Skip to main content
main-content
Top

01-09-2014 | Bank-IT | Im Fokus | Article

Sicher bezahlen mit Kreditkarte

3 min reading time

Online-Händler bieten in Web-Shops verschiedene Zahlungsverfahren an. Vor allem Kreditkartenzahlungen nehmen zu. Dabei muss die lückenlose Sicherheit der Kartendaten gewährleistet sein. Welche Sicherheitsstandards bei Online-Geschäften entscheidend sind.

Neben dem Kauf per Rechnung oder Lastschrift ist die Kreditkarte als Zahlungsmittel in Online-Shops inzwischen weit verbreitet. Weltweit gehört sie unter anderem im Internet zu den beliebtesten bargeldlosen Zahlungsmitteln. Auch in Deutschland gewinnt die Kreditkarte zunehmend an Bedeutung. Einer Studie des ECC Köln 2013 zufolge bieten derzeit etwa 50 Prozent der E-Commerce-Händler die Zahlung per Kreditkarte an – mit steigender Tendenz. Bei den deutschen Verbrauchern bevorzugen etwa 35 Prozent diesen Zahlungsweg. Entscheidend für die Akzeptanz ist jedoch die Sicherheit der Kartendaten bei Zahlungstransaktionen.

Die wichtigsten Sicherheitsstandards

Weitere Artikel zum Thema

Kunden müssen auf den Schutz ihrer sensiblen Daten vertrauen können. Dazu gehört, dass beispielsweise die Sicherheitsverifikationen der Kreditkarten-Anbieter integriert sind und die Betreiber von Online-Shops im Rahmen der Zahlungstransaktionen mit Verschlüsselungstechnologien arbeiten. Banken sollten Online-Händler deshalb darauf hinweisen, dass wichtige Zahlungs- und Sicherheitsstandards vorhanden sind, um die Sicherheit von Web-Shops zu gewährleisten. Dies gelingt Internet-Händlern mit den folgenden Maßnahmen:

Zahlungsstandard PCI-DSS einhalten

Betreiber von Online-Shops sind grundsätzlich verpflichtet, den Payment Card Industry-Data Security-Standard (PCI-DSS) zum Speichern, Verarbeiten und Weitergeben von Kreditkartendaten einzuhalten. Der Sicherheitsstandard geht auf eine Initiative der Kreditkarten-Industrie zurück, um Sicherheitslücken zu vermeiden. Die Einhaltung dieses Standards muss jedes Jahr neu bescheinigt werden, sonst drohen Strafzahlungen bis hin zum Verlust der Erlaubnis, Kartenzahlungen zu akzeptieren. Online-Händler, die mit einem Payment Service Provider (PSP) zusammenarbeiten, müssen unbedingt darauf achten, dass dieser für den PCI-DSS-Sicherheitslevel zertifiziert ist. Ein Händler erfüllt den Standard beispielsweise über Verfahren wie den SIX Secure Card Data Service. Dabei wird ein Alias oder auch Ersatznummer der Kartendaten generiert, der Händler erhält nur diesen Alias und kommt so nicht in Kontakt mit den eigentlichen sensitiven Kreditkartendaten. Entscheidet sich ein Online-Shop gegen die Abwicklung der Zahlungen über ein zertifiziertes System, muss er selbst eine PCI-DSS-Zertifizierung nachweisen, wenn er Kreditkartendaten verarbeitet. Das verursacht jedoch hohe Kosten für die Zertifizierung und bindet unnötig Kapazitäten.

Sicherheits-Verifikationen der Kreditkarten-Anbieter integrieren

Online-Shops erhöhen die Sicherheit beim Bezahlen per Kreditkarte zusätzlich, indem sie Sicherheitsverifikationen der Kreditkarten-Anbieter integrieren, die auf dem 3-D-Secure-Standard basieren. Mastercard nennt das Verfahren Mastercard SecureCode, American Express SafeKey und bei Visa heißt es Verified by Visa. 

Das Prinzip: Während des Bezahlvorgangs wird der Kunde von der Website des Händlers auf die Seite des Kreditkartenanbieters geleitet. Es öffnet sich ein eigenes Fenster für die Eingabe eines Sicherheitscodes, einer Geheimnummer oder eines Passwortes. Den Code haben die Kreditkarten-Inhaber je nach Anbieter entweder bei der Registrierung festgelegt oder sie erhalten ihn bei jeder neuen Transaktion per SMS oder E-Mail zugesendet. Dieser zusätzliche Authentifizierungs-Schritt erhöht die Sicherheit. Ohne die 3-D Secure-Technologie haftet der Betreiber des Webshops für missbräuchlich eingesetzte Kreditkarten. Bietet ein Webshop das 3-D Secure-Verfahren an, kommt es zu einer so genannten Haftungsumkehr: So haftet die kartenausgebende Bank für Kartenzahlungen, die nicht vom Karteninhaber getätigt wurden. Das bewahrt den Händler vor möglichen Zahlungsausfällen

Verschlüsselung

Schließlich sollte jeder Online-Shop das hybride Verschlüsselungsprotokoll Transport Layer Security (TLS) unterstützen. Das Verfahren ist auch Secure Sockets Layer (SSL)-Verschlüsselung bekannt. Das SSL-Technologie sorgt für eine sichere Datenübertragung im Internet. Verschlüsselte Verbindungen sind am Kürzel https in der Adresszeile zu erkennen. Viele Browser markieren sie außerdem mit einem Vorhängeschloss-Symbol.

Zur Person

Johannes Sutter ist Head Distance Payments bei Six Payment Services in Deutschland.

Related topics

Background information for this content

01-03-2013 | Strategie + Management | Issue 3/2013

Immer mehr Bank-Wettbewerber im Online-Payment aktiv

01-04-2013 | IT-Trends | Issue 4/2013

Lösung für Banken im Payment-Geschäft

01-09-2014 | Branche | Issue 9/2014

Anbieter forcieren mobiles Bezahlen

Premium Partner

    Image Credits