Wenn man sich anschaut, wie Kreditkarten im Alltag verwendet werden, ist es erstaunlich, dass ein so inhärent unsicheres System überlebt hat, da es fast jede Regel verletzt, die es in Bezug auf Sicherheit gibt. Obwohl es alle drei sicherheitsrelevanten Details (Nummer, Ablaufdatum und CCV-Code) auf ein und derselben physischen Plastikkarte bereitstellt – und das in menschenlesbarer Form –, übergibt man sie dem Kellner im Restaurant und hofft, dass er oder sie die Daten nicht abschreiben wird, während er oder sie Ihre Rechnung bearbeitet.
Oh, und Sie können die Quittung auch mit „Mickey Mouse“ statt mit Ihrem echten Namen unterschreiben, da sich sowieso niemand die Mühe macht, Ihre Unterschrift zu überprüfen. Technisch gesehen wurde die Transaktion bereits verarbeitet, und die Unterschrift wird – wenn überhaupt – nur noch im Falle einer Anfechtung geprüft.
Es scheint, dass die Kreditkartenunternehmen erkannt haben, dass dies für sie teuer wird. Sie haben es satt, den Betrug zu vertuschen und Kunden zu entschädigen, und haben begonnen, sich zu wehren: Statt nur die bereits bekannten drei Komponenten einzugeben, muss man bei der Online-Nutzung nun eine vierte angeben – zumindest manchmal.
Denn je nach Bank, Kartenherausgeber und Kreditkartengesellschaft variiert der Mechanismus für diese Komponente. Manche wollen eine Antwort auf die zuvor gewählte Frage haben, andere verlangen die Verwendung eines zufällig vom Lesegerät generierten Codes. Um die Sache noch komplizierter zu machen, hängt die Anforderung, dieses sicherere System tatsächlich zu verwenden, vom Herkunftsland der verwendeten Karte, den lokalen Gesetzen und dem Online-Shop ab, bei dem Sie bezahlen möchten. Denn auch der Shop-Betreiber kann entscheiden, ob er diese zusätzliche Sicherheitsschicht verlangt oder nicht.
In einem klassischen Einzelhandelsgeschäft oder Restaurant wird das natürlich nicht funktionieren. Hat da gerade jemand PIN-Code gesagt? Haben Sie eine Ahnung, wie das die Abläufe in (belebten) Restaurants durcheinanderbringen würde, wo Kreditkarten auf magische Weise vom Tisch verschwinden, nur um auf magische Weise mit dem ausgedruckten Beleg zurückzukehren, der darauf wartet, unterschrieben zu werden? Oder unterschreibt man tatsächlich auf diesen digitalen Pads an der Kasse?
Langer Rede kurzer Sinn, es scheint, dass eine Verschärfung der Sicherheit auf der Benutzerseite nicht wirklich eine Option ist, wenn man nicht die Benutzerfreundlichkeit einschränken möchte. Und die Benutzerfreundlichkeit scheint ein entscheidender Faktor zu sein – sonst gäbe es keinen logischen Grund, kontaktlose Bezahlmethoden zu forcieren, die nicht einmal eine Unterschrift oder PIN erfordern. Anstatt also Sicherheitsmaßnahmen hinzuzufügen und diese sogar zu erzwingen, mussten sich die Kreditkartenunternehmen etwas einfallen lassen, um zu entscheiden, ob sie eine Transaktion akzeptieren oder nicht, bevor sie die Zahlung autorisieren.
So gesehen haben die Kreditkartenunternehmen das gleiche Problem wie jeder Online-Shop. Je nach Vertrauenswürdigkeit oder Track-History des Kunden stehen unterschiedliche Zahlungsformen zur Verfügung – oder auch nicht. Prepaid, Kredit, eine Zahlung auf Rechnung oder sogar Ratenzahlung. Jede Methode hat ihre Vor- und Nachteile: Während eine Prepaid-Transaktion für den Shop-Betreiber am sichersten ist, ist sie auch so ziemlich die langsamste Form der Zahlung, was zu großen Verzögerungen bei der Auslieferung der bestellten Ware an den Kunden führt. Eine Postpaid-Zahlung hingegen birgt das Risiko, überhaupt nicht bezahlt zu werden.
Was soll man also anbieten? Und für wen? Einem wiederkehrenden Kunden, der schon viele erfolgreiche Transaktionen hinter sich hat, wird man eher erlauben, nach Erhalt der Ware zu bezahlen als einem Neukunden. Klingt logisch? Stimmt, aber warum? Jeder Kunde war ein guter Kunde – bevor es bergab ging. Um das eigene Risiko zu reduzieren, schieben viele Shop-Betreiber die Entscheidung über die Art der Transaktion auf einen Zahlungsanbieter. Und was machen die? In der Regel führen sie verschiedene logische Prüfungen der angegebenen Daten sowie zusätzliche Hintergrundprüfungen durch. Der logische Teil beginnt mit einer einfachen Frage: Ergibt die angegebene Kreditkartennummer einen Sinn? So willkürlich die Ziffern auch erscheinen mögen, sie enthalten Prüfsummen und andere Informationen, die es leicht machen zu erkennen, ob die Zahlen erfunden sind oder tatsächlich existieren könnten. Aber natürlich kann niemand durch bloßes Anschauen sagen, ob sie sich auf eine aktive Karte beziehen und ob sie tatsächlich der Person gehört, die sie beansprucht. Eine weitere wichtige Aufgabe ist es, herauszufinden, ob neue Transaktionen mit ihr durchgeführt werden können? Die einzige Möglichkeit, das zu tun, ist, tatsächlich eine Transaktion durchzuführen, was – zumindest bei einer Kreditkarte – ziemlich einfach ist: Eine einfache Sperranfrage wird Geld auf der Karte zuweisen, aber noch nicht abziehen – aber nur, wenn alle übergebenen Details übereinstimmen. Falls dies nur zur Verifizierung der Karte geschieht, kann es passieren, dass ein großer Geldbetrag dafür verwendet wird, was die Kunden unglücklich macht. Daher versuchen viele Websites, sehr kleine Beträge zu vergeben, beispielsweise nur 1 Cent.
Auch wenn 1 Cent nicht viel zu sein scheint, so ist es doch eine Zuweisung von Mitteln. Um also nett zu ihren potentiellen Kunden zu sein, haben sich einige Shops und deren Zahlungsanbieter gedacht: Wie wäre es, wenn wir eine Transaktion mit 0 Cent durchführen? Was im ersten Moment wie eine brillante Idee klingt, kann leicht nach hinten losgehen: Meine Kreditkartenfirma zum Beispiel sperrt leere Transaktionen, um einen möglichen Missbrauch ihres Dienstes zu verhindern und um – aus ihrer Sicht – sinnlose Transaktionen nicht bearbeiten zu müssen. Daher lassen sie als Teil ihrer Betrugserkennung keine 0-Cent-Transaktionen zu und lehnen die (Überprüfungs-)Anfrage ab.
Was in ihrem Kontext durchaus Sinn macht – wer würde schon für leere Transaktionen bezahlen wollen? – wird vom Shop als ungültige Karte interpretiert, was die Verwendung dieser Karten verbietet, auch wenn sie vollkommen gültig und aktiv sind.
Wenn Sie dies also in Ihren Systemen implementieren müssen, sollten Sie mindestens zweimal darüber nachdenken, wie Sie die Geschäftsanforderung in Regeln und diese Regeln in tatsächlichen Code übersetzen. Dieser Prozess kann genauso schwierig sein wie das Herausfinden des richtigen Regelsatzes, da externe Dienste und Partner möglicherweise ihre eigenen Regeln und Betrugserkennungen haben. Das Letzte, was Sie wollen, sind zwei Betrugserkennungssysteme, die sich gegenseitig bekämpfen – der Benutzer wird immer auf der Verliererseite stehen.