ZitatOriginal geschrieben von Puti
Wie auch immer habe ich mal eine Mail an die Advanzia geschickt, wie es mit der Haftungsfrage bei Missbrauch des SecureCodes aussieht.
Naja das hatte ich ja auch schon gemacht. Da bekommt man aber nur eine sehr schwammige Rückantwort:
http://www.telefon-treff.de/sh…ostid=3828187#post3828187
Meine eigentliche Frage, wer denn nun im Missbrauchsfall in der Beweispflicht ist, wurde von der Advanzia (wahrscheinlich aus gutem Grund) gar nicht beantwortet.
Ich schaue hier nur sporadisch vorbei, da meine Advanzia (daher auch der 20€-Tankrabatt!) ein Schattendasein führt, aber evtl. ist bei der einen oder anderen Frage der flgd. Link dienlich über neue Regeln ab 1.11. für Überweisungen, Lastschriften und Kartenzahlungen bei allen Banken und spielt beim neu(eingeführt)en Secure-Code mit rein
http://www.verbraucherzentrale…95320226/link622391A.html
In der Demo zum SecureCode wird gezeigt, dass bei der Registrierung zum Zwecke der Identifizierung auch Daten wie die Postleitzahl der Rechnungsadresse oder das Geburtsdatum abgefragt werden können.
Bei der Registrierungsprozedur zum SecureCode der Advanzia werden dann aber ausschließlich Daten abgefragt, die auf der Karte stehen.
Wo ist da der Sicherheitsgewinn? Es kann sich jeder, der die Kartendaten beispielsweise abgeschrieben hat, einfach für den SecureCode anmelden und dann wie bisher auch illegal einkaufen gehen. Selbst, wenn man sich für den SecureCode angemeldet und bereits ein Passwort vergeben hat, ist das keine Hürde. Es ist nämlich für den Fall, dass man das Passwort vergessen hat, jederzeit eine Neu-Registrierung möglich, bei der man dann nur kurz bestätigen muss, dass man sich wirklich neu registrieren will. Dann gibt man wieder nur die üblichen Kartendaten ein und das war's.
So, wie das Ganze bei der Advanzia umgesetzt wurde, ist es echt für die Katz. Wenn man das Geburtsdatum, die Postleitzahl der Rechnungsadresse oder von mir aus die hinterlegte Emailadresse abfragen würde, könnte ich einen gewissen Sicherheitsgewinn sehen. Aber so?!
Email ist raus, mal sehen, was kommt.
ZitatOriginal geschrieben von heini5131
Email ist raus, mal sehen, was kommt.
Es ehrt dich, dass du versuchst da nachzuhaken, aber erwarte bitte nicht mehr als eine Standardantwort. Insgesamt ist alles, was in dem Bereich passiert, leider nicht neu und in anderen Märkten ist es auch absolut üblich, dass z.B. die Postleitzahl der Rechnungsadresse bei gewissen Transaktion teilweise (sprich AVS) geprüft wird, da man dann keine Inteface-Probleme mit den allermeisten POS-Terminals bekommt. Letztendlich ist das auch eher eine geringe Hürde, aber je nachdem, wie das AVS-System ausgestaltet ist, reduziert es zumindest den Missbrauch durch Gelegenheitsdiebstahl, auch wenn bei vielen heute üblichen Attacken gar keine Auswirkung hat.
Insgesamt ist es so, dass gerade die Bestandteile Geburtsdatum und Anschrift bei vielen Menschen für organisierte Betrüger verhältnismäßig problemlos zu erhalten sind. Dafür sind diese Informationen einfach zu sehr quasi-öffentlich, da sie bei Alltagsgeschäften für so viele Transaktionen benötigt werden, dass jemand, der genügend motiviert ist, sie auch irgendwo herbekommen wird. Und das alleine die Kombination aus Postleitzahl und Geburtsdatum schon sehr viele Rückschlüsse zulässt, hat die Sweeney-Studie ja vor über 10 Jahren schon recht eindrucksvoll bewiesen.
Und es gibt und gab ja auch andere, deutlich bessere Vorschläge zur Erhöhung der Sicherheit von Kreditkarten-Transaktionen. Das Problem ist, dass es eben nicht wirklich um Sicherheit geht. Größtmögliche Sicherheit in Finanzsystemen hat zwei natürliche Feinde: Kosten und Nutzbarkeit. Ist das System nicht einfach zu nutzen (wie z.B. C/R-Systeme, bei denen alle oder auch nur einige bestimmte Transaktionen erst autorisiert werden sobald der Code aus einer SMS eingegeben wurde), werden es der Handel und letztendlich auch der Endkunde ablehnen. Kostet es zu viel, wird es erst gar keine Verbreitung finden (ich fühle mich da immer die schönen, jahrelange vorgetragenen Versprechungen der Befürworter der Geldkarte vor der JuSchG-Reform erinnert). Das ganze Theater ist also mehr oder weniger immer der kleinste gemeinsame Nenner, was ja aber auch wieder nicht neu ist - auch gerade im Bereich von PCI-DSS ist da des einen "guter Ansatz" für einen anderen eben reine Augenwischerei.
Na immerhin sind Geburtsdatum, Anschrift und E-Mail-Adresse nicht der Karte selbst zu entnehmen.
Die von heini5131beschriebene Abfrage von Daten für den Advanzia-Securecode ist aber keinen Deut sicherer als die derzeit praktizierte Abfrage von Name, Nummer, Gültigkeit, csv-Code.
Dennoch soll sich die Händlerhaftung (vermutlich zu Lasten des Kunden) verringern...
ZitatOriginal geschrieben von rmol
Na immerhin sind Geburtsdatum, Anschrift und E-Mail-Adresse nicht der Karte selbst zu entnehmen.
Die von heini5131beschriebene Abfrage von Daten für den Advanzia-Securecode ist aber keinen Deut sicherer als die derzeit praktizierte Abfrage von Name, Nummer, Gültigkeit, csv-Code.
Das stimmt und ich wollte dem auch gar nicht widersprechen. Eigentlich wollte ich mit meinem Posting nur zum Ausdruck bringen, dass auch den Banken bzw. Mastercard und Visa durchaus bekannt ist, dass 3D-S per se Probleme hat. Deutschland hinkt da (wie in den meisten Bereichen was die KK-Branche angeht) nur ordentlich hinterher, weshalb man um die Probleme am Konzept selbst und um unschöne implementationsspezifische Umstände eigentlich weiß.
Gerade ADS (worum es ja hier geht) ist da mächtig unglücklich und man hat die Erfahrung gemacht, dass man so seine Kunden wunderbar zu Phishing-Opfern (um)erziehen kann. Macht man es nun wie im vorliegenden Fall andersherum so, dass man nur Daten, die auf der Karte stehen abfragt, wird die ganze Sache komplett wertlos (das Standard-Argument dagegen war dann immer, dass man wenigstens die IP hat, die hat der payment processor aber schon so als compliance-Erfordernis vorzuhalten und im Zweifelsfall ist die sowieso wertlos). Das sind also durchaus Erfahrungswerte, die die Banken haben (sollten). Das ich das gesamte System mehr oder weniger aus Händler- und Konsumentensicht für kompletten Murks halte, sollte ich fairerweise vielleicht auch noch erwähnen.
...und vielleicht noch ein kleines Abkürzungsverzeichnis zu ersterem Beitrag nachliefern 
ZitatOriginal geschrieben von smudo78
...und vielleicht noch ein kleines Abkürzungsverzeichnis zu ersterem Beitrag nachliefern
Äh ja, wo du recht hast, hast du recht.
In Kurzform: AVS nennt man die teilweise Verifizierung von den hinterlegten Adressdaten, den man als Deutscher meist nur dadurch kennt, dass man bei KK-Zahlung im Ausland eine Postleitzahl eingeben muss. Der Hintergedanke ist ganz einfach: der redliche Kartenbesitzer wird seine Postleitzahl wissen, von daher baut man damit keine große Nutzungsbarriere ein, aber gleichzeitig sind die PLZ-Bezirke oftmals noch klein genug, damit nicht immer die PLZ in dem sich der Automat oder das POS-System befindet auch gleich der des Karteninhabers ist. Es gibt dann noch verschiedene Möglichkeiten das in andere Systeme zu integrieren und eine Falscheingabe bei einer aktiven Karte zu handhaben. Wenn es vernünftig gehandhabt wird, ist das auch eine ordentliche, noch halbwegs effektive und gleichzeitig sehr kostengünstige Lösung.
C/S steht einfach für "Challenge/Response". Das ist im Grunde nichts anderes als das was hierzulande als mTan bekannt geworden ist und ebenfalls in meinen Augen einen vernünftigen Einsatzzweck hat. Im KK-Bereich gibt es bei automatischen Zahlungen und in ein paar anderen Bereichen damit zwar Probleme und wenn man es generell bei Zahlungen per SMS macht, verzögert es Zahlungen auch in einem Rahmen, den kein Einzelhändler hinnehmen wird. Aber auch da gab es brauchbare Ansätze.
Tja, und das JuSchG ist eben das Jugendschutzgesetz, dem die Geldkarte quasi ihre praktische Akzeptanz (zumindest unter Rauchern) verdankt. Davor hatte man sie zwar und ab und zu auch mal Guthaben drauf, aber außerhalb von Parkhäusern und vereinzelt dem ÖPNV gab es eigentlich keine Nutzungsmöglichkeit dafür und daher auch kaum Nachfrage. Über PCI könnte man jetzt Bücher schreiben und wie das immer bei solchen Sachen ist, klatscht man dann am besten einfach einen Wikipedia-Link hin. 
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!