Händler meiden

Die Kreditkarten werden nicht floppen - höchstens das 3D-Secure-Verfahren. Die Händler werden dann auch weiterhin die bisherigen Methoden einsetzen, die es Kriminellen noch einfacher machen, an die Daten zu kommen. Die Kunden haben nur den Vorteil, daß die Haftung damit nicht so leicht auf sie abgewälzt werden kann.

Benutzer schinge schrieb:

Eben, das ist zweischneidig. Mich hat bisher immer gestört, dass man buchstäblich mit einer "aufgehobenen" Kreditkarte lustig einkaufen gehen kann. Daher nutze ich sie als unsicheres Zahlungsmittel nur, wenn es nicht anders geht (Kartenvorbestellungen etc.).
In diesem Sinne ist das 3D-Secure-Verfahren ein Fortschritt, denn ein "Finder" kann ohne das Passwort bei entsprechenden Akzeptanzstellen nichts mit der Karte anfangen.

Genauso ist es mir im Supermarkt beim Bezahlen mit der ec-Karte lieber, das Gerät verlangt die PIN als eine Unterschrift. Auch in diesem Fall sind wohl Rückbuchungs- und Rekalamationsrechte des Kunden gegenüber dem Unterschriftsverfahren beschnitten.

Natürlich ist die Haftungsverlagerung auf den Kunden unschön, aber ich tendiere wegen der größeren Sicherheit unterm Strich doch zur Einschätzung "Daumen rauf".

Benutzer garfield schrieb:

Man darf dabei auch nicht vergessen das Recht haben und Recht bekommen auch immer noch ein Unterschied ist. Viele Händler beharren darauf das man selbst dort unterschrieben hat (jeder Dieb kann nach ein paar Stunden Übung eine halbwegs ähnliche Unterschrift kritzeln), also darf man sich auf mehre Monate Papierkrieg mit Anwälten und Inkassobüros einstellen. In der Zeit wird man von Schufa und Co. schonmal mit nem "Zahlungsunwillig"-Stempel versehen. Da ist mir auch eine technische Sicherheit die 99%tig funktioniert lieber als ein rechtlicher Vorteil den man erstmal durchsetzen muss.

Benutzer cdg schrieb:


Richtig erkannt.
Allerdings bestehen wohl nur die wenigsten Händler auf der Nutzung des "Secure"-Verfahrens, da dieses noch viel zu wenig verbreitet ist.
Allerdings muß der Kunde dieses nutzen, wenn er sich einmal dafür angemeldet hat.

Daß es sich dabei de facto nicht um einen Vorteil für den Kunden, sondern bloß für die Händler, Abrechnungspartner bzw. Kartenorganisationen handelt, kommt aus den - den Konsumenten klarerweise verschwiegenen - Werbungen und Mitteilungen für Händler zutage.

Beispielsweise kann man unter http://www.concardis.com/de/kartenzahlung/kundenservice/sicherheit/sicherheit-im-e-commerce/mastercard-securecode.html entnehmen:


Zitat:

...
Ist der von dem Karteninhaber eingegebene Code richtig, genießen Sie als Händler eine weitgehende Zahlungsabsicherung für Kartenumsätze, bei denen der Karteninhaber behauptet, die Bestellung nicht getätigt zu haben. Dagegen schützt MasterCard SecureCode nicht vor Rückbelastungen, wenn Sie keinen Nachweis haben bzw. nicht beweisen können, dass die Ware dem Karteninhaber zugegangen ist oder diese angeblich mangelhaft ist.

...

Mit MasterCard SecureCode verringern Sie vor allem die Rückbelastungen, bei denen der Karteninhaber die Zahlung bestreitet.

Zitat Ende.

Benutzer Christian_Wien schrieb:

Bei vielen Banken kann der Kunde sich auch wieder von dem jeweiligen Verfahren abmelden.

Allerdings bestehen immer mehr deutsche Onlinehändler auf die Nutzung dieses Verfahrens. ich habe es schon bei etlichen Händlern erlebt, daß man ohne Teilnahme an diesen Verfahren nicht mehr per Kreditkarte bezahlen konnte.

Als Alternativen boten sich mir in diesem Falle dann immer Paypal-Bezahlungen an. Aber auch ohne Paypal gibt es meistens alternative Zahlmethoden.

Aber seien wir mal realistisch: Wenn ich Onlinebnaking betreibe und werde Opfer einer Man-in-the-middle-Attacke, dann haftet auch nicht die Bank, sondern ich. Allerdings haben in der Vergangenheit die Banken immer aus Kulanz den Kunden entschädigt. Ein Anspruch darauf besteht aber nicht. Genauso ist es bei Scamming. Auch da bin ich auf die Kulanz der Banken angewiesen.

Benutzer ippel schrieb:

Eine Abmeldung ist meines Wissens standardmäßig von den Kreditkartenorganisationen nicht vorgesehen.
Klar, wäre dies doch gegen deren Interessen, nachdem der Kunde doch schließlich immer und überall von den "Vorteilen" einer Anmeldung überzeugt werden soll.
Inwieweit eine spätere Abmeldung auf Druck des Kunden möglich ist bzw. akzeptiert wird, kann man daher wohl kaum realistisch ohne Selbstversuch beantworten.
Im worst case bleibt wohl nur eine Anforderung einer neuen Karte mit einer neuen Kartennummer.


Das ist mir bisher nur zu Anfangszeiten auf der Website der "Österreichischen Lotterien" passiert, wo Kreditkartenzahlungen nur mit "Secure Verfahren" möglich waren.
Damals habe ich eben über die offizielle Banking-Schnittstelle über mein normales Onlinebanking bezahlt, weil "Secure" für mich wegen der potentiellen Haftungsrisiken inakzeptabel ist.
Inzwischen werden aber längst auch Kreditkartenzahlungen ohne "Secure" akzeptiert.
Dafür bieten die Kreditkartenorganisationen aber den Online-Zugang für Umsatz- und Rechnungsabfragen nur mehr "Secure" Kunden an.
Der früher existierende alternative Zugang wurde eingestellt, um die Kunden zur "Secure"-Anmeldung zu nötigen.
Somit muß ich leider auf diese praktische Nutzung verzichten und darf daher die Kreditkartenfirma das zusätzliche Risiko tragen, daß mir eventueller Mißbrauch erst mit Zugang der postalischen Rechnung bekannt wird.



Paypal ist für mich als Kunde OK.
Da habe ich zumindest den gleichen Schutz wie bei direkter Kreditkartenzahlung, falls nicht bereits eine berechtigte Reklamation bei Paypal zum Erfolg führt.




Die Krux ist eben, daß zu viele zu wenig Interesse und Kenntnisse haben, ihren PC sauberzuhalten.
Entgegen dem Autofahren, wo man zumindest Grundkenntnisse bei einer Prüfung nachweisen muß, glauben (zu) viele, daß es beim PC reicht, eine Maus bedienen zu können.
Allerdings wird inzwischen von den meisten Banken auch mTAN unterstützt und dann sollten - wenn das Verfahren sinnvoll betrieben wird - auch solche Angriffe rechtzeitig auffallen, wenn die mTAN-SMS auch die Empfängerkontonummer und/oder den Überweisungsbetrag enthält.

Benutzer Christian_Wien schrieb:

Das kann ich nicht sagen. Ich habe eine Miles and More Karte (Mastercard) der DKB und da geht das mit einem Klick genau auf der Seite, wo man sich auch für den Mastercard SecureCode registrieren konnte.


Ich habe das bereits bei Schlecker Online und einer Online-Apotheke (einer der größten) erlebt.


Genau. Bei Schlecker Online bin ich auf Paypal ausgewichen, bei der Online-Apotheke auf Bezahlung per Rechnung.


Wobei bei einer Man-in-the-middle-Attacke theoretisch auf ein komprimitierter DNS-Server das Problem sein kann. Und da müssen die Serverbetreiber entsprechend aufpassen. Oder noch schlimmer: Beim Domain-Registrar wurde ein falscher Nameserver eingetragen, weil sich jemand dort reingehackt hat. Wobei in beiden Fällen sicherlich sich keine Haftungsfrage stellen wird und hier die Bank bzw. der Provider das Risiko tragen. Aber kann man sich da immer sicher sein...


Die zweitgrößte Onlinebank Deutschlands (DKB) sieht da bisher kein Änderungsbedarf. Solange die auch das Risiko tragen, ist das deren Sache. Bisher scheint das wohl der Fall zu sein.