Sicher zahlen mit Kreditkarte

Während im Durchschnitt jeder Österreicher über eine Zahlungskarte verfügt und besonders Bankomatkarten von allen Alters-, Einkommens- und Bildungsgruppen genutzt werden, ist die Verbreitung von Kreditkarten deutlich geringer. Nur jeder vierte Österreicher besitzt eine, und auch die Zahlungsmodalität unterscheidet sich grundlegend.

"Kreditkarten werden meistens erst ab einer Summe von 70 oder 100 Euro eingesetzt und vorwiegend im Urlaub genutzt", erzählte MasterCard Chef Gerald Gruber kürzlich im Kurier. Der Durchschnittsbetrag einer Kreditkartenzahlung ist mit rund 110 Euro mehr als doppelt so hoch wie der einer Bankomatkartenzahlung. Die Funktion der Geldbehebung wird in Österreich besonders selten genutzt, was vor allem auf die anfallenden Gebühren bei einer gleichzeitig hohen Dichte an Bankomaten zurückgeführt werden kann. Im Gegensatz dazu ist die Kreditkarte bei Onlinezahlungen vor allem aufgrund ihrer hohen Akzeptanz bei Shops beliebt.

Kein Risiko für den Kunden

Ein Vorteil der Kreditkartenzahlung ist der Schutz des Kunden. Im Fall von unverschuldetem Missbrauch trägt der Kunde nie das Risiko. "Sämtliche Schäden werden erstattet und der Kunde muss sich keine Sorgen um etwaige Belastungen seiner Karte oder seines Kontos machen, wenn es zu einem Missbrauch der Daten kommt", bestätigt Thomas Von der Gathen, Sicherheitsverantwortlicher bei SIX Payment Service Austria. Um Betrug im Onlinesektor vorzubeugen und die Sicherheitsstandards weiter zu erhöhen, wurde 2004 in Österreich "3D- Secure" eingeführt. Das Authentifizierungsverfahren stellt sicher, dass der rechtmäßige Karteninhaber und der rechtmäßige Online-Händler an einer Transaktion teilnehmen.

Zusätzlich zu den Kreditkartendaten muss der Nutzer ein Passwort auf der Eingabeseite des jeweiligen Kreditkartenanbieters angeben. Aktuell werde das Verfahren nicht von allen, aber von vielen Händlern benutzt, so Von der Gathen: "Es gibt sehr große Onlinehändler, die ein eigenes Risikomanagementsystem haben und diese Überprüfung selbst vornehmen. Für die meisten Händler ist es viel effizienter, wenn sie auf 3D-Secure zurückgreifen. Die Sicherheit des Karteninhabers steht im Vordergrund, aber letztendlich geht es auch für uns stets darum, Schäden zu vermeiden."

- von Yasmin Vihaus

Müssen Nutzer beim Online-Shopping um ihre Daten bangen? Welche Standards gibt es zur Speicherung der Daten?

Thomas Von der Gathen: Im Fall unverschuldeten Missbrauchs trägt der Kunde nie das Risiko. Sämtliche Schäden werden getragen oder nach Prüfung rückerstattet. Der Kunde muss sich keine Sorgen um Belastungen seiner Karte oder seines Kontos machen. Es gibt grundsätzlich den internationalen PCI-Standard (Payment Cards Industry, Anm. d. Red.). Dieser besagt, dass jeder, der Daten verarbeitet oder Zugriff darauf hat, gewisse Daten verschlüsselt speichern muss oder gar nicht erst speichern darf. Ein CVC2, der Card Verification Code, der nur auf der Rückseite der echten, physischen Karte ablesbar ist, darf beispielsweise nie gespeichert werden, auch nicht verschlüsselt, auch die Kartennummer darf nur verschlüsselt gespeichert werden. Wenn der PCI-Standard eingehalten wurde, können die Daten in ihrer Gesamtheit gar nicht abgegriffen werden.

Wovon hängt es ab, ob ein 3-D-Secure-Eingabefeld bei einer Onlinezahlung kommt?

Es hängt davon ab, ob der Händler das 3D-Secure Verfahren unterstützt oder nicht. Das ist im Endeffekt eine Risikoentscheidung des Händlers. Es gibt große Onlinehändler, die nutzen ihr eigenes Risikomanagementsystem, dann erfolgt keine 3-D-Secure Authentifizierung. Diese Händler haben andere Prüfmechanismen. Für die Mehrheit der Händler lohnt sich diese Infrastruktur und der Aufwand nicht, sie können auf 3D-Secure zurückgreifen. Sicherheit für den Karteninhaber steht immer im Vordergrund, aber letztendlich geht es darum, Schäden vor vorneherein zu vermeiden. Denn auch für einen Händler ist jeder Schadensfall mit Aufwand verbunden.

Grundsätzlich müssten alle Beteiligten aber an diesem zusätzlichen Vorgang interessiert sein, um die Identät der Personen zu überprüfen...

Was immer überprüft wird, ist die Existenz der Karte, der Status der Karte und der verfügbare Einkaufsrahmen. Was nicht geprüft werden kann, ist, ob der Verwender einer Karte tatsächlich der Karteninhaber ist. Deswegen ist das Thema Authentifizierung so wichtig. Hier gibt es verschiedene Verfahren, unter anderem 3D-Secure.

Wie werden Auffälligkeiten entdeckt?

Wir betreiben hier rund um die Uhr Monitoring im Hintergrund. Wir sehen uns Muster an - dahinter steckt eing roßer IT-Aufwand - und zusätzlich beurteilen Fachleute die verdächtigen Daten und kontaktieren Kunden wenn etwas auffällig ist. Wir entdecken mittlerweile in über 80 Prozent der Fälle den Betrugsversuch noch bevor es der Kunde merkt.