s

Einkaufen im Internet ist bequem, praktisch und geht schnell – aber ist es auch sicher? Vor allem der Bezahl-Vorgang bereitet Händlern, Banken und Käufern immer wieder Kopfzerbrechen, weil dabei sensible Daten durchs Netz wandern, die von Dritten abgefangen werden könnten. Schon seit geraumer Zeit haben die Kreditkarten-Firmen daher Verfahren entwickelt, die das Bezahlen im Netz sicher und transparent machen sollen.

So läuft's bisher

Wer seine Kreditkarte zum Bezahlen im Internet einsetzen will, der muss im Laufe des Bezahlvorgangs mindestens zwei Daten parat haben: Die Kartennummer und das Ablaufdatum (z. B. 06/14). Beides lässt sich in Klarschrift auf der Vorderseite ablesen. Auch der Name des Inhabers wird häufig abgefragt. Um das Bezahlen sicherer zu machen, wurde vor einiger Zeit der dreistellige „Card Verification Value Code“ (CVV) eingeführt. Diese Zahl findet man auf der Rückseite der Karte neben dem Feld mit der Unterschrift. So sollte sichergestellt werden, dass der Käufer die Karte auch tatsächlich in der Hand hält. Viele Internet-Händler verzichteten jedoch auf die Abfrage dieser zusätzlichen Zahl. Außerdem kann der gesamte Datensatz theoretisch auch bei der Übertragung per Internet abgefangen und missbräuchlich zum Bezahlen eingesetzt werden. Das ist in der Vergangenheit bereits mehrfach passiert.

Bank mit im Boot

Damit das Bezahlen sicherer wird, haben die Kreditkarten-Unternehmen wie Visa und MasterCard in Zusammenarbeit mit den Banken daher vor einiger Zeit eine zusätzliche Abfrage von Daten eingeführt, die nicht auf der Karte stehen. „Secure Code“ (MasterCard) und „Verified by Visa“ heißen diese Verfahren. Dabei wird ein zusätzliches Passwort bei der Bank hinterlegt. Kauft man in einem Internet-Shop ein und will bezahlen, wird man kurzzeitig auf die Website seiner Bank umgeleitet und muss dort das geheime Passwort eingeben. Die Bank prüft und gibt dem Shop die Zahlung frei.

Hacker immer einen Schritt voraus

Auch wenn dieses Verfahren recht sicher klingt gelang es Hackern doch, die geheimen Passwörter auszuspähen. Sie imitierten dazu die Seite der Bank und fischten die Passwörter der ahnungslosen Bankkunden ab. Ärgerlich: Viele Banken lehnten es ab, die Haftung zu übernehmen. Die Nutzer seien zu sorglos mit ihren Daten umgegangen, so die Argumentation. Verbraucherschützer schlugen daraufhin Alarm. Die Banken lenkten ein und nun ist klar, dass die Kunden bei der Nutzung des „Secure-Code“- bzw. „Verified-by-Visa“-Verfahrens nicht zahlen müssen, wenn ihre Daten missbräuchlich benutzt und ihnen selbst kein Verschulden nachzuweisen ist.

Noch ein wenig sicherer

Seit einiger Zeit sind Banken und Kreditkarten-Unternehmen dabei, die „Secure-Code“- bzw. „Verified-by-Visa“-Prozedur zu verändern, um Hackern das Leben ein wenig schwerer zu machen. Dabei kommt als zusätzliche Komponente das Handy ins Spiel. Wie man das vom Überweisen per Online-Banking her bereits kennt, wird dabei eine geheime TAN („TransAktionsNummer“) per SMS an die vorher bekannt gegebene Mobilfunk-Nummer verschickt. Dazu muss man sich vorher bei seiner Bank registriert haben. Das dauert etwa zehn Tage, weil ein Aktivierungscode per Post verschickt wird. Ist man einmal registriert, kann man zukünftig schneller und sicherer mit der Kreditkarte bezahlen. So läuft dann das Ganze ab:

•    Einkauf bei einem Händler im Internet
•    Bezahlvorgang auf der Seite des Internet-Händlers
•    Weiterleitung auf die Seite der Bank
•    Bank verschickt SMS mit der TAN
•    Eingabe der TAN auf der Seite der Bank
•    Genehmigung der Zahlung durch die Bank
•    Rückführung zum Internet-Händler
•    Kauf wird abgeschlossen

Der große Vorteil: Die geheimen TAN-Daten der Bank erfährt der Internet-Händler nicht. Er bekommt von der Bank lediglich das Signal, dass die Zahlung genehmigt ist.

Lauschangriff per Funk - Neue Kreditkarten können berührungslos ausgelesen werden [LEONARDO vom 05.06.2012]

Infos zu „Secure Code“ von MasterCard

Infos zu „Verified by Visa“

Einkaufen im Internet – Informationen vom „Bundesamt für Sicherheit in der Informationstechnik“ (BSI)

Wer haftet bei missbräuchlicher Verwendung der Kreditkarte im Netz? Infos der „Stiftung Warentest“