Kreditkarte, Vorkasse, Überweisung, Bezahldienst, Guthaben-Karte – wer Waren und Dienstleistungen im Internet ordert, hat beim Bezahlen die Qual der Wahl. Da ist es gut zu wissen, welche Vor- und Nachteile die einzelnen Verfahren haben. Im örtlichen Geschäft oder Supermarkt ist der Einkauf einfach. „Möchten Sie bar oder mit Karte bezahlen?“ ist die einzige Frage, die einem an der Kasse gestellt wird.
Im Online-Handel finden sich hingegen mehr Möglichkeiten, seine Bestellung zu bezahlen. Neben Klassikern wie Kreditkarte und Überweisung können Waren und Dienstleistungen je nach Händler auch per Vorkasse, Lastschrift, Nachnahme oder mithilfe eines der zahlreichen Bezahldienste beglichen werden. Das bargeldlose Bezahlen birgt aber auch Risiken.
- Banküberweisung: Zu den Klassikern im Versandhandel gehört beispielsweise die Banküberweisung. Ihr Vorteil: Sie ist schnell und meist innerhalb eines Werktags erledigt. Während des Überweisungs-Vorgangs kann der Auftrag auch noch storniert werden. Wenn der Betrag jedoch beim Händler eingegangen ist, ist ein Zurückholen nicht mehr möglich, ganz im Gegensatz zum Lastschrift-Verfahren.
- Kreditkarte: Wer online kauft, möchte seine Ware in der Regel jedoch schnell erhalten. Dafür eignet sich der zweite Klassiker, die Kreditkarte, wesentlich besser. Hier kann der Händler ohne zeitliche Verzögerung auf das Geld zugreifen und die Ware sofort versenden.
Der Nachteil: Die beim Bezahlvorgang auf der Händler-Webseite übermittelten Kreditkarten-Daten sind auch bei Cyberkriminellen begehrt. Mit Phishing-Mails (siehe Infokasten) oder getürkten Online-Shops versuchen sie an die Daten gelangen, weshalb man als Käufer immer darauf achten muss, die Informationen verschlüsselt zu übertragen.
Zusätzliche Sicherheit bieten die von den Kreditkarten-Anbietern entwickelten Sicherheitsmaßnahmen (3D Secure), die man ebenfalls nutzen sollte. Neben den Kreditkarten-Daten muss der Kauf dann zusätzlich mit einem Zahlencode bestätigt werden, der vom Karten-Unternehmen ans Handy übermittelt wird. Eine weitere Möglichkeit ist, dass der Karteninhaber bei dem Geldinstitut ein persönliches Passwort hinterlegt, dass er bei Bezahlungen dann eingeben muss. Um diese Sicherheitsmaßnahme einzurichten, wendet man sich am besten an die Bank, welche die Kreditkarte ausgestellt hat.
Praktische Abbuchungsdienste
Das immer beliebter werdende Online-Shopping hat auch neue Bezahldienste hervorgebracht. Zu ihnen zählen beispielsweise Abbuchungsdienste wie PayPal, ClickandBuy oder Amazon Payments. Allen gemeinsam ist, dass sie sich zwischen Händler und Kunde schalten und die eigentliche Zahlung über das Bank-Konto oder die Kreditkarte des Kunden abwickeln. Der Händler hat dadurch keinen direkten Zugriff auf die Konto-Daten oder andere sensible Angaben. Ebenfalls praktisch: Der Versand der Ware erfolgt zügig: Sobald der Abbuchungsdienst dem Händler grünes Licht gibt – was meist nur wenige Augenblicke dauert – kann dieser die Ware versandfertig machen.
Doch auch bei PayPal & Co. gibt es Licht und Schatten: Um die Abbuchungsdienste nutzen zu können, muss der Kunde seine Konto- oder Kreditkarten-Daten dort hinterlegen, die eigentliche Bezahlung erfolgt durch Eingabe von Nutzername und Passwort.
- PayPal: Viele Internet-Einkäufer nutzen vor allem Marktführer PayPal. Allein im ersten Quartal dieses Jahres betrug das Transaktionsvolumen von PayPal 99 Milliarden US-Dollar. Und von diesen 99 Milliarden US-Dollar wollen Cyberkriminelle einen Happen ab. Die eigentlichen Zahlungen bei dem Online-Dienst sind sehr gut abgesichert. Per Passwort und Benutzername loggt man sie bei der Bezahl-Plattform ein. Genau an diese Daten wollen die Verbrecher per Phishing-Mails, die angeblich von PayPal und Co stammen, herankommen. In solchen gefälschten Mails wird der Nutzer per Link auf eine Seite weitergeleitet, um zum Beispiel die Daten zu erneuern oder zu überprüfen, ob es ungerechtfertigte Abbuchungen gibt. Nutzer sollten niemals auf so eine Mail reagieren.
Sein Konto bei PayPal kann man aber besser absichern, als nur mit der Kombination des Benutzernamens und einem Passwort. Kunden können einen sogenannten zweiten Passwortfaktor einrichten. Diesen finden Nutzer im Konfigurationsmenü. Dort müssen Nutzer den Menüpunkt „Sicherheit“ anklicken. PayPal führt auf eine neue Seite, wo unter anderem das Stichwort „Sicherheitsschlüssel“ steht. Bearbeitet man diesen, wird man nach der Eingabe der bestätigten Handynummer zukünftig immer per SMS einen Code bekommen, mit dem man eine PayPal-Zahlung bestätigen muss.
- Amazon: Auch der Online-Versandhändler bietet einen ähnlichen Bezahldienst, dem zunehmend immer mehr Menschen nutzen. Die Bezahlung erfolgt über das eigene Amazon-Konto. Da schon viele Menschen Kunden bei dem Versandhandel sind, sind ihre persönlichen und Bankdaten sowieso schon dort hinterlegt. Bietet nun ein anderer Online-Shop die Bezahlung über Amazon an, werden bei dem Internet-Riesen die Bankdaten des Kunden abgefragt. Den Benutzernamen des Amazon-Kunden und das Passwort bekommt der Händler nicht zu sehen. Aber automatisch wird das Amazon-Konto belastet. Angreifbar ist auch diese Technik über Phishing-Mails.
Ein Nachteil bei Online-Bezahldiensten wie PayPal und Co. ist, dass sich viele dieser Dienste in ihren allgemeinen Geschäftsbedingungen das Recht einräumen, umfangreiche Kundenprofile anzulegen. Was mit den Profilen geschieht, bleibt oft unklar – Datenschutz sieht jedenfalls anders aus.
- Sofortüberweisung: Ob vielleicht Überweisungsdienste die bessere Wahl sind? Bei ihnen muss man sich als Kunde nämlich gar nicht registrieren. Wer zum Beispiel mit „Sofortüberweisung“ oder GiroPay seine Ware bezahlen möchte, wird auf die Online-Seite seiner Hausbank weitergeleitet, um dort die eigentliche Überweisung vorzunehmen.
Anders als bei der normalen Online-Überweisung bekommt der Händler hier aber sofort die Bestätigung, dass das Geld unterwegs ist und kann die Ware unverzüglich versandfertig machen.
Die Kehrseite der Medaille: Um Überweisungsdienste nutzen zu können, muss man schon ein Online-Konto bei seiner Bank haben. Rückbuchungen – weil der Händler nicht geliefert hat – sind auch nicht möglich. Bei einem Dienst wie Sofortüberweisung kommt noch hinzu, dass man ihm vertrauliche Bank-Daten anvertraut (PIN und TAN). Genau das ist Online-Banking-Kunden laut den Geschäftsbedingungen der meisten Banken jedoch untersagt.
- Android Pay: Auch Android und Apple haben mittlerweile den Markt der Online-Bezahldienste gestürmt. Mit ihnen kann man auch per Smartphone Zahlungen in Auftrag geben. Android Pay nutzt eines der aktuell sichersten Bezahlsysteme der Welt: Host Card Emulation (HCE, Gast-Kartennachbildung). Die Zahlungstransaktion wird über eine App, die als Kreditkarte fungiert, abgewickelt. Dabei übermittelt das Mobiltelefon bei der Bezahlung nicht einfach die hinterlegten Kreditkarteninformationen, sondern eine Device Account Number (DAN, Behelfs-Account-Nummer). Dabei handelt es sich um eine zufällig generierte Nummer einer virtuellen Kreditkarte, die Lesegeräte akzeptieren. Das Bezahlterminal im Geschäft übermittelt die Nummer an die Hausbank des Nutzers, diese prüft und bestätigt die Nummer und das dazugehörige Konto, dann wird die Zahlung freigegeben. Dieses Verfahren funktioniert in Sekundenschnelle.
Der unschlagbare Vorteil: Der Händler erhält nicht die eigentliche Kreditkartennummer, sondern nur die einmalige DAN-Nummer. Android Pay läuft auf allen Smartphones, die mindestens das Betriebssystem Android 4.4 haben.
- Apple Pay: Auch Apple Pay benutzt das DAN-System. Im Gegensatz zu Andorid funktioniert Apple Pay aber auch offline. Denn die Technik von Apple speichert bis zu fünf DAN-Nummern, die für fünf Bezahlvorgänge benutzt werden können. Erst wenn diese fünf DAN-Nummern aufgebraucht sind, muss sich das System wieder eine Online-Verbindung aufbauen, damit sich das Apple-Gerät neue DAN-Nummern holen kann.
Smartphone sichern
Immer mehr Banken bieten ihren Kunden die Möglichkeit, per App kleinere Geldbeträge an Kontakte in ihrem Adressbuch zu überweisen. Damit das Geld nicht in falsche Hände gerät, sollten aber vor allem Android-Nutzer ein Antivirenprogramm und eine Firewall installiert haben, rät der Verbraucherzentrale Bundesverband. Die Apps zum Geldverschicken verzichten meist auf die Eingabe von Transaktionsnummern (TAN) und sind damit nicht ganz so sicher wie Überweisungen beim klassischen Online-Banking. (dpa)
Was sind Phishing-Mails?
Ein unüberlegter Klick hier, ein Anhang einer merkwürdigen Mail dort – Fallen gibt es im Internet zuhauf. Der häufigste Infektionsweg für Computer ist die E-Mail, insbesondere der E-Mail-Anhang
Schadprogramme installieren: Wer einen Anhang eines unbekannten Absenders öffnet, kann sich schnell ein Schadprogramm einfangen. „Wenn man den öffnet, hat man meist schon verloren“, sagt Joachim Wagner, Sprecher beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Hintergrund werde sofort eine Datei ausgeführt, die die Schadsoftware installiert. Oder man landet via Link auf einer gefälschten Webseite. Dort soll man dann persönliche Daten preisgeben (Phishing). In den E-Mails geht es meist um Rechnungen. Die Fälschungen werden auch immer besser: „Die Angreifer schauen sich etwa die Kontakte eines Nutzers bei Facebook an, um dann in deren Namen Mails zu versenden“, sagt Wagner. Die Texte enthielten mittlerweile auch weniger Rechtschreibfehler als früher.
Gesunde Skepsis: „Geht es um Bankgeschäfte, Kontosperrungen und Ähnliches und wird man aufgefordert, etwas anzuklicken, sollte man immer skeptisch sein“, rät Maurice Ballein, Redakteur beim IT-Portal „Netzwelt.de“. Und BSI-Sprecher Wagner sagt: „Erst denken, dann klicken!“ Helfen könnten drei Fragen: Kenne ich den Absender? Ist der Betreff sinnvoll oder vage („Dringende Nachricht“)? Erwarte ich einen Anhang? „Wenn da schon Zweifel bestehen, die Mail ungeöffnet löschen.“ Ist die Nachricht gut gefälscht, könne man auch bei der Firma anrufen und nachfragen. „Nur nicht dem Link folgen“, sagt Wagner. Die Adresse könne man stattdessen manuell in den Browser eingeben und auf diese Weise prüfen.
Phishing-Mails erkennen: Cyberkriminelle geben sich in Phishing-Mails gerne als Provider, Paketdienst, Bank, Anwälte, Inkasso-Unternehmen oder Behörde aus, um dem Empfänger sensible Daten wie Passwörter oder Kreditkartendaten zu entlocken. Doch solche Betrugsversuche lassen sich oft relativ leicht enttarnen, indem man die Absenderadresse analysiert. Kryptische Namen oder Zeichenfolgen in den E-Mail-Adressen wie „adebolajibolaji@xxx“oder „xxx@infymailz.info“ seien ein Alarmsignal. Solche Nachrichten sollte man gleich löschen – insbesondere, wenn sie unerwartet gekommen sind. Wichtig ist auch, vorher keinesfalls auf Links oder Anhänge zu klicken. (dpa)
