E-Payment - eine sichere Sache?

Sicher bezahlen im Web

03.11.2011
Von 
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 
Um den E-Commerce könnte es besser bestellt sein, wenn der Zahlungsverkehr einfach und sicher wäre.
Foto: WoGi, Fotolia.de

Die Internet-Kriminalität wächst. Nach dem aktuellen Lagebild "Cybercrime 2010" des Bundeskriminalamts stiegen die Schäden 2010 um 60 Prozent. Die Zahl der Anwender, deren Zugangsdaten zu Plattformen, E-Mail-Diensten, Auktionshäusern oder Online-Banking ausspioniert wurden, hat sich laut Bitkom fast verdoppelt. Vor einem Jahr waren es noch rund 3,7 Millionen, nun sind es knapp sieben Millionen. "Der Trend geht zum Ausspähen persönlicher Daten und Passwörter", so Bitkom-Präsident Dieter Kempf.

Angesichts der wachsenden Schäden stehen Unternehmen zunehmend vor einem Problem, zumal es kein Patentrezept für ein wirklich sicheres Bezahlsystem gibt. Zudem wird es wohl in naher Zukunft kein einheitliches Bezahlsystem geben, denn nach Ansicht von Branchenkennern ist die Zahl der am Markt beteiligten Player zu groß, als dass eine Einigung auf einen Bezahlstandard zu erwarten wäre.

Zwischen den Stühlen

Für einen Shop-Betreiber bedeutet dies, dass er mehrere Zahlsysteme unterstützen muss. Dabei bewegt er sich immer im Spannungsfeld zwischen erreichbarer Sicherheit und Kundenakzeptanz. Mit der Konsequenz, dass die Unternehmen mit Fallanalysen die Akzeptanz der jeweiligen Bezahlsysteme bei der anvisierten Zielgruppe überprüfen sollten.

"Denn das Zahlsystem, das von der Kundschaft hochpreisiger Produkte favorisiert wird, kann bei kleinen Einkäufen auf wenig Gegenliebe stoßen", gibt Georg Hildebrand, Senior Account Manager bei der GFT Technologies AG, einem IT-Dienstleister mit Fokus auf den Finanzsektor, zu bedenken. Ein Unternehmen, so Hildebrand weiter, werde kaum umhinkommen, mehrere Bezahlvarianten anzubieten.

Um den eigenen Auftritt nun möglichst zukunftssicher zu gestalten, empfiehlt der Fachmann, auf die Verwendung offener Schnittstellen zu achten, um neue Systeme einbinden zu können. Ein zusätzliches Sicherheitselement zur Authentifizierung könnte künftig der neue Personalausweis (nPA) sein. Ein Plus an Sicherheit könnten auch die neuen EMV-Chips bieten, mit denen mittlerweile alle Karten ausgestattet sein sollten. Allerdings haben beide Ansätze ein Manko: Sie setzen voraus, dass die Kunden am Ausbau der Sicherheit mitarbeiten, indem sie Kartenleser anschaffen.

Die häufigsten Fehler

Ferner gibt es einige Kardinalfehler, die einfach zu vermeiden wären. "Passwörter eines Kunden-Accounts unverschlüsselt in einer Datenbank abzulegen, ist schlicht stümperhaft", erzürnt sich Hildebrand angesichts der zahlreichen geklauten Kunden- und Kreditkartendaten der letzten Zeit. Die sicherste Methode, diese Daten erst gar nicht zu speichern, fällt für die meisten Shop-Betreiber flach, denn im Zweifelsfall müssen sie mit diesen Informationen nachweisen, dass eine Zahlungsforderung berechtigt ist.

Allerdings sollten sich IT-Verantwortliche überlegen, ob es wirklich erforderlich ist, Daten von Tausenden Kunden in einer Datenbank oder auf einem Server zentral zu speichern. Das spart zwar eventuell Kosten, doch der Schaden ist im Falle eines virtuellen Einbruchs höher als bei einer verteilten Speicherung.

Ein Punkt, der übrigens unabhängig vom verwendeten Sicherheitssystem zu beachten ist. Welchen Sicherheitsgewinn bringen neue biometrische Verfahren wie etwa der neue Personalausweis oder eine Stimmerkennung, wenn die entsprechenden Profile zentral gespeichert werden? Ein Plus an Sicherheit könnte hier eine verschlüsselte Ablage auf einer Smartcard im jeweiligen Endgerät bringen. Damit wäre im Falle eines erfolgreichen Angriffs nur ein Kunde betroffen.