Tipps für sichere Online-Transaktionen

Trevor Ginn ist ein Veteran des Online-Business. Er hat in verschiedenen Online-Unternehmen gearbeitet und auch selbst welche besessen. Er schreibt seine Artikel auf trevorginn.com, hat eine E-Commerce Beratungsfirma (Vendlab) und findet zusätzlich noch die Zeit für seine eigene E-Commerce-Seite Hello Baby. Da er Anfang des Jahres selbst einem Kreditkartenschwindel aufgesessen ist, hat er sich einige Zeit mit dem Schwindel bei Bezahlsystemen befasst und seine Ergebnisse auf Tamebay mitgeteilt.

Kreditkartensicherheit
Karten-Zahlungen, entweder direkt oder über eWallet- Services wie PayPal, bestimmen die Mehrzahl der Bezahlungen im Internet. Verbraucher werden gut gegen Betrügereien beschützt, Händler genießen dasselbe Niveau des Schutzes nicht und müssen vorsichtig sein, beim Akzeptieren von Online-Zahlungen. Über eine Karte getätigte Internet-Zahlung kann durch den Inhaber storniert werden, und das noch bis zu 6 Monate nach dem Verkauf. Gerade im Online-Handel hat der Verkäufer meist kaum eine Chance gegen den Widerruf etwas zu unternehmen, da keine schriftlichen Verträge vorliegen und auch keine tatsächliche Prüfung möglich ist

Wer trägt das Risiko?
Natürlich setzt man bei einer Transaktion voraus, dass das Geld, das auf dem Konto ankommt, rechtmäßig überwiesen wurde. Trotzdem, für jede Online-Transaktion, bei der der 3D Sicherheitstest (3DS) nicht stattgefunden hat, besteht immer eine Gefahr. Also trägt der Händler das vollumfängliche Risiko beim Kreditkartenbetrug. Obwohl eine vorherige Autorisierung ohne Probleme erfolgte, wird das Geld im Betrugsfalle vom Händler zurückgefordert. Dies deshalb, da die Autorisierung lediglich untersucht, ob die angegebene Kartennummer gültig und gedeckt ist. Nicht jedoch, ob die Identität mit dem Karteninhaber übereinstimmt. Begründet wird dies mit dem Datenschutz. Um die Gefahren mit jeder Transaktion zu minimieren, sollten Händler die verfügbaren Sicherheitskontrollen und andere Faktoren, die verwendet werden können verstehen und nutzen, um schwarze Schafe auszusortieren.

Kartensicherheits-Checks
Die wenigsten Kreditkarten-Firmen machen sich die Mühe ihre Kunden in die besten Sicherheits-Maßnahmen einzuführen, sodass diese sich ihre eigenen Sicherheits-Regeln schaffen müssen. So kann man z.B. bei preiswerten Artikeln die Schwelle der Sicherheits-Maßnahmen niedrig ansetzten, da hier Betrügereien unwahrscheinlicher sind, oder man ist bereit diese dann zu tragen. Umgekehrt ist der Fall, wenn man begehrenswerte Artikel im Angebot hat, dann sollten die Regeln strenger sein.

3D Sicherheit (3DS) auch bekannt als „Verified by Visa oder Mastercard SecureCode“
Wenn man online einen Artikel einkauft, wird man zu einer Checkout-Seite geleitet, auf der man seine persönlichen Daten angeben muss. Die Bezahlung wird dann an ein Payment Gateway weitergeleitet, welches das Risiko ermittelt und den Wahrheitsnachweis vornimmt. Bei einem positiven Resultat wird die Bezahlung bestätigt und bei der Bank des Händlers erfasst. Über Nacht leitet die Bank des Verkäufers die Zahlungsaufforderung an die Bank des Karteninhabers weiter, und die Transaktion ist abgeschlossen. Der größte Vorteil dieses Systems liegt darin, dass der Händler praktisch indirekt über den Karteneigentümer versichert ist, da die Bank die Haftung übernimmt. Dennoch sind Stornierungen trotz allem möglich, nämlich dann, wenn der Empfänger der Lieferung den Erhalt dieser bestreitet.

Adressverifikations-Service (AVS)
Hier werden z.B. die numerischen Adress-Angaben des Karteninhabers, wie Postleitzahl, Hausnummer oder ähnliches beim Checkout überprüft.

Kartenprüfnummer (KPN)
Diese ist ein Sicherheitsmerkmal in Form von 3 Zahlen auf der Rückseite der Kreditkarte (bei Visa und Mastercard) oder 4 Zahlen auf der Vorderseite bei American Express. Das aktuell gebräuchliche Format heißt CVC2 (Card Validation Code). Es handelt sich dabei um eine Zahlenkombination, die zusätzlich zur Kreditkartennummer auf der Kreditkarte aufgedruckt (nicht geprägt) ist, wodurch die Prüfnummer nicht maschinell lesbar ist. Sie kann einzig und allein vom ausgebenden Kreditinstitut verifiziert werden, da es keinen mathematischen Zusammenhang zur Kartennummer gibt. Die KPN darf nach den Richtlinien der Kartenunternehmen nur abgefragt, aber nie gespeichert oder verarbeitet (beispielsweise auf eine Quittung/Rechnung gedruckt) werden. Dies soll sicherstellen, dass die KPN bei jeder Transaktion erneut abgefragt werden muss. Bei Online-Transaktionen ist es heute üblich, zur Authentifizierung des Karteninhabers die Anschrift (Address Verification System) und/oder die Kartenprüfnummer während der Registrierung der Zahlungseinzelheiten abzufragen, obwohl dies letztlich eine Verarbeitung bzw. Speicherung darstellen kann. Betrüger könnten durch unsichere Übermittlung oder unerlaubte Speicherung Zugang zu den Authentifizierungsinfos erhalten und die Sicherheitsmerkmale damit wertlos machen.

Betrugs-Überprüfung
Mit ein wenig Erfahrung kann man ein Gefühl dafür bekommen, ob eine Transaktion ein Risiko darstellt oder nicht. Wenn allerdings die Handelsaktivitäten ein gewisses Volumen überschreiten, dann ist es nicht mehr möglich, jeden Einkauf individuell zu überprüfen. Sogenannte Betrugs-Prüfungsservices, wie beispielsweise Third Man, analysieren jede Transaktion indem sie Namen, Adressen, Kartennummern, etc. kontrollieren und dann einen Risiko-Score für die Transaktion aufstellen. Manche Bezahldienste, wie SagePay, haben einen integrierten Betrugs-Überwachungsservice. Achten sollte man auch auf folgende Faktoren, die auf einen Betrug schließen lassen könnten:

• Nutzen von freien E-Mail-Adressen ohne Bezug zum angegebenen Namen
• Unvollständige Kontaktdaten
• Bestellungen, die ungewöhnlich groß sind oder merkwürdige Artikel-Kombinationen enthalten
• Rechnungs- und Lieferadresse weichen voneinander ab. Besonders wachsam sein, wenn die Lieferung an eine Hoteladresse oder ähnliches geschickt werden soll
• Vorsicht ist ebenso geboten bei Kunden, die darauf beharren eine Paketverfolgungsnummer zu erhalten, denn sie könnten die Lieferung abfangen.

Sicherheitsmaßnahmen bekannter Online-Bezahldienste

• PayPal bietet den Händlerschutz nur dann, wenn an verifizierte Adressen ausgeliefert wurde. Adressverifikation und Kartenprüfnummer werden kontrolliert; 3DS wird nicht unterstützt durch PayPal. Zusätzliche Betrugs-Prüfungsservices werden ebenfalls nicht angeboten.
• Google Checkout bietet den Händlern KPN- und Adressüberprüfung an. Wie PayPal hat es keinen 3D-Sicherheitscheck. Bietet jedoch einen eigenen Stornierungsschutz für in Frage kommende Transaktionen.
• SagePay bietet seinen Händlern Adressverifikation, 3DS und Kartenprüfnummerncheck. Zudem gibt es in Zusammenarbeit mit Third Man einen Risiko-Score für jede Transaktion.