Zahlung mit Kreditkarte – das Problem des Chargebacks
Im Vergleich zum Lastschriftverfahren fällt beim Bezahlen per Kreditkarte das Risiko von Zahlungsstörungen zwar deutlich geringer aus, dennoch kann auch bei Kreditkartenzahlungen eine Reihe von Problemen auftreten. Da die Kreditkartennummer über ein Online-Formular abgefragt wird, besteht die Gefahr, dass der Kunde einen Tippfehler macht oder gezielt eine nicht existierende Nummer eingibt. Entgegen dem Lastschriftverfahren werden solche Fehler jedoch im Rahmen der Autorisierung aufgedeckt, da die kartenausgebende Bank solche Transaktionen ablehnt. In diesem Zusammenhang wird auch überprüft, ob keine Kartensperre vorliegt, der Verfügungsrahmen ausreicht und die Kreditkarte noch gültig ist. Sollte dies nicht der Fall sein, wird die Transaktion von der Bank ebenfalls nicht genehmigt. Anders verhält es sich jedoch, wenn der Kunde die Abbuchung zurückgibt. Bei Kreditkartenzahlungen wird dies auch als Chargeback bezeichnet. Sollte der Kreditkarteninhaber einen Missbrauch seiner Kreditkartendaten oder einen unzulässig von seinem Konto abgebuchten Betrag entdecken, kann er im Rahmen einer gewissen Frist der Abbuchung widersprechen. Der Betrag wird seinem Konto wieder gutgeschrieben. Die Bearbeitungsgebühren, die der Händlerbank für das Chargeback-Verfahren entstehen, sind jedoch vom Online-Händler zu tragen. Gerade im Internet ist das Risiko eines Kreditkartenbetrugs, also dass die Kreditkartendaten missbräuchlich von Dritten für einen Einkauf im Online-Shop genutzt, besonders hoch. Denn anders als im stationären Einzelhandel kann die Unterschrift nicht geprüft werden. Selbst wenn die Autorisierung der Kreditkarte beim Bezahlvorgang im Online-Shop erfolgreich ist, bedeutet dies nicht, dass Karteninhaber und Besteller eine Person sind. Der Karteninhaber hat im Missbrauchsfall jedoch wie oben beschrieben das Recht, den Betrag zurückzufordern. Mit dem 3D-Secure-Verfahren können Online-Händler sich jedoch gegen Chargebacks infolge eines Missbrauchs der Kreditkartendaten absichern.
Funktionsweise von 3D-Secure
Grundsätzlich handelt es sich bei 3D-Secure um ein Verfahren für die Online-Zahlung mit Kreditkarten, das die Sicherheit zusätzlich erhöhen soll. Den Betreibern von Online-Shops wird der Eingang des Abrechnungsbetrags garantiert, sofern sie das 3D-Secure-Verfahren einsetzen und es sich um einen Chargeback infolge einer missbräuchlichen Verwendung der Kreditkartendaten handelt. Dabei ist die Funktionsweise dieses Verfahrens denkbar einfach. Bestellt ein Kunde in einem Online-Shop Waren und wählt als Zahlungsmittel die Kreditkarte aus, wird der Bezahlvorgang eingeleitet. Hierfür öffnet sich ein Eingabefenster der kartenausgebenden Bank. An dieser Stelle muss sich der Kunde mit einem Sicherheitscode bzw. einem Passwort verifizieren. Neben dem SecureCode ist beim 3D-Verfahren von Mastercard zudem die persönliche Begrüßung zu überprüfen, die im Registrierungsprozess erstellt wurde. Beim „Verified by Visa“-Verfahren wird zusätzlich zum Passwort die persönliche Sicherheitsmitteilung erfragt. Voraussetzung für die Verwendung des 3D-Secure-Verfahrens ist, dass sich Kunden bei der kartenausgebenden Sparkasse oder Bank für dieses Sicherheitsverfahren registrieren und dass Online-Händler diesen Service in ihrem Online-Shop anbieten.
3D-Secure im Online-Handel: Schutz für Käufer und Händler
Nutzen Karteninhaber das 3D-Secure-Verfahren beim Online-Shoppen, können sie das Risiko einer missbräuchlichen Verwendung von Kartendaten reduzieren. Denn das Passwort bzw. der SecureCode wird vom Karteninhaber selbst bestimmt und ist daher auch nur ihm bekannt. Ein zusätzlicher Schutz wird durch die Abfrage der Sicherheitsmitteilung bzw. der persönlichen Begrüßung, die der Karteninhaber bei der Registrierung festlegt, geschaffen. Wollen Karteninhaber das 3D-Secure-Verfahren nutzen, müssen sie sich lediglich bei der kartenausgebenden Bank hierfür anmelden, eine neue Kreditkarte ist hingegen nicht erforderlich. Für Online-Händler bringt dieses Sicherheitsverfahren ebenfalls eine Reihe von Vorteilen mit sich. Wird ein Einkauf per Kreditkarte über das 3D-Secure-Verfahren bezahlt, erhält der Online-Händler dank der Überprüfung des Passworts einen Nachweis darüber, dass der Einkauf autorisiert ist, es sich also um den rechtmäßigen Kreditkarteninhaber handelt. Sollte es vonseiten des Kunden zu Rückbelastungen kommen, profitiert der Händler von einer erweiterten Haftungsumkehr, die ihn vor einem Zahlungsausfall bewahrt. Das bedeutet, nicht der Händler, sondern die kartenausgebende Sparkasse oder Bank haftet für den Zahlungsausfall, sollte der Kunde eine Rückbuchung aufgrund einer missbräuchlich genutzten Kreditkarte veranlassen. Somit erhält der Online-Händler in der Regel einen gesicherten Zahlungsanspruch, wenn die entsprechende Transaktion über das 3D-Secure-Verfahren abgesichert wurde. Zudem können mithilfe des 3D-Secure-Verfahrens Ursachen für eine Zahlungsstörung bereits erkannt werden, wenn der Kunde seine Kreditkartendaten eingibt. In diesem Fall kann er entweder seine Angaben korrigieren oder ein anderes Zahlungsverfahren auswählen.
Verwendung des 3D-Secure-Verfahrens – worauf Online-Händler achten sollten
Online-Händler, die das 3D-Secure-Verfahren verwenden wollen, sollten beim Abschluss eines Kreditkartenakzeptanzvertrages darauf achten, dass dieser auch 3D-Secure beinhaltet. Doch gerade Shopbetreiber, die bereits seit Längerem die Kreditkartenzahlung anbieten, verfügen über diesen zusätzlichen Schutz oftmals nicht. In diesen Fällen sollten Online-Händler ihren Payment-Service-Provider bzw. ihren Acquirer auf die Verfügbarkeit des 3D-Secure-Verfahrens ansprechen. Doch auch bei einem bereits bestehenden 3D-Secure-Akzeptanzvertrag kommen Online-Händler nur dann in den Genuss einer Haftungsumkehr, wenn der Bezahlvorgang auch in technischer Hinsicht das Authentifizierungsverfahren durchlaufen hat, das dem 3D-Secure-Verfahren zugrunde liegt. Dementsprechend reicht es nicht aus, einen 3D-Secure-Vertrag abzuschließen. Online-Händler müssen zudem für eine funktionierende Implementierung des 3D-Secure-Moduls in den Online-Shop sorgen. Grundsätzlich ist eine Einbindung des 3D-Secure-Plugins mittels eines iFrames empfehlenswert, da bei einer Pop-up-Einbindung die Gefahr besteht, dass ein entsprechender Pop-up-Blocker die Anzeige der Eingabemaske beim Karteninhaber verhindert. In diesem Fall kann eine Autorisierung der Zahlung nicht erfolgen, die Haftungsumkehr würde entfallen.
Sicherheitsmängel in 3D-Secure-Verfahren behoben
Das von Visa und Mastercard eingeführte Verfahren 3D-Secure soll die missbräuchliche Verwendung von Kreditkartendaten im Internet minimieren und Online-Händler vor Zahlungsausfällen reduzieren. Einer von Ross Anderson und Steven J. Murdoch durchgeführten Untersuchung zufolge würden beim 3D-Secure-Verfahren jedoch grundlegende Sicherheitsanforderungen nicht erfüllt. Wegen der fehlenden URL-Zeile könnten Kunden nicht erkennen, wem das Pop-up bzw. der iFrame gehöre. Die Authentizität der SecureCode- bzw. Passwort-Abfrage könne nicht überprüft werden. Einem Phishing-Versuch würde auf diese Weise Vorschub geleistet. Hinzu kommt, dass das Passwort zumeist erst während des Bezahlvorgangs des ersten Einkaufs festgelegt wird. Der Kunde ist zu diesem Zeitpunkt jedoch mehr daran interessiert, den Einkauf abzuschließen, als ein sicheres Kennwort bzw. einen SecureCode auszuwählen. Ein weiterer Kritikpunkt betrifft die von einzelnen Banken eingesetzten Verfahren bei der Authentifizierung der Karteninhaber sowie beim Zurücksetzen des Kennwortes nach Fehleingaben, die laut den Forschern viele Sicherheitsanforderungen nicht erfüllen würden. Wer über grundlegende Daten der Kreditkarte sowie des Karteninhabers verfügt, könnte demnach ohne großen Aufwand einen neuen 3D-Securecode generieren und diesen während eines Bezahlvorgangs im Online-Shop nutzen. Denn es erfolgt an keiner Stelle eine Identitätsprüfung, die sicherstellt, dass die Person, die den 3D-Securecode erstellt, auch der Karteninhaber ist. Mittlerweile wurden die Verfahren jedoch weiterentwickelt und die entscheidenden Sicherheitslücken größtenteils geschlossen.