Hi,
On 20/05/2022 09:39, Thomas Schmidt wrote:
Konrad sprach die Bestätigung durch den Kunden bereits an als "Haken". Der Haken der App ist allerdings recht groß, nämlich eine Haftungsumkehr. Nicht nur der Händler lässt sich um Vorfeld die Zahlung von dir bestätigen, sondern auch die Bank.
Soweit korrekt.
Genau genommen: der Händler leitet Dich auf die Webseite der Kreditkartenfirma weiter und die tut was auch immer vereinbart ist um die Bestätigung einzuholen (kann eine Passwort- oder Code-abfrage sein oder die Seite zeigt solange Sanduhren an bis Deine Handy-App ein Ja oder Nein bekommen hat). Danach hat die Kreditkartenfirma das okay und sagt dem Händler dass das Geld jetzt sicher ist. Deine Bank (von der Du die Karte erhalten hast) hat mit der Kreditkartenfirma einen Vertrag der besagt, dass bestätigte Transaktionen nicht rückabgewickelt werden können (es sei denn es gibt ein Gerichtsurteil gegen Bank oder Händler).
(Vorsicht: IANAL, ich nix Rechtsverdreher, ich nix legal Ahnung. Ich hatte nur ein bisschen Grundlagen des Vertragsrechts im Informatik-Studium.)
Das heißt, jeder Betrüger, der die App simuliert, bekommt das Geld, und du zahlst.
Zwei Denkfehler:
a) die App muss die Anforderungen von PCIDSS erfüllen und kann damit nicht mal eben "simuliert" werden - man braucht schon einiges an Schlüsselmaterial und Energie um die Verbindung zur App zu fälschen, am einfachsten wäre Dein Handy zu klauen, aber man muss dann auch den Pin-Code wissen und schneller agieren als Du die Karte sperren kannst; alternativ muss man in Dein Handy hacken und die verschlüsselten Kreditkartendaten abgreifen, knacken und misbrauchen - wir sind nicht bei StarTrek wo Mr. Data das in ein paar Sekunden macht
b) Der Betrüger braucht die App nicht um das Geld zu bekommen und den meisten Betrügern geht es auch nicht darum Dir zu schaden, sondern darum selbst reich zu werden. Der einfachste Weg ist es den Transfer irgendwo durchzuführen wo die App gar nicht involviert wird. Zum Beispiel auf dem Idumota Market in Lagos oder so.
Meistens läuft ein Betrug so:
1) Betrüger A erbeutet eine ganze Datenbank voll Kreditkartennummern, nebst 3-stelliger "Security Codes" von irgendeinem großen online-Händler, der die Sicherheitslücke des Jahres verschlafen hat und demnächst Ärger mit der Finanzaufsicht seines Landes bekommt
2) Betrüger A verkauft diese Datenbank in tausender-Tranchen im Darknet
3) Betrüger B kauft eine handvoll Tranchen für relativ wenig Geld
4) Betrüger B gibt jeweils eine Handvoll Nummern oder "Karten-Clone" an eine Schar von "Mules", die damit Luxusgüter online oder offline kaufen sollen
5) Die Luxusgüter werden an weitere "Mules" weitergegeben, die sie dann auf eBay oder dem lokalen Bazar verscherbeln (mit Verlust, aber der Verlust wird ja von jemand anderes bezahlt)
6) Vom Erlös bekommen die Mules einen Teil ab und der Großteil wird (per Post oder Western Union) an den Betrüger B geschickt
7) Betrüger B kauft sich einen Porsche und ein paar von den Mules werden erwischt und gehen in den Knast, Betrüger A kauft sich einen besseren Laptop und hackt weiter
8) falls bei 4 die App aufgepopt ist und Du den Haken setzt bist Du selber schuld, wenn sie nicht aufpopt und Du auch nicht der Abrechnung widersprichst auch selber schuld, ansonsten trägt der Händler oder seine Bank die Kosten
8b) eigentlich tragen wir alle die Kosten, weil wir ja Gebühren und/oder Zinsen für Kreditkarten bezahlen - das ist schon eingerechnet
8c) wenn das ein paar mal mit vielen Karten passiert wird bei der Polizei eine Akte angelegt und man versucht herauszufinden was das Muster ist, manchmal hat man Glück und kann ein paar Mules verhaften oder herausfinden welcher Server-Einbruch dazu geführt hat und kann die Karten sperren, B ärgert sich nur ein bisschen weil er neue Tranchen kaufen muss
8d) wenn es ein paar Mal mit Deiner Karte passiert wird Dir Deine Bank ganz schnell eine neue Kartennummer geben wenn Du nicht schon selber auf diese Idee gekommen bist
Ein richtig dummer B ist sein eigener Mule und wird ein paar Monate später erwischt. Manchmal sind A und B Teil der selben professionellen Bande und sie haben genug Cops gekauft um das jahrelang ungestraft zu machen.
Den "klassischen" Betrug gibt es nur noch selten wo ein Händler nach Deiner Transaktion mit Deinen Kartendaten nochmal irgendwo einkauft. Selten, weil man es leicht entdecken kann und diese Händler dann recht schnell in den Knast wandern. Diese Art von Betrüger müsste dann auch Dein Handy oder Token klauen, damit Du auf den Kosten sitzen bleibst. Lohnt sich nicht.
Kreditkartenfirmen steckten viel Aufwand in die Verfolgung von Betrugsfällen, den sie mit der App nun an dich abgeben.
Korrekt, das war die Idee hinter der App oder dem Token oder whatever. Aber eigentlich soll die App das Problem abfangen bevor es zum Betrug kommt. Es machen dummerweise nur nicht genug Händler und Banken mit.
Bisher habe ich die App durchschnittlich 1 bis 2 Mal im Jahr gebraucht. Wahrscheinlich müsste ich mehr Briefmarken bestellen, damit ich mir endlich mal die Pin merke...
Als meine Bank mir das aufgezwungen hatte, hatte ich das Schlimmste befürchtet, aber was ich bisher gesehen habe war ein erstaunlich robustes Design. Leider ist das Marketingmaterial für nicht-Informatiker geschrieben die man mit Worten wie "X.509" oder "Enrollment" nur verschrecken würde.
Viel Spaß als Privatmensch in Nigeria deine Rechte durchzusetzen.
Brauchst Du nicht. Du hast keinen Vertrag mit irgendwem in Nigeria. Du hast einen Vertrag mit Deiner Bank und der Kreditkartenfirma. Das sind diejenigen mit denen Du Dich im Zweifelsfall vor Gericht triffst. Es muss schon richtig viel schiefgehen damit die App Deine Bank vor der Haftung rettet ohne dass Du selber Mist gebaut hast - und selbst dann greifen noch Limits und andere Mechanismen (siehe unten) bevor es zur Katastrophe kommt.
Ich habe mich entschieden keiner Kreditkartenfirma Vollzugriff auf mein Geld zu geben und daher keine App.
Das ist natürlich Deine freie Entscheidung.
Nur aus Spass, schauen wir mal was am "Vollzugriff" dran ist:
Also die Firma hinter meiner Kreditkarte hat sehr begrenzten Zugriff auf mein Konto: sie dürfen jeden Monat automatisch meine Kreditkartenschulden per Lastschrift abbuchen. Ich könnte auch selber überweisen, aber dann kostet es potentiell Zinsen wenn ich zu langsam bin. Meine Bank begrenzt das auf einen (monatlichen) Betrag den ich mit der Bank abgesprochen habe (die Bank agiert als Agent für die Kreditkartenfirma) und den ich jederzeit anpassen kann. Wenn meine Karte höher belastet wird schlägt die Kreditkartenfirma automatisch Alarm und Heerscharen von Bänkern rufen mich erstmal an um zu erfahren ob meine Karte geklaut wurde (ist noch nicht passiert, aber so habe ich meinen Berater verstanden). Ich habe die Karte auf einem Limit stehen mit dem ich bequem einkaufen kann, aber das nicht so hoch ist dass ich gleich pleite bin.
Die Kreditkartenfirma hat keinen Zugriff auf mein Sparbuch, meine Anlagen, etc. Es gibt also genug Geld neben dem Girokonto von dem ich weiter existieren kann, selbst wenn es zur finanziellen Kreditkartenapokalypse kommen sollte. Kreditkartenfirma ist nicht gleich Bank, die können nicht einfach zugreifen.
Die Firma hat auch ein Interesse daran keine Transaktionen zuzulassen die nicht von mir stammen und dazu hat sie recht gute Vorhersagemodelle. Sollte mal etwas passieren was vollkommen ausserhalb meiner Gewohnheiten liegt (z.B. Einkauf eines Luxusparfüms in Lagos), dann werden sie (laut meinem Berater) anrufen. Bisher scheine ich recht gut vorhersagbar zu sein (ich habe meine Bank aber auch immer wissen lassen wenn ich in ungewöhnlich weit entfernte Gegenden fahre).
Bei Datendiebstahl im Internet kann ich innerhalb der Fristen (ein paar Wochen) den Abbuchungen widersprechen. Die Bank erinnert mich recht penetrant daran meine Abrechnung runterzuladen. In dem Fall würde ich dann auch die Karte sperren. Ab Sperre kann wirklich nix mehr passieren.
Sollte meine App mal unvermittelt aufpoppen ohne dass ich gerade auf die Kaufbestätigung von einem Händler warte, dann werde ich natürlich nicht meine Pin eingeben, sondern die Bank anrufen und fragen was los ist.
Wenn meine Karten weg sind oder mein Handy geklaut wird werde ich mir das nächste Telefon suchen und bei der Hotline anrufen um eine ganze Reihe von Sachen zu sperren - nicht nur die Kreditkarte.
Das Risiko dass die App geknackt wird ist relativ gering und Betrüger würden eher auf eine der anderen tausend geklauten Kartennummern ausweichen und hoffen dass keine App gebraucht wird. Selbst wenn das passieren sollte ist mein Schaden auf das monatliche Limit begrenzt (die App kann wirklich nur fragen "X will Y Euros, ja/nein?", sie kann keine anderen Zugriffe machen). Da ich dann garantiert nicht der Einzige bin kann ich gemeinsam mit der Verbraucherzentrale und vielen anderen vor Gericht ziehen und feststellen lassen dass die App wertlos ist (kein großer Trost, aber man hat es der Bank mal gezeigt...).
Sollte ich im Dschungel gekidnappt werden und die Kidnapper erpressen meine Kreditkartendaten, dann hatte ich schon viel größere Probleme als ich Trottel in den Dschungel wollte... ;-)
Vergleichen wir das mal mit anderen Methoden oder Plattformen:
EC-Karte: eine Transaktion, die passiert ist kann nicht mehr rückgängig gemacht werden. Egal ob per App bestätigt oder nicht. Eine geklaute EC-Karte ist unsicher bis sie gesperrt ist. Wenn Du einen Überziehungskredit hast (den hast Du wenn Du nicht explizit widersprichst) dann hast Du bei Diebstahl recht schnell Probleme, die über Deinen Kontostand hinausgehen.
Lastschrift: Rückabwicklung ist innerhalb von Europa möglich, macht Aufwand und kostet Geld. Ausserhalb ist es meistens schwer bis unmöglich das überhaupt zu machen, Rückabwicklung kannst Du vergessen. Da Du dem Händler Zugriff auf Dein Konto gibst solltest Du genau überlegen wem Du das gibst.
"Sofortüberweisung": Du gibst einer Dienstleistungsfirma, die weniger gut reguliert ist als Deine Bank, die Vollmacht Dich bei Deiner Bank zu vertreten. Hmm, was ist an diesem Bild falsch?
Paypal: schlecht regulierter Finanzdienstleister mit Lastschrifterlaubnis. Kann funktionieren, tut es meistens auch, kann aber auch schiefgehen. Rückabwicklung liegt im Ermessen von Paypal. Rückabwicklung der Lastschrift kannst Du als Backup verwenden, aber dann brauchst einen guten Anwalt.
Überweisung: macht Aufwand, aber ist relativ sicher. Solange Du Dich nicht vertippst. Wenn Du Dich vertippst, dann ist das Geld weg. Ohne Rückabwicklung. Auch wenn Du erst überweist und der Händler dann nix schickt ist das Geld weg.
Barzahlung: funktioniert nur in physischen Geschäften. Das Risiko wird minimiert indem man nicht gleich tausende Euros rumschleppt. Rückabwicklung ist ein lächerlicher Gedanke. Weg ist weg.
eBay & Amazon & Amazon Pay: siehe Paypal.
Alibaba Pay: wie Paypal, aber China hat die Aufsicht
Bleibt bei Kreditkarte natürlich noch der Aufwand die Abrechnung zu prüfen. Das kann man minimieren indem man die Karte nur dort einsetzt wo es wirklich nötig ist. Mit dieser Strategie fahre ich jetzt seit mehr als 10 Jahren recht gut. Ich will Dir nichts einreden, aber das Risiko ist nicht so hoch wie man am Anfang glaubt.
"nötig": Einkäufe im nicht-EU Ausland (z.B. USA ohne Kreditkarte bereisen ist blödsinnig; online in USA oder den meisten anderen Ländern bestellen geht auch nur mit Kreditkarte); Plattformen und Händler wo ich der Meinung bin dass ich die Widerspruchsmöglichkeit brauche, weil ich der Plattform nicht über den Weg traue und definitiv meine Kontodaten nicht rausrücken will (z.B. Alibaba) - Kreditkarte sperren ist auch weniger schmerzhaft als eine neue Kontonummer und sie hat ein Limit was noch enger ist als das vom Konto an dem sie hängt
Du wirst mich nicht dabei erwischen wie ich eine Tüte Äpfel im Aldi mit Kreditkarte bezahle. Die Pudelmütze vom Weihnachtsmarkt werde ich bar bezahlen.
Ergebnis: meine monatliche Abrechnung ist ca. 5 Einträge lang und ich kann sie bequem prüfen während ich mit dem anderen Auge Star Trek gucke. Falls ich im Ausland bin ist die Abrechnung natürlich etwas länger, aber da sammel ich halt meine Belege.
Disclaimer: mit dieser Strategie hatte ich auch noch nie irgendwelche seltsamen Transaktionen, die ich nicht selbst veranlasst hatte. Kann sein dass ich mehr als 10 Jahre Glück hatte. Ich habe von einigen Bekannten gehört, die ständig Kreditkarte für alles einsetzen, dass die Rückabwicklung recht problemlos funktioniert - das sind allerdings amerikanische Bekannte/Karten, ich kenne keine Europäer die Äpfel mit Kreditkarte bezahlen würden (höchstens Äpfel mit Alugehäuse).
FAQ:
Brauchst Du eine Kreditkarte? Wenn Du nur in Deutschland oder der EU einkaufst dann nicht. Die meisten großen Händler in Deutschland sind vertrauenswürdig genug für EC/Lastschrift, die meisten kleineren bieten Dir an zu überweisen oder über Proxies wie Paypal oder Amazon Pay zu gehen (falls Du dort sowieso einen Account hast, bei Paypal geht auch spontan ohne Account). Wenn Du außerhalb der EU online oder offline unterwegs bist, dann kann es sein dass Du ohne Kreditkarte nicht weiter kommst.
Wenn Du eine Kreditkarte hast - brauchst Du dann ein Token/Code/App? Ja, Deine Bank wird Dich dazu zwingen. Warum weiß nur ein Beamter in Brüssel, der die Regulierung geschrieben hat.
Ist es so schlimm wie es klingt? Nein. Ich hatte auch mit schlimmerem gerechnet, aber man braucht es erstaunlich selten und es ist erstaunlich sicher designt wenn man es mal braucht.
Aber Kreditkarte ist doch die schlechteste Bezahlmethod von allen!? Nein, es gibt reichlich dümmere Ideen. Aber natürlich auch ein paar bessere.
Ich will nur Bargeld!? Ich bewundere Deine Unterstützung für lokale Ladengeschäfte, Deine Bereitwilligkeit höhere Preise zu bezahlen und auf bestimmte Produkte komplett zu verzichten. ;-)
Welche Bezahlmethoden Du benutzt musst Du selbst entscheiden. Im Wesentlichen ist es davon abhängig welche Kompromisse Du bereit bist einzugehen und welche Einkaufsmöglichkeiten Du benutzen willst. Keine Methode ist perfekt, kein Händler ist unersetzlich, kein Preis ist universell gültig, keine Transaktion ist komplett ohne Risiko. Es ist immer eine Balance zwischen Komfort, Sicherheit und Kosten - Du musst entscheiden wo Dein Kompromiss liegt.
Konrad