Kreditkartenzahlung unbrauchbar machen mit S-ID-Check

Früher war nicht alles besser, aber manches war früher gut – so sagt zumindest Jochen Malmsheimer in einer großartigen Nummer „Das Wurstbrot„. Daran wurde ich heute deutlich erinnert, als ich versuchte online eine Zahlung zu tätigen. Nicht einfach mit „Kreditkartennummer und Sicherheitscode eingeben“ sondern eine sichere Zahlung. Sichere Zahlung ist schon mal gut. Eine Sicherheitsebene (bislang ein Passwort) die außerhalb der Angaben auf der Kreditkarte liegt. Sollte einem die Kreditkarte gestohlen werden oder verlustig gehen, kann der neue „Besitzer“ die Karte nicht für Zahlungen nutzen.

Früher gab man hierfür einen Secure-Code ein. Dies war/ist eine Zeichenfolge die wie ein Passwort benutzt wird. Nun haben sich die Kreditkartengesellschaften etwas neues einfallen lassen: Sicherheit durch eine App. Die Sicherheit ist dabei außerordentlich groß, da das Verfahren schlicht für Zahlungen unbrauchbar ist.

Ich wollte heute bei der SNCF Bahnfahrkarten für den TGV kaufen. Habe ich schon des öfteren gemacht, ist einfach und gut. HALT! Es war einfach und gut, denn heute habe ich mir die Karten gelegt. Bei dem Zahlvorgang wurde ich ausgefordert am „Verified by Visa- und MasterCard SecureCode-Zahlungen“-Verfahren teil zu nehmen. Dazu muss man eine App auf dem Mobiltelefon installieren und die Kreditkarte – vor der ersten Zahlung – mit dem Handy „verbinden“. SOLLTE keine große Sache sein. Ist es aber. Denn alles was ich während und nach der Installation empfing war eine Fehlermeldung. „Konnte nicht gesendet werden“.

Dankenswerter Weise gibt es eine Hotline, welche nach relativ kurzer Wartezeit tatsächlich zu einen Menschen durchstellt. Leider konnte mir dort nur äußert marginal geholfen werden, indem mir bestätigt wurde, dass ich keinen Fehler bei der Bedienung gemacht habe. WARUM das System aus „Lieferant“<->“Kartenunternehmen“<->Handy-App nicht funktioniert und ich keine Zahlung tätigen kann, konnten mir die freundlichen Mitarbeiter aber nicht erklären. Endresultat: Ich kann bei SNCF keine Bahnfahrkarte online buchen.

Die Kritiken im Playstore sind relativ eindeutig:

bewertung

Nach der Durchsicht diverser Kommentare habe ich einen Verdacht, warum das Verfahren bei mir nicht funktioniert. Es funktioniert nicht bei gerooteten Android-Handys. Zwar ist mein Handy nicht gerootet, aber vielleicht liegt es daran, dass ich Android 7.1.1 auf dem Handy habe?

Aber was nun, wenn ich im Internet zahlen möchte und nicht einfach mittels Kreditkarte und „Kreditkartennummer und Sicherheitscode“ zahlen kann, sondern der Verkäufer mich zwingt mittels „Verified by Visa- und MasterCard SecureCode-Zahlung“ eben nicht zahlen zu können?

Und dann soll Bargeld durch bargeldloses Zahlen abgelöst werden? Setzen, SECHS. SO wird das nicht Leute. NIEMALS!

Sollte ein Leser oder eine Leserin einen Tipp haben wie ich die APP nutzen kann, wäre ich mehr als nur dankbar.

Nebenfrage: Was macht man, wenn man irgendwo im Nirgendwo der Welt ist und mittels Kreditkarte keine Reise online buchen kann? Was macht man, wenn das Handy gestohlen wird/der Akku leer ist?

Mobilfunkbetreiber wollen nun mit aller Macht mehr Geld verdienen

Heise berichtet, dass die drei Mobilfunkbetreiber Telekom, Vodafone und o2 das gemeinsame Handy-Payment-System „Mpass“ vorantreiben wollen.

Der Hintergrund ist klar: Die Mobilfunkbetreiber wollen ein Stück des Kuchen „Kreditzahlung“ abbekommen. Denn dieser Dienst wird ganz sicher nicht kostenfrei sein. Die Kosten werden dem Handy-Kunden direkt oder indirekt in Rechnung gestellt werden.

Der Markt des „bargeldloses zahlen“ wird derzeit von den Kreditkartenunternehmen sowie den verschiedenen EC-Unternehmen vereinnahmt. Ein sicher interessanter Markt, an dem natürlich jedes Unternehmen gern teilnehmen möchte.

Wir Verbraucher dürfen aber nicht vergessen, dass jedes Zahlungsmittel uns in Rechnung gestellt wird. Desto mehr verschiedene Zahlungsmethoden unser Handelspartner anbietet, umso mehr Infrastruktur muss er vorhalten. Schon heute kann man (z.B. bei privat geführten Uhrengeschäften) bei Barzahlung ein schönes Skonto herausholen, wenn man mit der Kreditkarte wedelt, aber auch Barzahlung anbietet.

Selbst wenn das System der Mobilfunkbetreiber für den Handelspartner kostengünstiger (im Vergleich zu Kreditkarte/EC-Zahlung) sein sollte, würden wir als Verbraucher keinen monetären Vorteil realisieren können. Unser Geld wird nur weiter verteilt.

Bei Einführung eines weiteren Zahlungssystems bitte bedenken und entsprechend handeln.

Sicheres Zahlen bei Onlinegeschäften – vor allem auf Reisen risikoreich

Onlinegeschäfte werden  durch die Praktiken der Kreditkartengesellschaften unnötig verkompliziert. Kreditkarten sind – auch bei ausreichender Deckung – kein Zahlungsmittel, dass auch nur ansatzweise mit Bargeld konkurieren kann.

Vorgestern beschrieb ich meine gemachten Erfahrungen, bei der Onlineorder von Bahnfahrkarten. Gestern nun suchte ich den Kontakt zu meiner Hausbank, um zu eruieren, wie ich mich als Kreditkartenbenutzer davor schützen kann, dass ich für „zeitkritische“ Onlinegeschäfte meine Visa-Karte nutzen möchte und ohne akzeptiertes Zahlungsmittel da stehe.

Die Antwort erhielt ich heute – nachdem sich mein Kundenbetreuer bei dem Kartenpartner darüber schlau machte, woran es liegt, dass die Zahlung nicht durchgeführt wurde, und wie man dies in Zukunft umgehen kann – die Antwort. Allerdings gibt es nur eine Antwort, keine Lösung:

Die Kreditkartengesellschaften behalten sich vor, einzelne Zahlungen (auch bei ausreichender Kreditlinie) schlicht erst frei zu geben, nachdem sich der Kunde telefonisch mit der Gesellschaft in Verbindung gesetzt hat.  Dieses passiert z.B., wenn mit der Karte auf einen Betrag zugegriffen wird, der „atypisch für das Benutzerverhalten“ des Kunden ist. Dieses war wohl bei mir der Fall, da ich äusserst selten mehrere hundert Euro mittels der privaten Karte bezahle.

Ein alter Hacker wie ich, fragt den Bankberater dann natürlich, ob ich jetzt jeden Monat Geschäfte von mindestens 2000€ mittels Karte bezahlen muss, damit ich – wenn ich es denn benötige – auch auf einen angemessen hohen Betrag verfügen kann. Mein „Banker“ zog mir aber auch diesen Zahn, denn es gibt ausserdem eine Sperrfunktion, die zufällig wirkt, wenn der Kunde ein Geschäft abschliesst, mittels dessen in der Vergangenheit des öfteren Kartendiebe versuchten Leistungen zu zahlen. So wohl z.B. für iPhones (vom Bankberater genanntes Beispiel)

Es gibt für mich als Kartenbenutzer exakt KEINE Möglichkeit, vorab festzustellen, ob die beabsichtigte Zahlung von der Kreditkartengesellschaft auch akzeptiert wird – zumindest ohne in eine Sperre zu laufen. Der Grund ist: Das Risiko des Ausfallhaftung der Kreditkartengesellschaften. Die Kreditkartengebühren müssten erhöht werden, wenn diese Mechanismen ausgesetzt werden sollen – was für einzelne Kunden (so wurde mir gesagt) nicht umsetzbar ist.

Für mich ergeben sich daraus mehrere Folgen:

  • Ich werde versuchen stets ausreichend Bargeld bei mir zu haben, um auch wirklich Geschäfte ohne ein unangenehmes „Die Zahlung wird nicht akzeptiert“ vom Verkäufer hören zu müssen
  • Für Reisen sind – vor allem kurzfristige Buchungen – sollte man einen weiten Bogen um Onlineangebote machen.  Vor allem wenn (wie bei mir), der Onlineshop des Verkäufers ebenfalls ein Sicherheitssystem nutzt, welches meine Karte für 24 Stunden sperrt.
  • Kreditkarten sind nicht gleichwertig mit Bargeld oder Travellerchecks.  Oder ist es euch schon mal passiert, dass ein Verkäufer die Bundesbank kontaktierte, um euren 50€-Schein freizuschalten?
Diese ganze Geschichte ist ein wunderbares Indiz dafür, wie der Versuch der Konzerne ihre eigenen Systeme zu sichern, auf dem Rücken der Kunden ausgetragen wird. 

VISA & TGV-Online – wenn man unbedingt NICHT reisen will

Urlaubsplanungen, was kann es schöneres geben. Man ahnt noch nichts von lärmenden Kindern, dreckigen Stränden und dem Regenwetter, dass einen erwarten wird. Man ist schlicht voller Vorfreude. Bis…. ja, bis man anfängt Fahrkarten online mittels Kreditkarte zu bestellen.

Aber von Anfang an:

Das Ordern mehrerer Fahrkarten gestaltet sich bei TGV-Europe als etwas kompliziert, wenn man zu dritt reisen möchte. Denn es gibt Zweierabteile im Schlafwagen und wenn dann ein Pärchen mit Tochter fährt, muss man erstmal 2 Personen und anschliessend noch einmal eine Person nachträglich buchen. DIESES Problem liegt an dem Onlineauftritt der TGV-Blödies. Wenn man dann auch noch einen Aufenthalt in Paris wünscht, also die Reise zeitlich um ein paar Stunden unterbricht, wird dieser Buchungsvorgang schon abenteuerlicher. Aber alles machbar, man muss halt nur aufpassen dass diese insgesamt 4 Buchungen passen und alle Personen tatsächlich im selben Zug sitzen.

DANN geht es endlich zur Zahlung. Als Männchen von Welt greift man zur Brieftasche, zückt die VISA-Karte und gibt brav Kartennummer, Sicherheitscode und Ablaufdatum an. Nochmal die Eingaben kontrollieren und den Buttom BESTÄTIGEN drücken und ……. Verdammt: „Zahlung konnte nicht bearbeitet werden“ prangt als kleine unscheinbare Fehlermeldung auf dem Screen. Nochmal zum Warenkorb und nochmal die Kartennummer eingeben – und wieder: „Zahlung konnte nicht bearbeitet werden“. Man schaut sich um und erkennt an einer GANZ anderen Stelle auf dieser Webseite den Hinweis, dass bei Falscheingaben, die Karte für 24 Stunden von der TGV-Europe gesperrt wird. Ich habe nichts falsch eingegeben. Es muss etwas anderes sein.

Also mal bei VISA anrufen, ob die wissen was da schief geht. Verdammt – die Nummer von VISA hatte ich doch mal… Aber egal -> Auf die Webseite gehen. Dort ist keine Nummer für 24h-Support zu finden – nur eine Nummer für „Kartenverlust“. Egal – sollen die mir helfen. Also die dort angegebene Rufnummer angewählt:

In Deutschland wählen Sie – natürlich auch kostenlos – die Nummer: 0800 811 8440

Ab dafür – 0800 geht los. Aber MOMENT mal. Die Ansage dort erklärt mir, ich solle eine andere Nummer anrufen. GOTT sei Dank (Floskel, bin Atheist) sitze ich ja Zuhause am Rechner – Zettel und Schreiben immer griffbereit „Büroumgebung“ – denn die Automatenstimme feuert in einer Dieter-Thomas-Heck Geschwindigkeit eine „Wählen Sie bitte 49 69 79….“ Ja, ich werde angewiesen die Nummer 49 69 79xxxxx anzurufen. Meine Mutter hätte dies sicher getan, ich habe die Deppenfalle erkannt „49“ ist die internationale Vorwahl für Deutschland und die meisten Banken sitzen in Frankfurt, also wählte ich „069 79 xxxxx“ um dort…. GENAU! Eine Automatenstimme zu hören, die mich bat eine 01803-Nummer zu wählen.

An dieser Stelle hatte ich deutlich sichtbaren Puls an Schläfe und Hals. Wer auf Reisen ist, hat ganz sicher NICHT stets die Möglichkeit, sich Notizen zu machen, nur weil Webseiten und Automaten einem veraltete oder unspezifizierte Rufnummern angeben.

Aber ich bin ja hartnäckig und wähle also die 01803-Nummer, muss ca. 15 Minuten eine absolut schreckliche Dudelmusik hören, bis eine (wirklich freundliche) Frau den Anruf entgegen nimmt um mir zu erklären, warum meine Zahlung nicht getätigt wird:

  1. Meine Karte ist gültig
  2. Sie weist auch deutlich genügend Deckung auf
  3. Meine Eingabe (versuchte Buchung) ist für sie im System sichtbar und die Daten waren gültig
  4. Das verschissene Kreditkartensystem hat einen Sperrmechanismus, der bei zufällig hohen Summen bei bestimmten Zahlungsarten/Partner einfach manuell frei geschaltet werden muss. Es ist pauschal gesperrt.

Wer – wie ich – eine Bahnfahrkarten im Wert von etwas über 900€ bei der französischen Staatsbahn kaufen möchte, rennt gegen eine Mauer. Wahrscheinlich ist es unvorstellbar, dass jemand bei der französischen Bahn knapp 1000€ bezahlt. Das Limit bei der Bundesbahn dürfte ungleich höher liegen, mit 1000€ kommt man bei den Lümmeln ja nicht weit.

Die freundliche Dame entsperrte meine Karte für den Zeitraum für 72 Stunden und nun werde ich wohl morgen endlich die Karten buchen können, denn heute ist meine Karte noch für 24 Stunden bei der TGV-Europe gesperrt.

Ich habe vor 10 Jahren sehr oft und sehr viel mit Kreditkarte zahlen müssen, aber so eine Scheisse wie mir heute untergekommen ist, habe ich bislang noch nicht erlebt. Ich bin echt stinksauer – und ich ahne schon, dass ich morgen ca. 100€ mehr zahlen muss, weil „nur noch wenige Plätze verfügbar“ weg sind und ich normale Preise zahlen muss.

VISA – die Verarsche gönn ich mir.

Paranoia. Oder: Wie entziehe ich mich – weitgehend – der Überwachung

Während im Netz die Diskussion „Spackeria“ (alle Daten werden ohnehin irgendwann frei verfügbar sein, warum wehrt man sich eigentlich) gegen die Aluhütte (Verfechter der informellen Selbstbestimmung) tobt, möchte ich ein paar Möglichkeiten aufzeigen, wie man sich der „Datenüberwachung“ wenigstens ein bisschen entziehen kann.

Worum geht es bei der „Datenüberwachung“ überhaupt? Als Datenüberwachung bezeichne ich mal jegliche Möglichkeit, meine persönlichen Daten weitestgehend in meiner Privatsphäre zu halten. Warum soll ich per Payback-Karte fremden Interessenten mitteilen, was ich wann und wo einkaufe? Muss ich dem Staat die Möglichkeit geben, mittels Handyortung zu wissen, wann ich mich wo befinde? Geht es ein Kreditkartenunternehmen etwas an, wann ich wo wieviel Geld ausgebe? Ich glaube nicht. Dabei ist es recht einfach, zumindest Teilbereiche meines Persönlichkeitsprofiles zu anonymisieren.

Was kann ich – was kann jeder – tun?

Paybackkarten sind blödsinnig. Sie locken mit ein paar monetären Vorteilen, welche durch die „Nichtbenutzer“ finanziert werden. Selbes gilt für Kundenkarten von Kreditunternehmen und anderen Unternehmen. Bei Nutzung einer Kundenkarte ist – insbesondere WENN man diese denn tatsächlich besitzt – kritisch zu prüfen, ob die Nutzung wirklich notwendig ist. An einem Ausweis für den Großmarkt (Metro, Handelshof etc) wird niemand vorbei kommen, der bei diesen Märkten einkaufen muss. Payback aber kann man getrost ignorieren.

Auch die Kreditkarte/EC-Karte kann man mit Bedacht einsetzen. Niemand wird mit einer Bargeldmenge die den vierwöchigen Urlaub finanziert in der Hosentasche ins Ausland fahren wollen. Dennoch muss man nicht überall mit Karte zahlen. Umso öfter ich „mit Karte“ zahle, desto mehr Daten stelle ich den Damen und Herren mit der Sammelwut zur Verfügung.  Besser ist es periodisch ausreichend Geld von einer Bank abzuheben und die Rechnungen dann in Bar zu zahlen. Schliesslich kann selbst die Information wann und wo ich mein Fahrzeug betankt habe, schon gewisse Hinweise auf mein Verhaltensmuster abgeben.

Das Mobiltelefon ist ein besonders schwerwiegender Fall, der eigentlich ein Grund wäre ein Buch zu schreiben 🙂 Generell besteht die Möglichkeit nicht nur unsere Telefonate/SMS, sondern jeden unserer Schritte nachzuvollziehen, solange wir unser Mobiltelefon bei uns haben. Man kann nicht nur ermitteln in welcher Funkzelle wir eingebucht sind, sindern es kann (abhängig von der Lokation) bis auf ca. 10 m genau ermittelt werden, wo sich unsere Mobiltelefon (und somit typischerweise der Benutzer) sich befindet. Dagegen hilft nur Handy ausschalten oder – für besonders hart gesottene – ab und an mal das Telefon mit einem Freund tauschen. Dies kann man perfektionieren, indem man in einer zentralen Telefonanlage an jeden Teilnehmer eine feste Festnetzrufnummer vergibt und schlicht bei jedem Tausch die Rufweiterleitung ändert.

Die Nutzung von privaten Netzwerken gestaltet sich – aus Sicht des Datenschutzes – als besonders knifflig. Einerseits möchte man vielleicht von Ex-Kollegen oder Klassenkameraden gefunden werden, andererseits gibt es vielleicht Menschen, von denen man eben nicht gefunden werden möchte. Stalkende Exfreunde mögen da nur ein beispiel sein. Man sollte seine Daten in sozialen Netzwerken ausschliesslich für bestehende Kontakte sichtbar schalten. Wer glaubt, dass ich die Person bin, die gesucht wird, kann dies mittels Mail anfragen und ich habe dann die Entscheidungsgewalt, meine Daten zu teilen oder nicht. Bei manchen Netzen besteht sogar die Möglichkeit für jeden einzelnen Kontakt jeden Datensatz (Telefonnumer / Faxnummer/ Mobilnummer) einzeln freizuschalten. Was die sonstigen Informationen angeht, die man von sich preisgibt, so kann natürlich jeder tun und lassen was er mag. Allerdings kann zu viel „Offenheit“ auch Probleme schaffen, denn wer stets mit dem Kauf von teuren Elektrogeräten und Pelzmänteln prahlt, muss sich nicht wundern, dass der angekündigte 4-wöchige Auslandsaufenthalt von IT-sicheren Diebesbanden zur „Umverteilung des Verfügungsgewalt“ genutzt wird.

Wird fortgeführt…

#Digiges auf Zensursulas Pfaden?

„Wer ein Datenleck verursacht, muss beweisen, dass es nicht sein Leck war das zu Missbrauch geführt hat“, heißt es in einer Mitteilung. Und da für den Einzelnen der Nachweis kaum möglich sei, dass Betrugsfälle beispielsweise mit gestohlenen Kreditkartendaten aus dem Pool der betroffenen Firma stammen, müssten dann diese Unternehmen nachweisen, dass dies nicht der Fall sei.

Lese ich als eine der Forderungen der „Digitalen Gesellschaft“(Digiges), eine Lobbyvereinigung die – so wie Sie auftritt – vorgibt die Interessen der „Bürger im digitalen Zeitalter“ zu vertreten, aber mit der Ahnungslosigkeit des Ältestenrates des CDU-Kreisverbandes Hintertupfingen auftritt.

Harte Worte, oder? Aber als jemand, der sich seit Jahren mit Daten- und Systemsicherheit auseinander setzt, möchte ich mal die Frage stellen, wie ein Unternehmen denn den Nachweis antreten soll, dass es nicht schuld ist, dass meine Daten bei einem Drittunternehmen missbraucht werden.

Die Verteilung unserer Daten

Wieviele Unternehmen haben z.B. meine Bank/Kreditkartendaten? Bestelldienste im Internet wie Amazon, Ottoversand, Paypal etc.. Wo habe ich mit Kreditkarte bezahlt? Wo mit einem Verrechnungscheck/Überweisung? Es gibt „Unendlich minus 1“ Möglichkeiten, wo meine Bankdaten rumliegen können. Sollen nun all diese Unternehmen erstmal unter Generalverdacht stehen, wenn irgendwo meine Kreditkartendaten auftauchen? Und wie soll ein Unternehmen nachweisen, dass es nicht schuld daran schuld ist, dass meine Daten in fremde Hände gelangt sind?

Der Beweis der Unschuld

Die Blogger-Profis um Beckedahl herum, sollen mir mal beweisen, dass niemand auf dem Server von netzpolitk unberechtigten Zugriff hat. Weder durch Weitergabe von privilegierten Zugriffsdaten, noch durch Softwarefehler, noch durch physikalischen Zugriff auf dem Server. Desweiteren sollen mir die Möchtegernprofis der digitalen Gesellschaft einmal aufzeigen, wie ich nachweise, dass niemand Zugriff hatte:

  • Auswerten der Logdateien? Die werden vom Hacker als erstes gelöscht, das können sogar Klicki-Bunti Rootkits
  • Logdateien auf separat gesicherten Severn? Und wenn die auch gehackt werden?
  • Gar kein externen Zugriff? Dann habe ich (wie meist) das Problem inhouse – obiges bleibt bestehen.

Jeder Nutzer, der von dem SONY-Debakel betroffen ist, könnte sich nun hinstellen und bei etwaigen Unstimmigkeiten der Kreditkartenabrechnung SONY in die Pflicht nehmen. Ob die Daten durch die Lücke bei SONY den Weg in die Freiheit genommen haben, oder bei dem Internethändler „Billig und Geil“ in Palermo, bei dem ich vor 2 Monaten per Kreditkarte zahlte, oder der Keylogger oder oder oder. Laut der Forderung der Digitalen Gesellschaft muss SONY nachweisen, dass der Betrüger die Daten nicht aus deren Datenbestand hat. Wie soll das funktionieren?

Nachwort

In meinen Augen haben sich die Leute der Digitalen Gesellschaft mit dieser Forderung auf das Niveau einer Frau von der Leyen begeben: Forderungen stellen ohne sich vorher eingehend mit der Materie auseinander gesetzt zu haben, mal mit einem gesprochen zu haben, der etwas davon versteht(SCNR).

Abgesehen von dem – in meinen Augen – Blödsinn, den die Digiges hier verzapft, gibt es natürlich Handlungsbedarf in Sachen Datenschutz und Datensicherheit. Allerdings muss man hier sehr genau darauf achten was man fordert und welche Lösungen man vorschlägt, da man sich sonst schnell in Abseits manövriert.

Warentest warnt vor „SecureCode“ und „Verified by Visa“

Da macht sich der Normalsterbliche keine Gedanken, gut dass Warentest da mal drüber nachgedacht hat:

„SecureCode“ oder „Verified by Visa“ bringen bei Kreditkartenzahlung im Internet mehr Sicherheit. Aber: Es profitieren in erster Linie Online-Shops und Kreditkarten-Banken. Kunden laufen Gefahr, nach Hacker-Angriffen für Missbrauch zahlen zu müssen. test.de empfiehlt deshalb: Lehnen Sie „SecureCode“ und „Verified by Visa“ unbedingt ab. Ausnahme: Kreditkarten von Sparkassen. Bei ihnen geht die zusätzliche Sicherheit nicht zu Lasten der Kunden.

Quelle: Warentest.