Mobile Bezahlverfahren sicher nutzen

Nicht erst seit der Pandemie erfreut sich die Bezahlung mittels Smartphone oder kontaktloser Karte wachsender Beliebtheit. Online und offline einkaufen ohne Bargeld ist bequem, birgt aber auch Gefahren. Mit dem richtigen Verhalten lassen sich diese minimieren.
 
Bank- und Kreditkarten bieten bereits seit langem die Möglichkeit, Geldbeträge bis zu einem bestimmten Betrag kontaktlos, also ohne Eingabe des persönlichen PIN-Codes, zu bezahlen. Seit einigen Jahren gesellen sich elektronische Verfahren wie Apple Pay oder Twint hinzu, die kontaktloses Einkaufen auch mit dem Smartphone ermöglichen. Spätestens seit der Corona-Krise sind solche «Mobile Payment»-Verfahren nicht mehr aus unserem Alltag wegzudenken.
 
 
Symbolbild Sophie Dubau via Unsplash
 
 

Die Kehrseite des Komforts

So komfortabel die Bezahlung mit Kreditkarte oder Smartphone auch ist: Die Gefahren sind nicht zu unterschätzen. Insbesondere durch das Fehlen weiterer Sicherheitselemente wie PIN-Code oder Passwort wird ein Missbrauch vereinfacht. Zu den häufigsten Risiken zählen: 
  • Physischer Verlust oder Diebstahl
  • Identitätsdiebstahl: Mit Malware, Phishing-Mails oder Social Engineering können Angreifer an Zugangs- oder Bezahldaten gelangen und damit im Namen des Opfers einkaufen oder Überweisungen tätigen. 
  • Verletzung der Privatsphäre: Shop-Betreiber und Bezahldienstleister dürfen nur die für den Bezahlvorgang notwendigen Daten austauschen. Ob das so ist, lässt sich nur schwer überprüfen.
 
Die gute Nachricht: Mit ein paar einfachen Massnahmen gelingt Shop-Betreibern und Endkonsumenten die sichere Nutzung der verschiedenen kontaktlosen Bezahlverfahren.
 
 

Bezahl-Urgestein Kreditkarte

Im E-Commerce gehört die klassische Kreditkarte neben der Banküberweisung zu den ältesten Zahlungsformen. In der Ursprungsform genügte die Eingabe der Kreditkartennummer an der virtuellen Kasse. War die Karte per Datum gültig, wurde die Transaktion ohne weitere Prüfung ausgelöst.
 
Da die alleinige Kenntnis der Kartennummer genügte, war der Kreditkartenmissbrauch nicht weit entfernt. 
 
Mit der Einführung der dreistelligen Kartenprüfnummer (kurz CVV oder CVC) verbesserte sich die Situation im digitalen Raum nur wenig, sodass die Kreditkarten-Anbieter heute auf ein zusätzliches rein elektronisches Sicherheitsmerkmal zurückgreifen, etwa ein zusätzliches Passwort für den Online-Einsatz (z.B. 3D Secure Code) oder eine spezifische App zur Transaktionsfreigabe via Mobilgerät.
 
Die dahinterliegenden Verfahren können als weitgehend sicher eingestuft werden – solange sie denn eingesetzt werden. Nutzer sollten daher soweit möglich elektronische Zahlungen nur dort einsetzen, wo die Verwendung eines zusätzlichen digitalen Sicherheitselements zwingend erforderlich ist. 
 
 

Die virtuelle Kreditkarte

Der Digitalisierungstrend macht auch vor Kreditkarten nicht Halt. Seit einigen Jahren werden physische Karten zunehmend durch rein virtuelle ergänzt. Vorteil: Wenn eine Karte nur aus beim Anbieter gespeicherten Daten besteht, kann sie einfacher gesperrt, wieder aktiviert oder ersetzt werden – sogar per Klick durch den Endkunden selbst.
 
Diesen Trend machen sich vor allem die sogenannten Smartphone- oder Online-Banken zunutze, indem sie beispielsweise rein digitale «Einweg-Kreditkarten» anbieten, die der Kunde per Knopfdruck eröffnen, nutzen und wieder sperren oder entsorgen kann. 
 
Der Unterschied zu klassischen Kreditkarten ist für den Online-Händler nicht relevant, wohl aber für den Endkonsumenten: Der Gebrauch der virtuellen Kreditkarte erfolgt nahezu risikofrei, weil diese nach einmaligem Einsatz gleich wieder deaktiviert und Missbrauch damit praktisch ausgeschlossen werden kann. 
 
 

PayPal, Twint und Konsorten

Wer auf ausländischen Shops einkauft, kommt an PayPal oft kaum vorbei. Der digitale «Bezahlfreund» hat bereits über 20 Jahre auf dem Buckel und ist Wegbereiter für etliche Mobile Payment Dienste, darunter die 2014 lancierte und erfolgreiche Schweizerische Bezahlvariante Twint. Proprietäre Dienste wie Apple Pay, Samsung Pay oder AliPay stehen hierzulande noch deutlich hinten an.
 
Die Funktionsweise digitaler Bezahldienste ist einfach. Der Kunde hinterlegt die Angaben für sein Bankkonto oder seine Kreditkarte z.B. bei PayPal oder Twint und wickelt Online-Einkäufe fortan über diesen Intermediär ab. Die Handhabung ist komfortabel, und dank der konsequenten Trennung von Kauf- und Finanztransaktion durch den Zahlungsvermittler erhalten Händler und Bank nur gerade so viel Informationen, wie für die Abwicklung des Geschäfts zwingend nötig sind. 
 
Auch Missbrauchsversuche durch Phishing-Mails und gefälschte Shop-Websites werden auf ein Minimum reduziert, nämlich auf Fake E-Mails und Websites, die angeblich vom Zahlungsvermittler stammen. Das Restrisiko für den Kunden besteht damit in der Erkennung solcher Betrugsversuche – ein gesundes Misstrauen gegenüber unerwarteten Nachrichten darf also auch bei der Nutzung von Twint, PayPal & Co. nicht fehlen. 
 
Bei allen Zahlungsarten sollte man stets seine Limite kennen und gegebenenfalls verringern, um das Ausmass eines allfälligen Missbrauchs zu minimieren.
 
 
Beispiel für ein Phishing Mail, angeblich von PayPal
 
 

Auf die Einstellung kommt es an

Ob klassische oder virtuelle Kreditkarte oder Mobile Payment Provider: Immer mehr Anbieter setzen auf App-gestützte Bezahl- oder Verifikationsverfahren. Und wälzen einen Teil des Risikos damit auf den Endkonsumenten ab. Denn dieser ist für die korrekte und sichere Verwendung seines Mobilgerätes und der jeweiligen App zum Grossteil selbst zuständig. Welche Daten wie und von wem verwendet werden können, und wie gut Ihr Gerät vor Missbrauch geschützt ist, liegt weitgehend bei Ihnen selbst. Unsere Empfehlungen in der Box «So zahlen Sie als Online-Kunde sicher» helfen bei der richtigen Einstellung.  
 
 

So setzen Sie als Online-Händler bargeld- und kontaktlose Bezahlverfahren sicher ein: 

  • Wählen Sie die in Ihrem Shop angebotenen Bezahldienstleister mit Bedacht. Lassen Sie die Finger von exotischen Diensten. Schlimmstenfalls droht Ihnen finanzieller oder Image-Schaden, z.B. wenn sich der Dienst als kundenfeindlich oder unsicher erweist und Ihre Kunden einen unzufriedenen Eindruck vom Einkauf mitnehmen – und dann allenfalls auf Sozialen Medien verbreiten.
  • Verwenden Sie für die Anbindung des Bezahldiensts stets die offizielle und aktuelle Anwendungsschnittstelle (API) des jeweiligen Zahlungsanbieters. Speichern Sie wenn möglich keine Zahlungsdetails wie Kreditkartenangaben selbst ab, sondern verlinken Sie auf die dedizierte Seite des Anbieters.
  • Gehen Sie mit gutem Beispiel voran und geben Sie Ihren Online-Kunden Empfehlungen für sicheres Bezahlen in Ihrem Shop. Sie verringern damit das Risiko unangenehmer Probleme mit Kunden und schärfen Ihre Reputation als seriöser und sicherheitsbewusster Online-Händler.
 
 

So bezahlen Sie als Online-Kunde sicher: 

  • Überprüfen Sie vor dem Kauf die Vertrauenswürdigkeit eines Online-Shops, etwa indem Sie dessen Bewertungen auf Konsumentenforen (nicht auf der Website des Shops) lesen.
  • Schützen Sie Ihr Mobilgerät mittels Bildschirmsperre vor unbefugtem Zugriff und halten Sie es auf dem aktuellen Stand.
  • Prüfen Sie, welche Ihrer Bank-, Kredit- und Prepaid-Karten sowie mobilen Bezahlkonten Sie zum kontaktlosen Bezahlen tatsächlich einsetzen. Lassen Sie die Kontaktlos-Funktion bei Nicht-Verwenden falls möglich deaktivieren und schliessen Sie nicht benötigte Bezahlkonten.
  • Legen Sie die Limite und den Freigabe-Beitrag Ihrer Karte oder Ihres mobilen Bezahlkontos gemäss Ihrem Bedarf fest.
  • Laden Sie auf Prepaid-Karten und Bezahlkonten nur so viel Geld, wie in absehbarer Zeit benötigt wird.
  • Verwenden Sie für Online-Einkäufe nach Möglichkeit virtuelle oder Einweg-Kreditkarten und sperren Sie diese jeweils bei Nichtgebrauch.
  • Geben Sie nur die notwendigen Daten der Mobile Payment App preis und erteilen Sie nur die notwendigen App-Berechtigungen.
  • Kontrollieren Sie Ihre Abrechnungen und melden Sie nicht zu-ordenbare oder nicht von Ihnen getätigte Zahlungen sofort.
  • Melden Sie Diebstahl oder Verlust Ihrer Karte oder Ihres Mobil-geräts unverzüglich dem jeweiligen Anbieter. 
 
Weitere Tipps zur sicheren Verwendung mobiler Bezahlverfahren finden Sie auf www.ebas.ch
 
 
 

Der Autor

 
Björn Näf ist wissenschaftlicher Mitarbeiter und Forscher an der Hochschule Luzern – Informatik. Er unterrichtet unter anderem in den Bereichen Cybercrime und E-Banking-Sicherheit. www.hslu.ch
 
 

 

Magazin kostenlos abonnieren

Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.