Online-Bezahlung per EC-Karte

Wenn es nach dem Zahlungsdienstleister MasterCard geht, lassen sich Kontokarten im Netz demnächst wie Visa & Co, nutzen.

Wer im Netz einkauft, benutzt dazu in Deutschland vor allem seine Kreditkartennummer oder das gute, alte Lastschriftverfahren, bei dem nach Eingabe der Kontodaten zeitnah abgebucht wird. Wenn es nach dem MasterCard-Konzern geht, wird demnächst ein weiteres Verfahren hinzukommen: das Bezahlen mittels EC-Karte.

Dazu hat das Zahlungsunternehmen sein Maestro-System aufgebohrt, das in den meisten Ländern der Erde schon jetzt per Geheimnummer und Karte ("Chip & PIN") Zugriff auf das Bankkonto erlaubt. Zentrales Instrument bei dem neuen MasterCard-Verfahren ist die Kartennummer, wie es die Kunden bereits von der Online-Zahlung per Kreditkarte kennen. Diese tippt man während des Zahlungsvorganges beim Online-Händler ein, der diese dann verifiziert. Der Betrag wird anschließend direkt vom Konto eingezogen; vorab lässt sich Guthaben oder vorhandener Dispo abprüfen, damit der Einkauf auch gedeckt ist.

MasterCard will das Standardproblem bei Kreditkartenzahlungen im Netz möglichst vermeiden: den Einkauf mit geklauten Kartennummern. Um die Transaktion abzusichern, wurde deshalb eine zusätzliche Sicherheitsebene eingezogen: Maestro verlangt neben der Kartennummer ein zusätzliches Merkmal namens "SecureCode". Dabei handelt es sich um ein Passwort, das der Kunde zuvor bei seiner Bank festlegen muss und das frei gewählt werden kann.

Die Technik wird bereits seit längerem in Großbritannien eingesetzt, wo Maestro neben Visa & Co. bereits eine Standardzahlungsform bei Netztransaktionen darstellt. Nun will MasterCard auch deutsche Händler von der Nutzung überzeugen und rechnet mit einer Einführung noch im ersten Halbjahr 2010. "Die können dann eine weitere Zahlungsform anbieten und erhöhen ihre Chancen, dass eine Transaktion abgeschlossen wird", meint MasterCard-Sprecher Thorsten Klein. Häufig scheiterten Online-Shoppingtouren, weil ein Anbieter nicht das von den Kunden gewünschte Zahlungsmittel der Kunden vorhalte. Den Händlern will man die Technik durch mehr Sicherheit und weniger Rückbuchungen schmackhaft machen.

Das SecureCode-Verfahren, das unter dem Markennamen "Verified by Visa" auch vom MasterCard-Konkurrenten eingesetzt wird und eigentlich 3-D Secure heißt, hat allerdings nicht nur Freunde. So legten die Sicherheitsforscher Steven J. Murdoch und Ross Anderson von der Uni Cambridge auf der "Financial Cryptography and Data Security"-Konferenz im Januar eine Studie vor, in der sie zeigten, dass es Schwächen bei der Bedienung und damit auch der Sicherheit gibt.

So wisse der Kunde nicht, wer ihn nach dem Passwort frage, weil die Authentifizierung in ein so genanntes iFrame verlegt werde, das direkt in die Shopping-Website eingebaut wird. iFrames sind Bereiche einer Web-Seite, die von einem anderen Server nachgeladen werden, ohne dass das der Nutzer leicht überprüfen kann. Ein Check, von wem die Abfrage kommt, ist über die im Browser angegebene Internet-Adresse so nicht möglich. Dies öffne Phishing-Versuchen Tür und Tor, bei denen Kriminelle versuchen, das Passwort abzugreifen, so Murdoch und Anderson. "Die sicherste Variante wäre, wenn mit einer Transaktions-Authentifizierung gearbeitet würde", meint Murdoch, "dabei sieht der Kunde auf einem vertrauenswürdigen Kanal den Einkauf und kann ihn dort bestätigen". Vorstellbar wäre beispielsweise ein Einmalcode, der pro Einkauf per SMS ausgeliefert wird.

Bei MasterCard sieht man zwar das potenzielle Problem mit dem iFrame, hält die Variante mit statischem Passwort aber bereits jetzt für einen "guten Schutz vor missbräuchlichen Kreditkartentransaktionen". Zwar sei eine Transaktions-Authentifizierung grundsätzlich zu bevorzugen und werde inzwischen auch entsprechend Banken angeboten, doch die Gefahr eventueller Phishing-Attacken gelte nicht spezifisch für SecureCode, sondern auch für alle anderen Passwort-basierten Verfahren wie etwa PINs im Online-Banking. "Im Vergleich zu der Situation ohne SecureCode bedeutet der zusätzliche Schutz mit einem Passwort einen erheblichen Sicherheitszuwachs", so MasterCard.

Aus Kundensicht könnten SecureCode und Co. allerdings bedeuten, dass sie bei eventuellen Missbräuchen Nachteile haben. Die Hamburger Verbraucherzentrale kritisierte kürzlich, dass die zusätzliche Sicherung die Beweislast aufseiten der Kunden verlagern könne. "Der muss dann nachweisen, dass er sein Codewort nicht grob fahrlässig aufbewahrt hat. Und das ist schwierig", meinte Leiterin Edda Costello gegenüber dem Berliner "Tagesspiegel". Wie diese Haftungsfrage tatsächlich geregelt wird, entscheidet jedoch jeweils die ausgebende Bank – ein Blick ins Kleingedruckte ist deshalb angeraten. (bsc)