2004/07/14 Online-Shopping mit Kreditkarte - nicht immer sicher verbunden
Während phishing (noch) in Österreich ein eher exotisches Problem darstellt, lauern im Bereich ungeschützte Kreditkartentransaktionen weit unterschätzte Gefahren - Eine Online-Studie im Rahmen von e-rating.at - Sicherer Datentransfer für Konsumenten intransparent - Handlungsbedarf bei Kreditkartenanbietern
Payment im e-commerce
Eine entscheidende Schwachstelle von e-commerce ist die Zahlungsabwicklung. Online-Shopper benötigen die Sicherheit, dass alle Finanztransaktionen im Internet gesichert erfolgen. Neben "phishing" (Ausspähen vertraulicher Kontoinformationen durch gefälschte e-mails) und SPY-Ware (Ausspähen am Computer des Kunden) ist die Datenübertragung ein wesentlicher Risikofaktor.
Zu letzterm hat sich seit einigen Jahren der SSL-128bit-Standard etabliert. Für die Endbenutzer ist der sichere Datentransfer durch das geschlossene Schloss am Browserfenster bzw. durch die Zertifikatinformation erkennbar. Damit wird sowohl die Identität des Shopanbieters gewährleistet, als auch die verschlüsselte Datenübertragung garantiert. Auch in die EG-Richtlinie "Datenschutz in der Telekommunikation" hat Sicherheit in der Datenübertragung Eingang gefunden und schreibt seit November 2003 die verschlüsselte Übertragung von Personendaten vor.
Online-Studie im Rahmen von e-rating
Im Rahmen des e-rating-Projekts, dessen Ziel die Förderung der besten Online-Einkaufsmöglichkeiten ist, wurde daher die Übertragungspolicy von 1128 Shops analysiert.
Geprüft wurde einerseits, welche Shops Kreditkartenzahlung anbieten und welche davon die Übertragung verschlüsseln. Weiters wurde analysiert, wieviel Shops sonstige Login- und Kundendaten unverschlüsselt übertragen.
Überraschende Ergebnisse bei Kreditkartenzahlung
Wir haben auch die Kreditkartenunternehmen (VISA, MASTERCARD, DINERS und AMEX) nach ihrer Vertragspolicy befragt, geantwortet hat uns nur VISA, offenbar besteht bei den anderen keine klare Security-Policy. Laut VISA AUSTRIA ist das Anbieten von Kreditkartenzahlung ohne SSL-Verschlüsselung unzulässig und vertragswidrig. Theoretisch dürfte es daher KEINEN Online-Shop mit unverschlüsseltem VISA-Kreditkartenzahlung geben. Die Fakten liegen - leider - anders.
Von den 1128 analysierten Shops bieten 483 Kreditkartenzahlung an, davon 464 VISA, 459 MASTERCARD, 206 AMEX und 181 DINERS.
398 Shops (82%) nutzen Verschlüsselungstechniken, teilweise sind es eigene Lösungen, teilweise technisch betreut durch "Payment-Enabler" oder in der Shopping-Software integriert.
70 Shops (knapp 15% !!) übertragen die Kreditkarten unverschlüsselt und stellen damit ein erhöhtes Sicherheitsrisiko dar.
Hans G. Zeger: "Ein erstaunlich hoher Wert, wenn man die vertraglichen und rechtlichen Vorgaben berücksichtigt. Auch wenn man bedenkt, dass die Installation eines SSL-Zertifikats wenige Minuten dauert und nur geringe Kosten verursacht."
Der Rest von 15 Shops (etwa 3%) geht - aus e-commerce-Sicht - eigenwillige Wege. Kreditkartentzahlung wird zwar akzeptiert, die Kredtikarteninformationen müssen jedoch telefonisch oder per Fax bekannt gegeben werden.
Länderanalyse
Kein Unterschied ergibt sich im Ländervergleich. Von den 1128 Shops haben 73% die Niederlassung in Österreich, 24% in Deutschland, der Rest verteilt sich auf andere Länder. Von den unsicheren Anbietern der Kreditkartenzahlung sind 74% aus Österreich, 24% aus Deutschland.
Sicherer Datentransfer für Konsumenten intransparent
Schwierig gestaltete sich auch die Analyse des sicheren Datenverkehrs. Leider verbergen eine hohe Zahl von Shopanbietern die sichere Datenübertragung, sodass weder das "geschlossene Schloss" noch die "https://"-URL aufscheint. Für den Laien erscheinen daher viele technisch sichere Seiten als unsicher. Würde man nur "Schloss" und "https://"-URL als Bewertungskriterium heranziehen, dann würden nur 67% der Shopbetreiber Kreditkartenveschlüsselung anbieten. In 33% der Fälle kann der Laie nicht erkennen, ob verschlüsselt wird oder nicht(!).
Für die Studie wurde daher der tatsächliche Datenverkehr gemessen und analysiert, eine Methode die für Konsumenten technisch zu aufwändig und auch zu zeitintensiv ist.
Alle Payment-Anbieter wären gut beraten, bei den Shopbetreibern sicher zu stellen, dass jeder Zahlungsverkehr verschlüsselt abgewickelt wird und dies die Konsumenten durch die Browserfunktionen erkennen können. Den bloßen Ankündigungen auf den Webseiten, dass "Daten vertraulich behandelt werden" ist wenig Gewicht beizumessen und reduziert das Vertrauen der Konsumenten in das gesamte Onlineshopping.
Ernüchternd die Ergebnisse bei den sonstigen Personendaten
Analysiert wurde bei den 1128 Shopbetreibern auch der Datentransfer bei Account- und Logindaten und vergleichbaren Personeninformationen. Bloß 414 Shopbetreiber (37%) bieten Verschlüsselung an, 63%, also fast zwei Drittel übertragen Personeninformationen ungesichert.
Hans G. Zeger: "Originellerweise wurden Shops gefunden, die zwar die Kreditkartenzahlung verschlüsseln, aber nicht die dazugehörigen Bestellinformationen."
Es ist nur ein schwacher Trost, aber die 37% Anbieter mit Verschlüsselung liegen noch weit über den geradezu ungaublichen Wert einer EU-Studie. Laut e-busines w@tch gaben bei einer Umfrage der 500 größten Unternehmen aus Deutschland, Frankreich, Spanien, Großbritannien und Italien nur 9% an, "secure transfer" bei Online-Shopping anzubieten.
Orientierung wichtiger den je
Obwohl immer mehr Sicherheitsfunktionen verfügbar sind, wird der tatsächliche Betrieb der Onlineshops für Konsumenten immer undurchsichtiger. Die Angaben in den Datenschutzerklärungen sind zum Teil irreführend, vage und widersprüchlich.
Hans G. Zeger: "Damit sich der Konsument nicht nur auf Anbieterangaben verlassen muss, wird der eGuide geschaffen. Für die geplante Druckversion des e-commerce-Führers ist unverschlüsselte Übertragung der Kreditkartendaten ein klassisches KO-Kriterium. Diese Shops können nicht im Guide der Besten aufgenommen werden."
EU-konforme Zertifizierungsanbieter gemäß Signatur-Richtlinie
- ARGE DATEN (https://a-cert.argedaten.at)
- A-TRUST (http://www.a-trust.at)
Shopbetreiber mit Kreditkarte und SSL-verschlüsselung
http://e-rating.at/php/cms_monitor.php?question=KREDITKARTE-SSL
mehr --> http://e-rating.at/php/cms_monitor.php?q=KREDITKARTE-SSL
mehr --> RTR-Bescheid A 22/2006-4 betreffend GLOBALTRUST
|
