37758

Sicherheit und Risiken

20.08.2009 | 10:01 Uhr |

Natürlich bieten Online-Bezahlsysteme auch Angriffsmöglichkeiten für kriminelle Zeitgenossen, immer wieder hört man von Fällen des Missbrauchs. Kein Online-Bezahldienst kann absolute Sicherheit garantieren - aber die Dienste unterscheiden sich durchaus. Wenn Händler den Sicherheitsaspekt bedenken und durch die Zusammenarbeit mit seriösen Online-Bezahldiensten ausreichend berücksichtigen, dann können sie dadurch zusätzliche Kunden gewinnen. Im Folgenden erfahren Sie, welche Risiken beim Bezahlen im Internet auf Kunden zukommen können. Kunden als Nutzer von Bezahldiensten müssen die folgenden grundlegenden Punkte beachten:

  • Anmeldedaten sicher verwahren und vor dem Zugriff durch Dritte schützen.

  • Ein sicheres Passwort verwenden (Groß- und Kleinschreibung, sowie Zahlen und Sonderzeichen).

  • Das Passwort für keinen anderen Dienst (etwa einen Mail-Account) verwenden.

  • DasPasswort sollte regelmäßig geändert werden.

Grundvoraussetzung ist natürlich auch, dass der PC des Kunden frei von Schadsoftware wie Trojanischen Pferden oder Viren ist, also generell auf die Sicherheit des für Bezahlvorgänge benutzten Computers geachtet wird. Dazu sollten stets ein aktuell gehaltenes Antiviren-Programm und eine Firewall installiert sein und auch sämtliche Aktualisierungen für das verwendete Betriebssystem oder sonstige Software (wie zum Beispiel Browser) immer zeitnah bezogen werden. Diesbezügliche Hinweise für Kunden auf der eigenen Internetseite zu platzieren, kann den Mißbrauch von Bezahldiensten einschränken.

Herkömmliche Bezahlmethoden

Herkömmliche Bezahlmethoden sind ursprünglich nicht für den Internetbereich gedacht und deshalb oft besonders anfällig. Bei der Bezahlung per Kreditkarte legt der Kunde zum Beispiel seine Kreditkartendaten offen. Hier sind die Sicherheit und das Vertrauen in den Online-Händler sehr wichtig. Bezahldienste bieten hier den Vorteil, dass die Daten nur einmalig angegeben werden müssen.

Buchungen regelmäßig überprüfen

Kunden sollten regelmäßig und sorgfältig Ihre Kontoauszüge bzw. die Abrechnungen von den Bezahldiensten oder Ihrer Kreditkarte überprüfen. Wenn Unregelmäßigkeiten auffallen, dann sollte sofort die jeweilige Bank oder der entsprechenden Dienstanbieter kontaktiert werden.

Referenzlisten

In unseriösen Shops könnte unter Umständen eine Bezahlmethode nur scheinbar angeboten werden, um an die Daten des Kunden zu gelangen. Die Überprüfung, ob der jeweilige Anbieter in der Referenzliste des Bezahldienstes aufgeführt ist und ob die Adresse des Shops auch stimmt, kann hier Abhilfe schaffen. Idealerweise sollten Online-Bezahldienste deshalb alle Händler in offen einsehbaren Listen führen.

Phishing

Eine der häufigsten Methode von Betrügern, um an sensible Zugangs-, Konto- oder Kreditkartendaten zu gelangen, ist das sogenannte Phishing. Dabei versuchen Dritte die Daten des Bezahlenden zu erlangen, um nicht legitimierte Transaktionen zu veranlassen. Oft erfolgen solche Missbrauchsversuche durch das massenweise Versenden von Mails, die Links zu gefälschten Internetseiten enthalten. Der Schutz durch Transaktionsnummern (TANs) ist nur dann wirkungsvoll, wenn der Angreifer sie nicht kennt. Deshalb werden solche TANs von Betrügern auf gefälschten Websites abgefragt. iTANs nennt man solche TANs, die indiziert (nummeriert) sind. Das heißt, dass das Erbeuten einzelner TANs dem Angreifer keine bzw. nur sehr geringe Möglichkeiten für nicht autorisierte Transaktionen gibt, weil die TANs in zufälliger Reihenfolge abgefragt werden. Bei Online-Bezahldiensten, die eine direkte Weiterleitung zur Bank des Kunden nutzen (Beispiel giropay), ist der Schutz durch solche TANs oder iTANs nur so gegeben, als würde eine direkte Online-Überweisung getätigt werden. Achtung: Es bleibt Aufgabe des Kunden, sicherzustellen, dass eine Weiterleitung auf die richtige Bank-Seite erfolgt.

Durch Man-In-The-Middle-Angriffe ist auch bei der Vewendung von TANs ein Angriff durchführbar. Dabei wird der Datenverkehr zwischen zwei Computern durch einen Dritten direkt eingesehen bzw. manipuliert. Eine Variante der TAN nennt sich mTAN (mobile TAN). Dabei wird auf einen zusätzlichen Übertragungsweg gesetzt, das Handy. Über dieses erhalten die Kunden per SMS eine TAN, die ausschließlich für den aktuellen Vorgang verwendbar ist. Zur Verhinderung von Man-In-The-Middle-Angriffen enthält sie Informationen zur ausgelösten Transaktion - wodurch eine Manipulation erkannt werden kann.

Verschlüsselung und direkte Eingabe der Internetadressen

Bei Bezahlvorgängen im Internet sollte auf eine verschlüsselte Übertragung der Daten (SSL-Verschlüsselung) geachtet werden. Erkennbar sind diese Verfahren in der Statusleiste des Browsers. Internetseiten mit gesicherten Verbindungen beginnen mit „https://www.....“. Gerade durch solche Sicherheitseinrichtungen kann verhindert werden, dass Kunden Opfer einer gefälschten Internetseite werden, über die Daten ausgespäht werden sollen. Die direkte Eingabe einer Internetadresse kann hier auch helfen, denn in Phishing-E-Mails enthaltene Links führen meistens zu anderen Webseiten, was für Kunden nicht unmittelbar erkennbar ist. Heutige Browser zeigen den Sicherheitsstatus einer Website durch farbliche Markierungen in der Adresszeile - darauf sollte immer geachtet werden.

Security-Token

Hohe Sicherheit kann durch die Identifizierung und Authentifizierung von Benutzern durch Hardwarekomponenten erreicht werden. Solche Verfahren sind bei Online-Bezahldiensten jedoch noch nicht weit verbreitet. Beispielsweise PayPal bietet aber eine Sicherheitsfunktionen in diesem Bereich an: Der Nutzer kann sich einen Sicherheitsschlüssel (ein kleines Gerät, das man bei sich tragen kann) für eine Gebühr von 4.95 Euro bestellen. Dieses Gerät generiert dann für jeden Login per Knopfdruck einen sechsstelligen Zahlencode. Daneben können PayPal-Kunden auch die kostenlose SMS-Sicherheitsfunktion benutzen, indem Sie einfach Ihre Handynummer im Account registrieren und darüber direkt Codes für eine Transaktion erhalten.

Die Zusammenarbeit mit renommierten Partnern bietet auch kleinen Shops die Möglichkeit, Sicherheitsbedenken bei Kunden (ähnlich wie bei dem Vorhandensein von Online-Gütesiegeln). Bekannte und sichere Online-Bezahldienste können also ein wesentlicher Faktor für den Erfolg eines Internethändlers sein.

PC-WELT Marktplatz

37758