Sichere Bezahlverfahren im Internet

vorherige Pressemeldung

Sichere Bezahlverfahren im Internet

Frankfurt,  20. Januar 2003

Die Erfahrungen der letzten Jahre haben gezeigt: Sichere Bezahlverfahren im Internet können nur dann Betrugsrisiken minimieren, wenn sie von Online-Händlern und Konsumenten aktiv genutzt werden. Dazu müssen diese allerdings von ihrer Sicherheit überzeugt sein. Wird die Bedeutung des Faktors Akzeptanz unterschätzt, bleibt die erforderliche Marktpenetration aus, was das bisherige Scheitern mancher durchaus als sicher einzustufender Systeme erklärt.

 

Künftige Lösungsansätze sollten daher die Interessen aller am Bezahlvorgang im Internet Beteiligten - Kunden, Internet- und Payment-Provider, Banken, Kreditkartenorganisationen, Kreditkartenakzeptanzstellen und Internethändler - weitgehend berücksichtigen. Das Thema Sicherheit steht dabei als gemeinsames Interesse aller Beteiligten nach wie vor ganz vorn.

 

Anforderungen an ein Bezahlsystem aus Kundensicht
Mittlerweile beim Bezahlen am Point of Sale an den Gebrauch von Debit- und Kreditkarten gewöhnt, nutzen Karteninhaber Zahlungskarten jetzt auch verstärkt im Internet. Wichtig für sie ist dabei das Gefühl der Sicherheit beim Bezahlvorgang. Gleichzeitig soll das Bezahlen aber möglichst auch bequem, standardisiert und mit bekannten Mitteln durchführbar sein. Systemanforderungen alternativer Bezahlsysteme wie vorherige Registrierung oder Konteneröffnung oder gar Medienbrüche widersprechen diesem Kundenwunsch.

 

Um kunden- und händlerseitige Anforderungen an Bezahlsysteme im Internet systematisch zu erfassen, führte die Universität Karlsruhe (IZV 5) eine Online-Befragung durch (Quelle: www.uni-karlsruhe.de/IZH/). Die Ergebnisse der Umfrage lassen sich wie folgt zusammenfassen:

 

Befragt nach der Nutzung von Zahlungsmethoden beim Einkauf oder Bestellen im Internet, gaben 83,1 Prozent der Befragten an, bereits mit Rechnung bezahlt zu haben. Im Vergleich dazu hatten 36,9 Prozent schon mit Kreditkarte und SSL (Secure Socket Layer) bezahlt, 11 Prozent mit Kreditkarte unverschlüsselt und 8,2 Prozent mit Kreditkarte und SET (Secure Electronic Transaction).

 

Nach den Argumenten für ihre künftige Nutzung einer elektronischen Bezahlmethode befragt, gab die Mehrzahl (65,4 Prozent) an, dass bei ihrer Entscheidung die Identität des Anbieters der Zahlungsmethode (z.B. Bank, Telekom, Internet Provider, etc.) ausschlaggebend sein werde. Mehr als die Hälfte (55,6 Prozent) gaben an, dass die Möglichkeit, die Zahlungsmethode auch außerhalb des Internets nutzen zu können, für sie ein Akzeptanz-Argument sei. Für fast 50 Prozent der Befragten waren auch die Aussagen des Anbieters der Zahlungsmethode zur Verschlüsselung des Zahlungsvorgangs wichtig, für circa 41 Prozent der Markenname der Zahlungsmethode (z.B. Eurocard, VISA, Maestro).

 

Anforderungen an ein Bezahlsystem aus Händlersicht
Das Bezahlen per Rechnung oder unverschlüsseltem Übertragen von Kreditkartenzahlungen bewerteten Händlern am schlechtesten. Mit diesen Verfahren wurden die häufigsten negativen Erfahrungen gemacht. Zusammenfassend lässt sich darüber hinaus sagen, dass die Minimierung des Zahlungsausfallrisikos (85 Prozent der Nennungen) in Verbindung mit der notwendigen Kundenakzeptanz (76,5 Prozent) die wichtigsten Anforderungen an moderne Zahlungssysteme sind. Entscheidend sind auch Systemsicherheit gegen Angriffe (76,5 Prozent) und Verfügbarkeit der genutzten Dienstleistung (70,6 Prozent).

 

Datenschutz und Sicherheitsstandards
Der Schutz sensibler Zahlungsdaten gegen den Zugriff unberechtigter Dritter, Veränderung, Zerstörung oder Missbrauch ist für alle am Bezahlverfahren Beteiligten wichtig. Auch der Händlerzugriff auf sensible Daten muss durch eine entsprechende Benutzer- und Rechtevergabe bei den Applikationen geregelt werden. Sensible Daten sollten grundsätzlich nur dort gespeichert werden, wo eine entsprechende Systeminfrastruktur oder Alarmfunktionen auch den Schutz der Daten gewährleistet. Das Realisieren von Sicherheits-Standards und Anforderungen an die Applikation, System- und Netzwerkinfrastruktur erfordern allerdings bei Unternehmen selbst oder ihren Payment Providern, Akzeptanzstellen und Banken hohe finanzielle und personelle Investitionen und Ressourcen.

 

Für die Sicherheit von Transaktions- und Kontendaten haben die Kartenorganisationen unterschiedliche Standards definiert, die von Payment Providern unbedingt berücksichtigt werden sollten: Der "Account Information Security" Standard von VISA International betrachtet hauptsächlich Bereiche wie Sicherheit der Organisation, der Netzwerkinfrastruktur  und der Applikation. MasterCard entwickelte speziell für das Online-Geschäft den Standard "Site Data Protection".

 

Systemverfügbarkeit
Jeder noch so kurzfristige Systemausfall kann für einen Händler finanzielle oder imagemässige Verluste oder Abwandern von Kunden bedeuten.

 

Deshalb erwarten Händler eine nahezu 100 prozentige Verfügbarkeit der Dienstleistung. Nur "hochverfügbare Systeme" können Anforderungen nach kompletter Verfügbarkeit (24 Stunden - sieben Tage die Woche) zu 99 Prozent erfüllen. Erforderlich ist dazu:

 

- Redundante Auslegung des Systems und seiner aktiven und passiven Netzwerkkomponenten über Hot-Standby oder Load-Balancing Einheiten

 

- Ausstattung der eingesetzten Rechner mit fehlertoleranten Mehrprozessorsystemen, gespiegelten Festplatten und redundanten Netzwerkkarten

 

- Sicherung der eingehenden und ausgehenden Verbindungen zum Internet durch redundante Switches, Router und Leitungen.

 

In Verbindung mit einem 24hr-Operating und dem Einsatz der Systemüberwachungssoftware und einem 24hr-Betrieb kann dann eine hohe Verfügbarkeit gewährleistet werden.

 

Systemsicherheit
Systemsicherheit bedeutet Schutz sensibler Daten vor unerlaubtem Zugriff von außen und innen. Daraus ergeben sich folgende Anforderungen an die Infrastruktur:

 

- Einsatz von mindestens zwei redundanten unterschiedlich ausgelegten Firewall- Systemen, Intrusion Detection Systemen und Virenschutzprogrammen

 

- Regelmäßige Einspielung des Sicherheits-Patches

 

- Physische Trennung von Applikation und Daten

 

- Verschlüsselung der Kommunikation über das Internet.

 

Für die Applikation ergeben sich folgende Anforderungen:

 

- Reduzierung des Zugriffs auf für den Benutzer relevante Informationen

 

- Einsatz einer Benutzerverwaltung zur Benutzer-Authentifizierung über eine eindeutige Benutzer-ID und Steuerung des Zugriffs

 

- Ausschluss der Anzeige von Passwörtern auf dem Bildschirm oder in Reports und Logs

 

- Gewährleistung der Nachvollziehbarkeit der durchgeführten Zugriffe auf das System über Logging-Mechanismen.

 

Systemwartbarkeit - Backup - Recovery
Um die vielfältigen Sicherheitsanforderungen erfüllen zu können, muss das System ohne größere Störungen wartbar sein. Nur wenn das System dynamisch konfigurierbar ist und zusätzlich mit einer gemischten Konfiguration arbeitet, kann es auch während des Betriebes auf eine neue Version migriert werden.

 

Bei nicht vermeidbaren Systemausfällen und Datenverlust kann die unverzügliche Wiederherstellung des ursprünglichen System-Zustandes mittels Backup- und Recovery-Prozess möglich sein.

 

Schutz des Händlers vor Betrug und Zahlungsausfällen
Das Reduzieren von Zahlungsausfällen ist für Händler wichtig. Trotzdem nutzen sie bislang häufig nicht im Markt bereits vorhandene Möglichkeiten, sondern verlassen sich auf unverschlüsselte Übertragungswege oder Standardprüfverfahren.

 

 

Die Standardprüfverfahren

 

LUHN Check bei Kreditkartentransaktionen: Hierbei wird aus der Kreditkartennummer die Kreditkartenorganisation herausgelesen und geprüft, ob Kreditkartennummer und -organisation logisch zu einander passen.

 

Plausibilität BLZ / Kontonummer bei ELV-Transaktionen: Es wird geprüft, ob die angegebene Bankleitzahl existiert und die Kontonummer logisch dazu passt.

 

Bei beiden Verfahren werden Prüfungsalgorithmen der jeweiligen Bank- und Kreditkarten-Institute implementiert.

 

CVC2/CVV2: Möglichkeit der Übertragung des Card Verification Codes (CVC2) bzw. Card Verification Values (CVV2). Beim CVC2/CVV2 handelt es sich um eine aus bis zu 4 Ziffern bestehende Zahl, die auf der Rückseite der aktuellen Kartengenerationen von VISA bzw. MasterCard im Unterschriftenfeld aufgedruckt ist.

 

Mögliche Zusatzprüfverfahren
Generell sollten alle Verfahren dem Händler oder der Kartenakzeptanzstelle als Entscheidungshilfe für die Freigabe einer Zahlungstransaktion dienen. Durch Rückgabe von "Ampelwerten" könnten diese Hilfsmittel grundsätzlich visualisiert dargestellt werden und der Händler - je nach Zugriffs- und Rechtevergabe - manuell eingreifen.

 

BIN Table Check und Black-/ oder Sperrlistenlistprüfung: Bei diesem Verfahren wird das Ausstellungsland der Kreditkarte und der Kartentyp aus der Kreditkartennummer ermittelt und mit dem Auslieferungsland der Ware oder der eingehenden IP-Adresse verglichen (sogenannte Bin-Prüfung - die ersten sechs Stellen einer Karte). Stimmen beide nicht überein oder hat das kartenausgebende Land einen Sperrvermerk, ist vielfach ein höheres Risiko gegeben.

 

- Neben den Blacklisten der Kartenakzeptanzstellen und Kartenorganisationen sollte ein System auch auf zusätzliche oder fremde Sperrlisten zurückgreifen können. Anhand von Sperrlisten wird geprüft, ob für eine Kartennummer oder eine bestimmte BLZ - Kontonummerverbindung - bereits Negativmerkmale vorliegen.

 

Limit-Prüfungen: Dieser Vorgang ermöglicht die Vergabe von umsatzbezogenen Händlerlimits auf Tages-, Wochen- und Monatsbasis. Kontrollierbar werden diese Limits, indem Schwellenwerte für die maximal über einen Händler autorisierbaren Beträge festgelegt werden. Gleichzeitig sollte der Händler für sich selbst individuelle Limits für bestimmte Zahlarten, Kartentypen oder nach Art des eingehenden Kanals einstellen können.

 


Monitoring und Filialwanderung: Der Vorgang ermöglicht die Überwachung verschiedener Parameter des Systems anhand konfigurierter Regeln. Wird bei einer Regel einer der angegebenen Schwellenwerte überschritten, so wird diese mit dem berechneten Wert und dem resultierenden Ampelwert dem Systemadministrator des Händlers oder des Providers angezeigt. Abhängig von der Konfiguration der Regel kann es zu einer Vielzahl von ermittelten Überschreitungen pro Regel kommen. Im Rahmen der Wanderungsprüfung wird ermittelt, wie oft mit einer Karte in einem bestimmten Zeitraum Transaktionen getätigt wurden. Die Häufigkeit und der Zeitraum können ebenfalls individuell pro Kanal und Kartenart eingestellt werden.

 

Adressverifizierung + Bonitätsprüfungen: Das System prüft in einem ersten Schritt die Plausibilität der Adresse. Darüber hinaus kann die Überprüfung der postalischen Anschrift (national) in Verbindung mit dem Vor- und Nachnamen durchgeführt werden. Eine wahlweise Interpretation der Ergebnisse ist möglich (restriktiv oder nur korrigierend / vorschlagend).

 

Unter Berücksichtigung von Informationen aus öffentlichen Schuldverzeichnissen sowie Inkassoverfahren aus dem Versandhandel kann dann auch der Bonitätsstatus ermittelt werden.

 

Darauf aufbauend wird ein Adress Scoring durchgeführt, das anhand der Adresse eine Analyse der demographischen Daten durchführt und als Ergebnis einen Scorewert zurückliefert und Rückschlüsse auf die Bonität ermöglicht.

 

Zusätzliche Verfahren der Kreditkartenorganisationen

 

Verfahren wie Master Card Secure Code oder 3D-Secure "Verified by VISA" sollen künftig für Händler und Kunden zum Qualitätssiegel für sicheres Einkaufen im Internet werden und den Kunden als tatsächlichen Karteninhaber im Card-not-present-Bereich eindeutig identifizieren.

 

Bei der Verwendung beider Verfahren wird durch eine zusätzliche Authentisierung bei der kartenherausgebenden Bank sichergestellt, dass Käufer Zahlungen mit der Begründung "Diese Zahlung habe ich nicht getätigt!" nicht an den Händler zurückgeben können. Beide neuen Varianten sind für die Händler, gegenüber dem bekannten SET-Verfahren, mit wesentlich weniger Aufwand verbunden. Zumindest der "kritische Faktor Kunde" muss für diesen Vorgang keine zusätzliche Software auf dem PC oder Web-Endgerät installiert haben. Beide Verfahren stellen die im Markt immer wieder genannte "Zahlungsgarantie" (Liability Shift) für den Händler dar. Dabei behält der Käufer aber selbstverständlich das im Rahmen des Fernabsatzgesetzes geregelte Rückgaberecht für nicht gelieferte, falsche oder beschädigte Ware.

 

Sicher Bezahlen im Internet mit Lösungen von AOPS
Atos Origin Processing Services (AOPS) bietet mit "iPay" eine Dienstleistung der von Atos Origin entwickelten und modular aufgebauten "iPayment"-Produktgruppe, die den heutigen Anforderungen an Zahlungssicherheit und -bequemlichkeit von Händlern und Kunden gerecht wird. Eine Multichannel-Payment-Plattform ermöglicht die Verarbeitung aller gängigen Zahlarten über sämtliche Kanäle und über eine Schnittstelle.

 

Die meisten Aktivitäten zur Vermeidung von Zahlungsausfällen laufen dabei auf den Hintergrund-Systemen des Dienstleisters ab. Gleichzeitig wird eine Systeminfrastruktur geboten, die eine hohe Verfügbarkeit gewährleistet und die geforderten Sicherheitsaspekte berücksichtigt. Neben Standarddienstleistungen werden auch Zusatzlösungen für Rücklastschriftenabwicklungen, wiederkehrende Zahlungen und internationale Debitverfahren geboten. Alle Zahlvorgänge können bequem über einen Webclient eingesehen und gegebenenfalls manuell nachbearbeitet werden. Auch Sicherheitsanforderungen von morgen wie "VISA 3D Secure" und "MasterCard Secure Code" können umgesetzt werden.

 

Mit dem vorgeschalteten Zusatzmodul "iSecurity" können zielgruppenspezifische Risikosteuerungen nach den Vorgaben des Händlers durchgeführt werden. Die Steuerung erfolgt über nur eine Schnittstelle, "multichannel" für alle relevanten Kanäle.

 

Zusammenfassung und Ausblick

 

Sichere Zahlverfahren bedingen die Akzeptanz von Händlern und Käufern. Daher müssen sich alle am Bezahlvorgang beteiligten Instanzen den Anforderungen an sichere und hochverfügbare Systeme stellen. Kurz- und mittelfristig werden sich nur Systeme oder Verfahren durchsetzen, die in der Nutzung nicht zu komplex sind und keine Software-Installation oder große Aufwände beim Kunden erforderlich machen. Außerdem sollten sie ohne umfangreiche Änderungen in vorhandene Systeme zur Zahlungsabwicklung integrierbar sein.

 

Bereits bestehende Prüfverfahren zur effektiven Reduzierung von Zahlungsausfällen sind bei Händlern immer noch zu wenig bekannt und genutzt. Die von den Kreditkartenunternehmen, Acquirern und Payment-Providern forcierten Lösungen 3D Secure "Verified by VISA" und "MasterCard Secure Code" gehen dabei den richtigen Weg, um Kreditkarten als geeignetes Zahlungsmittel für online-Bezahlungen im Internet noch sicherer zu machen.

 

Autor: Bernd Gentzsch

 

 

 

Atos Origin GmbH
Pressestelle

 

Nicola Popoff
Curiestraße 5
D-70563 Stuttgart
Telefon +49 (0)7 11/73 77-3 11
Telefax +49 (0)7 11/73 77-5 09
Email nicola.popoff@atosorigin.com

Atos Origin Processing Services GmbH
Pressestelle

 

Anja Müller
Hahnstraße 25
60528 Frankfurt/Main
Telefon (0 69) 66 57-14 01
Telefax (0 69) 6 66 68 74
Email: anja.mueller@atosorigin.com

nächste Pressemeldung

Nehmen Sie mit uns Kontakt auf.

Stefan Pieper
Corporate Communications
trans-1-px
Unser Internetauftritt nutzt cookies. Wenn Sie weiterhin auf dieser Website surfen sind Sie damit einverstanden, dass wir Cookies nutzen, um die Nutzung unserer
Internetseiten zu messen und Verbesserungsmöglichkeiten zu erkennen. Wenn Sie nicht einverstanden sind, können Sie die Cookies in Ihrem Webbrowser abschalten.
Erklärungen dazu finden Sie in unserer Privacy Policy
Ich stimme zu Mehr Informationen