Zahlung mit Tücken

Inhaltsverzeichnis

Die Einführung des Secoder-Standards für Chipkartenleser vor gut einem Jahr machte endlich den Weg frei, um das lang gereifte System auch mit preiswerten Geräten nutzen zu können. Mein Selbstversuch für den anstehenden c't-Artikel begann mit einer reibungslosen Installation der Windows-XP-Treiber für den Kartenleser KAAN Trib@nk von Kobil. Ich befüllte darüber die noch leere Karte online mit 100 Euro.

Dann wählte ich aus der kurzen Liste von Online-Shops, bei denen man mit Geldkarte bezahlen kann, Computeruniverse.net aus, legte dort eine USB-Festplatte für 82,90 Euro in den Warenkorb und klickte mich zur Kasse durch. Nachdem ich den misstrauischen Internet Explorer überzeugt hatte, ein Popup zu öffnen und ein Applet zu starten, griff dieses auf den Kartenleser zu. Auf dessen Display stand "GK Zahlung 88,40 €" (inkl. Versandkosten) und er wartete auf meine Bestätigung per Tastendruck.

Die Online-Zahlung mit der Geldkarte ist ein seltenes Erlebnis das ich in einem Foto festhalten wollte. Bis ich damit fertig war, meldete das Lesegerät "Abbruch, ok". Ganz anders stellte sich der Vorgang auf dem Monitor dar: Das Applet bedankte sich für die Bezahlung und auch im Shop stand, dass die Zahlung erfolgt sei.

Zunächst vermutete ich, dass die Karte ohne mein Zutun belastet worden sei, doch die 100 Euro waren noch da. Ich wiederholte den Einkauf und bestätigte diesmal die Zahlung. Kurz darauf bekam ich die Bestätigung über zwei Einkäufe und zwei Tage später erhielt ich ein Paket, mit zwei USB-Platten: einer bezahlten und einer kostenlosen.

Hintergründe

Der Shop-Betreiber, die Firma fun communications, die das Applet programmiert hat, und der Zahlungsdienstleister Computop Wirtschaftsinformatik suchten den Fehler und fanden ihn auf einem Server bei Computop, der Händlerkarten verwaltet. Das Internet-Händlersystem fun SmartLine besteht aus dem Applet auf dem Kunden-PC und diesem SAM-Server (Security Access Module). Der Fehler bewirkte, dass das Applet zwar den Abbruchcode durchreichte und die Karte nicht belastete, der SAM-Server die Zahlung aber als geleistet verarbeitete und dies auch an die Shop-Software beim Händler meldete.

Johannes Feulner von fun communications erklärte gegenüber heise online, dass die tiefere Ursache auf eine Änderung in der Secoder-Spezifikation zurückgehe. fun habe bereits vor der endgültigen Verabschiedung der Spezifikation durch den ZKA mit Prototypen verschiedener Hersteller von Chipkartenlesern die Software entwickelt. Der in diesem Stand enthaltene Fehler sei in einem späteren Update behoben worden. Ralf Gladis von Computop räumte ein, dass man dieses Update zwar installiert, aber den Dienst nicht neu gestartet habe. Dies wurde inzwischen nachgeholt.

Dass dieser Fehler offensichtlich über längere Zeit unentdeckt blieb, zeigt eindrücklich, wie wenig die Geldkarte bislang als Online-Zahlungsmittel genutzt wird. So berichtet Ralf Gladis, dass bei Computop nur 6.000 von jährlich rund 25 Mio. Zahlungstransaktionen über die GeldKarte ablaufen. Dabei hat das System etliche Vorteile: Es bietet hohe Sicherheit vor Missbrauch, es eignet sich universell für Zahlungen zwischen 1 Cent und 200 Euro, viele Geldkarten haben ein integriertes Jugendschutzmerkmal und die Kosten für die Händler sind geringer als bei den meisten anderen Zahlverfahren. Nur das Feature "zwei zum Preis von einem" wurde nun leider abgestellt.