unsicher

Online-Bezahlverfahren bieten keinen kompletten Schutz

So ist es um die Sicherheit von Online-Bezahlsystemen bestellt
Von Daniela Eckstein

Sehr kritisch sehen Verbraucherschützer wie Frank-Christian Pauli vom Bundesverband der Verbraucherzentralen (vzbv [Link entfernt] ) das Verfahren, das Sofortüberweisung.de einsetzt. Hier gibt der Nutzer auf der Website des Zahlungsdiensts seine PIN ein. Nur die TAN tippt er nach Angaben des Unternehmens ins Online-Banking-Formular der Bank. Pauli: "Das ist haftungsrechtlich für den Verbraucher gefährlich, denn laut Geschäftsbedingungen für Online-Banking darf er Zugangsdaten und Transaktionsnummern nicht weitergeben. Über die PIN ermöglicht er außerdem die Einsichtnahme in das Konto." Payment-Network-Vorstand Jens Lütcke beteuert dagegen, dass "PINs und TANS zu keinem Zeitpunkt für Händler, Mitarbeiter oder dritte Personen sichtbar, zugänglich oder speicherbar" seien. Auch sei es noch zu keinem PIN- oder TAN-Diebstahl bei seinem Bezahlverfahren gekommen. Im Unterschied zu Sofortüberweisung.de wird der Nutzer bei Giropay direkt auf eine Seite seines Online-Banking-Anbieters geleitet, was Fachleute weniger problematisch sehen.

Schutz vor betrügerischen Händlern darf der Käufer allerdings nicht erwarten. Im Gegenteil: Der Kunde lädt entweder schon vor dem Kauf ein Konto auf oder setzt die Bezahlung bereits in dem Moment in Gang, in dem er sich für den Kauf entscheidet. Was für den Verkäufer gut ist, hat für den Kunden einen gravierenden Nachteil: Stimmt etwas mit der Leistung oder Lieferung nicht oder bleibt der Händler die Erstattung nach einem Widerruf schuldig, muss er sich mit dem Händler auseinander setzen und kann den Zahlungsvorgang nicht mehr revidieren.

Kein Rechtsanspruch auf Rückzahlung gegenüber Bezahldienst im Konfliktfall

Statistik: Internet-Shopping Einkäufe über das Internet
Grafik: Statistisches Bundesamt ClickandBuy vermittelt zwar im Konfliktfall zwischen Händlern und Käufern. "Einen Rechtsanspruch auf Rückzahlung gegenüber unserem Bezahldienst hat der Käufer generell nicht", sagt Unternehmenssprecher Andreas Horst. Bei Paypal gibt es ein "Käuferschutzmodell": Wird die Ware nicht geliefert oder entspricht sie nicht der Beschreibung, erhält der Kunde den vollen Kaufpreis und die Versandkosten zurück. Allerdings gibt es gewichtige Einschränkungen: Der Schutz gilt nur bei Käufen via eBay. Und es muss sich um Gegenstände handeln, die per Post verschickt werden können, nicht um Dienstleistungen, Fahrzeuge - und auch nicht um digitale Produkte wie E-Books. Außerdem muss der Kunde ein Gutachten einreichen, mit dem er den Mangel beweist.

Giropay und Sofortüberweisung.de mischen sich überhaupt nicht in die Beziehung zwischen Käufer und Händler ein. Im Gegenteil: Verbraucherschützer Frank-Christian Pauli warnt ausdrücklich, dass mit diesen Verfahren regelrechte Überweisungen vorgenommen werden: "Die Zahlung ist dann vom Käufer veranlasst und lässt sich nicht rückgängig machen." Echte Treuhandmodelle wie iclear [Link entfernt] , bei denen der Kaufbetrag auf einem Zwischenkonto geparkt wird und erst nach Lieferung der Ware vom Kunden freigegeben wird, sind bisher kaum verbreitet.

Phishing-Risiko bleibt

Gegen Hackerangriffe sichern die Anbieter ihre Websites ab, so gut es geht. So läuft bei allen vier Anbietern der Datentransfer SSL-verschlüsselt. ClickandBuy-Kunden geben zum Beispiel ihre Anmeldedaten stets auf der Website des Bezahlanbieters an - und das wird durch die Schutztechnologie von McAfee fortlaufend gegen 3 000 verschiedene Angriffsarten abgeschirmt. "Es ist so gut wie ausgeschlossen, dass die Anmeldedaten von unserer Website gefischt werden", sagt Andreas Horst. Zudem stellt das Unternehmen hohe Anforderungen an sichere Passwörter und schreitet schnell ein, wenn mehrfach versucht wird, sich mit falschem Passwort anzumelden.

Paypal bieten den Kunden an, einen "Sicherheitschlüssel" zu nutzen, ein zusätzlich zum Passwort jedes Mal neu erzeugter sechsstelliger Zahlencode, den der Kunde aufs Handy geschickt bekommt und dann eingibt. Alternativ kann er eine selbst festgelegte Sicherheitsfrage beantworten. Anstelle der SMS-Variante erhält er für 4,95 Euro eine Karte, auf der Codes per Knopfdruck erzeugt werden können. Auch Paypal gesteht ein: "Trotz aller Sicherheitsmaßnahmen kann es vorkommen, dass sich jemand in Ihr Paypal-Konto hackt." Handelt es sich um einen "unberechtigten Zugriff", verspricht das Unternehmen den vollen Verlust zu übernehmen. Das allerdings muss der Kunde dem Unternehmen glaubhaft machen.

Bei Giropay und Sofortüberweisung.de hängt die Sicherheit des Kunden vom Standard des Kreditinstituts ab, bei dem er sein Konto hat: die sicheren mTans, die einzeln zum Handy gesendet werden und nur kurze Zeit gelten, sind nicht bei allen Instituten verfügbar. Hinzu kommen zusätzliche Schnittstellen, die neue Angriffsflächen für Hacker bieten - etwa, wenn bei Giropay der Kunde von der Händler- zur Bankwebsite wechselt. Eine gute Alternative zu den neuen Bezahlverfahren stellt - so Sicherheitsexperte Malte Krüger - nach wie vor die Kreditkarte dar: "Sie bieten einen recht hohen Schutz. Im Betrugsfall erhalten die Kunden hier unkompliziert ihr Geld zurück."

Neue Rechtslage

Mit Spannung erwartet Verbraucherschützer Pauli, wie sich die Ende Oktober in Kraft getretene Zahlungsdiensterichtlinie der EU Rechtsprechung und Sicherheit bei Internetbezahlungen beeinflussen wird. Der Gesetzgeber gehe dabei dreistufig vor: "Grundsätzlich ist der Kontobesitzer vor Missbrauch geschützt, wenn jemand unbefugt Zahlungen von seinem Konto vorgenommen hat, ohne dass ihn eine Mitschuld trägt. Hat er dagegen seine Zugangsdaten unsachgemäß aufbewahrt, gilt eine Mithaftung in Höhe von bis zu 150 Euro. Wer sich sogar grob fahrlässig verhalten hat, muss für den Schaden sogar voll haften."

vorherige Seite:
Wenig Zusatzschutz durch Online-Bezahlverfahren

Artikel zum Datenschutz im Internet