber zugänglich macht.
Die Formulierung auf den Seiten von sofortueberweisung.de hinsichtlich der Versicherungssumme im Schadensfall ist missverständlich und soll korrigiert werden. Erleidet ein Nutzer von sofortuerbweisung.de durch eine Datenpanne des Anbieters einen finanziellen Schaden - weil beispielsweise Betrüger per Online-Banking das Konto abräumen - haftet die Payment Network AG in unbegrenzter Höhe. Und nicht nur, wie ursprünglich an dieser Stelle angegeben, bis zu einer Höhe von 5000 Euro. Mit dieser Summe sichert sich lediglich der Anbieter durch eine Versicherung ab.
Nach dem gleichen Prinzip wie sofortueberweisung.de arbeitet dessen großer Konkurrent Giropay. Hinter diesem stecken einige Banken und IT-Dienstleister aus dem Finanzumfeld. Auch bei Giropay genügt ein Online-Banking fähiges Girokonto mit PIN/TAN-Verfahren bei einer der am Verfahren beteiligten Banken wie Postbank, Deutsche Kreditbank oder den Genossenschaftsbanken.
Anders als an dieser Stelle ursprünglich beschrieben, werden auch bei Giropay die Login-Daten des Online-Banking-Kunden nicht direkt zwischen dessen Rechner/Browser und den Servern seiner Bank ausgetauscht. Vielmehr ist - zumindest im Fall von Kunden der Postbank - ein von Giropay beziehungsweise dem Sparkassen-IT-Dienstleister Finanz Informatik GmbH & Co. KG betriebener Server als Mittler dazwischen geschaltet. Für den Kunden ist dies nicht ohne weiteres ersichtlich, da ihn eine Login-Maske im Postbank-Design samt EV (Extended Validation)-Zertifikat der Postbank begrüßt. De facto zeigt die zu https://giropay.postbank.de gehörende IP-Adresse aber auf den IP-Bereich des Sparkassen-Dienstleisters. Von daher nutzen sofortueberweisung.de und Giropay aus technischer Sicht den gleichen Weg zum Übermitteln der Login-Daten.
Giropay geriet kürzlich unter Druck, da das Bundeskartellamt die AGB der beteiligten Banken in einer Stellungnahme für nichtig erklärte, sollten die Geschäftsbedingungen der Banken und Sparkassen bankenunabhängigen Direktüberweisungsverfahren - wie der Payment Network AG, Anbieter von sofortueberweisung.de - den Marktzutritt verwehren. Interessanterweise war die Untersuchung durch das Kartellamt die Folge eines Prozesses, den die giropay GmbH gegen die Payment Network AG anstrengte.
Anders als ursprünglich beschrieben, bietet zumindest sofortueberweisung.de eine Treuhänderfunktion. Bislang nutzen aber nur einige dutzend Händler diesen Dienst. Vorraussetzung für den Käuferschutz ist, dass der Händler ein Konto bei der zur Payment Network AG gehörenden Sofort Bank eröffnet. Auf dieses Konto wird ihm dann nach dem Verstreichen der Rücksendefrist der vom Kunden bezahlte Betrag überwiesen. Giropay bietet keinen solchen Service. Der Kunde muss dem Verkäufer in diesem Fall also hinreichend vertrauen. Denn in der Praxis ist es schwer, eine einmal getätigte Überweisung wieder zurück zu holen, sollte sich der Händler als unseriös oder die Ware als Totalausfall erwiesen haben.
Alle Verfahren bergen Security-Risiken
Mehr als alle anderen Online-Dienste dürften die Bezahlangebote im Visier von Cyber-Kriminellen sein. Denn was ist lukrativer als ein erfolgreicher Bankraub? Wie es um die Sicherheit der einzelnen Anbieter steht, ist schwer zu sagen. Eines ist allen gemeinsam: der Einsatz von SSL (Secure Socket Layer). Wann auch immer sich ein Nutzer beim Zahlungsanbieter anmeldet, passiert das verschlüsselt. Ein Lauschangriff auf die Login-Daten sollte somit ausgeschlossen werden.
Nachdem aber auch SSL keinen vollkommenen Schutz bietet - so sind beispielsweise Man-in-the-Middle-Attacken durchaus realistisch, da viele Anwender eine auftauchende Zertifikatswarnung einfach ignorieren - droht an dieser Front ein klein wenig Gefahr. Der kürzlich mit viel Getöse bekannt gewordene Angriff auf die Zertifizierungsstelle Comodo hat zudem gezeigt, auf welch wackligen Füßen SSL steht.
Deutlich gefährlicheren Angriffen müssen sich die Betreiber von Bezahlsystemen erwehren, die auf PIN- und TAN-Verfahren setzen. Denn die weit verbreitete Malware Zeus und deren Nachfolger SpyEye sind spezialisiert auf das bösartige Manipulieren von Transaktionen, die per TAN gesichert sind. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnte jüngst sogar vor einer Variante, die per SMS verschickte TAN-Codes abfangen kann.
Zeus wird von seinen Machern für alle möglichen Banken und Zahlungsanbieter optimiert, so dass im Prinzip all diese Verfahren bedroht sind. Wobei es zuvor natürlich zu einer Infektion des PCs - im Fall des SMS-Angriffs auch des Smartphones - des Kunden gekommen sein muss. Aktuelle Antivirensoftware hilft, das Risiko zu minimieren.
Wie sicher sind Mastercard, Visa und Postbank?
Um mehr Sicherheit rund um das Bezahlen mit Kreditkarten zu erlangen, haben sich Mastercard und Visa zusammen getan und 3-D Secure entwickelt. Visa nennt die Technik in der Praxis Verified by Visa, Mastercard verwendet den Markennamen MasterCard Secure Code. Damit auch Betreiber von Onlineshops Zugriff auf 3-D Secure bekommen, bieten einige Payment-Service-Provider ihren Onlineshop-Kunden Zugriff auf die Technik, zumeist über ein Plug-in.
Mit Hilfe des Verfahrens identifiziert sich der Karteninhaber bei Online-Transaktionen bei der kartenausgebenden Bank. So soll zuverlässiger vor Kartenmissbrauch geschützt werden, da außer den leicht zu klauenden Kartendaten noch ein Kennwort verlangt wird. Dies passiert nach Eingabe der Kreditkartendaten, wenn das System feststellt, dass die Kreditkarte für 3-D Secure freigeschaltet wurde.
Erst nach Eingabe des zuvor vom Kunden selbst festgelegten Kennworts wird die Transaktion freigeben. Für den Karteninhaber hat das Verfahren aber nicht nur Vorteile: Wird ein Kauf per Kennwort abgesegnet, dürfte sich eine Rückbelastung nur noch schwer durchsetzen lassen. Die Bank wird im Zweifel auf Zahlung des Betrags pochen. Zumal der Händler aufgrund einer erweiterten Haftungsumkehr auch bei Betrugsfällen das Risiko auf die Bank abwälzen kann.
Postbank geht im Web einen eigenen Weg
Die Postbank erspart ihren Kunden - und somit auch sich selbst - das Passwort und will so die Akzeptanz des Verfahrens erhöhen. Die Bank verwendet dazu die
Adaptive Authentifizierungslösung von RSA. Diese berücksichtigt bekannte Betrugsmuster und ermittelt so bei jeder Kreditkartentransaktion das jeweilige Risiko. Stellt das System einen möglichen Betrug fest, muss der Kunde Details zu seiner Identität preisgeben. Laut RSA plant die Postbank, bei Verdachtsfällen durch den Versand einer TAN per SMS (mTAN) für Sicherheit sorgen zu wollen. mTAN wird bereits anstelle der bekannten TAN-Listen beim herkömmlichen Online-Banking der Postbank verwendet.
Bezahlen per Smartphone
Seit Jahren schon erwarten insbesondere die Hersteller von Mobiltelefonen den Durchbruch von M-Commerce oder Mobile Payment. Passiert ist aber nicht sehr viel, zumindest nicht beim klassischen Online-Shopping. Lediglich der Absatz von Smartphone-Apps boomt. Dabei wird aber typischerweise vom Anbieter des App Stores wie Apple, Google oder Blackberry-Macher Research in Motion (RIM) über eine zuvor hinterlegte Kreditkarte abgerechnet.
Trotz seiner Allgegenwärtigkeit und Leistungsfähigkeit konnte sich das Smartphone als Zahlungsmittel nicht durchsetzen. Das M-Payment-Verfahren paybox wurde hierzulande wieder eingestellt. Einen neuen Anlauf in Sachen M-Payment unternehmen die Netzbetreiber O2, T-Mobile und Vodafone mit mpass. Das Verfahren steht allen Handynutzern offen, die Kunden eines deutschen Mobilfunkanbieters und Inhaber eines deutschen Girokontos sind. Transaktionen - beispielsweise beim Einkauf im Netz - werden durch eine SMS-Bestätigung abgesegnet.
Foto: Uli Ries
Wobei M-Payment-Verfahren nicht nur für den Online-Einkauf genutzt werden können. So soll nicht zuletzt durch das Engagement von Google endlich das Bezahlen an Automaten sowie Ladenkassen oder der Kauf von ÖPNV-Tickets per Smartphone möglich werden. Der Hersteller des Android-Betriebssystems hat sich laut Wall Street Journal mit Mastercard und der Citigroup zusammen getan, um Android-Telefone als Zahlungsmittel zu verwenden.
Zum Einsatz kommen soll hierbei der NFC (Near Field Communication)-Chip, der beispielsweise im Nexus S von Google verbaut ist. Mit der NFC-Funktechnik würden die zur Zahlung notwendigen Daten drahtlos zwischen Verkaufsstelle und Smartphone ausgetauscht. Und auch Microsoft will laut businessweek.com aufs gleiche Pferd setzen: Die Redmonder wollen noch in diesem Jahr NFC-fähige Geräte auf Basis von Windows Phone 7 präsentieren. (hal)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.