Hi,
On 20/05/2022 09:39, Thomas Schmidt wrote:
Konrad sprach die Bestätigung durch den Kunden bereits an als "Haken".
Der Haken der App ist allerdings recht groß, nämlich eine
Haftungsumkehr. Nicht nur der Händler lässt sich um Vorfeld die
Zahlung von dir bestätigen, sondern auch die Bank.
Soweit korrekt.
Genau genommen: der Händler leitet Dich auf die Webseite der
Kreditkartenfirma weiter und die tut was auch immer vereinbart ist um
die Bestätigung einzuholen (kann eine Passwort- oder Code-abfrage sein
oder die Seite zeigt solange Sanduhren an bis Deine Handy-App ein Ja
oder Nein bekommen hat). Danach hat die Kreditkartenfirma das okay und
sagt dem Händler dass das Geld jetzt sicher ist. Deine Bank (von der Du
die Karte erhalten hast) hat mit der Kreditkartenfirma einen Vertrag der
besagt, dass bestätigte Transaktionen nicht rückabgewickelt werden
können (es sei denn es gibt ein Gerichtsurteil gegen Bank oder Händler).
(Vorsicht: IANAL, ich nix Rechtsverdreher, ich nix legal Ahnung. Ich
hatte nur ein bisschen Grundlagen des Vertragsrechts im
Informatik-Studium.)
Das heißt, jeder Betrüger, der die App simuliert, bekommt das Geld,
und du zahlst.
Zwei Denkfehler:
a) die App muss die Anforderungen von PCIDSS erfüllen und kann damit
nicht mal eben "simuliert" werden - man braucht schon einiges an
Schlüsselmaterial und Energie um die Verbindung zur App zu fälschen, am
einfachsten wäre Dein Handy zu klauen, aber man muss dann auch den
Pin-Code wissen und schneller agieren als Du die Karte sperren kannst;
alternativ muss man in Dein Handy hacken und die verschlüsselten
Kreditkartendaten abgreifen, knacken und misbrauchen - wir sind nicht
bei StarTrek wo Mr. Data das in ein paar Sekunden macht
b) Der Betrüger braucht die App nicht um das Geld zu bekommen und den
meisten Betrügern geht es auch nicht darum Dir zu schaden, sondern darum
selbst reich zu werden. Der einfachste Weg ist es den Transfer irgendwo
durchzuführen wo die App gar nicht involviert wird. Zum Beispiel auf dem
Idumota Market in Lagos oder so.
Meistens läuft ein Betrug so:
1) Betrüger A erbeutet eine ganze Datenbank voll Kreditkartennummern,
nebst 3-stelliger "Security Codes" von irgendeinem großen
online-Händler, der die Sicherheitslücke des Jahres verschlafen hat und
demnächst Ärger mit der Finanzaufsicht seines Landes bekommt
2) Betrüger A verkauft diese Datenbank in tausender-Tranchen im Darknet
3) Betrüger B kauft eine handvoll Tranchen für relativ wenig Geld
4) Betrüger B gibt jeweils eine Handvoll Nummern oder "Karten-Clone" an
eine Schar von "Mules", die damit Luxusgüter online oder offline kaufen
sollen
5) Die Luxusgüter werden an weitere "Mules" weitergegeben, die sie dann
auf eBay oder dem lokalen Bazar verscherbeln (mit Verlust, aber der
Verlust wird ja von jemand anderes bezahlt)
6) Vom Erlös bekommen die Mules einen Teil ab und der Großteil wird (per
Post oder Western Union) an den Betrüger B geschickt
7) Betrüger B kauft sich einen Porsche und ein paar von den Mules werden
erwischt und gehen in den Knast, Betrüger A kauft sich einen besseren
Laptop und hackt weiter
8) falls bei 4 die App aufgepopt ist und Du den Haken setzt bist Du
selber schuld, wenn sie nicht aufpopt und Du auch nicht der Abrechnung
widersprichst auch selber schuld, ansonsten trägt der Händler oder seine
Bank die Kosten
8b) eigentlich tragen wir alle die Kosten, weil wir ja Gebühren und/oder
Zinsen für Kreditkarten bezahlen - das ist schon eingerechnet
8c) wenn das ein paar mal mit vielen Karten passiert wird bei der
Polizei eine Akte angelegt und man versucht herauszufinden was das
Muster ist, manchmal hat man Glück und kann ein paar Mules verhaften
oder herausfinden welcher Server-Einbruch dazu geführt hat und kann die
Karten sperren, B ärgert sich nur ein bisschen weil er neue Tranchen
kaufen muss
8d) wenn es ein paar Mal mit Deiner Karte passiert wird Dir Deine Bank
ganz schnell eine neue Kartennummer geben wenn Du nicht schon selber auf
diese Idee gekommen bist
Ein richtig dummer B ist sein eigener Mule und wird ein paar Monate
später erwischt. Manchmal sind A und B Teil der selben professionellen
Bande und sie haben genug Cops gekauft um das jahrelang ungestraft zu
machen.
Den "klassischen" Betrug gibt es nur noch selten wo ein Händler nach
Deiner Transaktion mit Deinen Kartendaten nochmal irgendwo einkauft.
Selten, weil man es leicht entdecken kann und diese Händler dann recht
schnell in den Knast wandern. Diese Art von Betrüger müsste dann auch
Dein Handy oder Token klauen, damit Du auf den Kosten sitzen bleibst.
Lohnt sich nicht.
Kreditkartenfirmen steckten viel Aufwand in die Verfolgung von
Betrugsfällen, den sie mit der App nun an dich abgeben.
Korrekt, das war die Idee hinter der App oder dem Token oder whatever.
Aber eigentlich soll die App das Problem abfangen bevor es zum Betrug
kommt. Es machen dummerweise nur nicht genug Händler und Banken mit.
Bisher habe ich die App durchschnittlich 1 bis 2 Mal im Jahr gebraucht.
Wahrscheinlich müsste ich mehr Briefmarken bestellen, damit ich mir
endlich mal die Pin merke...
Als meine Bank mir das aufgezwungen hatte, hatte ich das Schlimmste
befürchtet, aber was ich bisher gesehen habe war ein erstaunlich
robustes Design. Leider ist das Marketingmaterial für nicht-Informatiker
geschrieben die man mit Worten wie "X.509" oder "Enrollment" nur
verschrecken würde.
Viel Spaß als Privatmensch in Nigeria deine Rechte durchzusetzen.
Brauchst Du nicht. Du hast keinen Vertrag mit irgendwem in Nigeria. Du
hast einen Vertrag mit Deiner Bank und der Kreditkartenfirma. Das sind
diejenigen mit denen Du Dich im Zweifelsfall vor Gericht triffst. Es
muss schon richtig viel schiefgehen damit die App Deine Bank vor der
Haftung rettet ohne dass Du selber Mist gebaut hast - und selbst dann
greifen noch Limits und andere Mechanismen (siehe unten) bevor es zur
Katastrophe kommt.
Ich habe mich entschieden keiner Kreditkartenfirma Vollzugriff auf
mein Geld zu geben und daher keine App.
Das ist natürlich Deine freie Entscheidung.
Nur aus Spass, schauen wir mal was am "Vollzugriff" dran ist:
Also die Firma hinter meiner Kreditkarte hat sehr begrenzten Zugriff auf
mein Konto: sie dürfen jeden Monat automatisch meine
Kreditkartenschulden per Lastschrift abbuchen. Ich könnte auch selber
überweisen, aber dann kostet es potentiell Zinsen wenn ich zu langsam
bin. Meine Bank begrenzt das auf einen (monatlichen) Betrag den ich mit
der Bank abgesprochen habe (die Bank agiert als Agent für die
Kreditkartenfirma) und den ich jederzeit anpassen kann. Wenn meine Karte
höher belastet wird schlägt die Kreditkartenfirma automatisch Alarm und
Heerscharen von Bänkern rufen mich erstmal an um zu erfahren ob meine
Karte geklaut wurde (ist noch nicht passiert, aber so habe ich meinen
Berater verstanden). Ich habe die Karte auf einem Limit stehen mit dem
ich bequem einkaufen kann, aber das nicht so hoch ist dass ich gleich
pleite bin.
Die Kreditkartenfirma hat keinen Zugriff auf mein Sparbuch, meine
Anlagen, etc. Es gibt also genug Geld neben dem Girokonto von dem ich
weiter existieren kann, selbst wenn es zur finanziellen
Kreditkartenapokalypse kommen sollte. Kreditkartenfirma ist nicht gleich
Bank, die können nicht einfach zugreifen.
Die Firma hat auch ein Interesse daran keine Transaktionen zuzulassen
die nicht von mir stammen und dazu hat sie recht gute Vorhersagemodelle.
Sollte mal etwas passieren was vollkommen ausserhalb meiner Gewohnheiten
liegt (z.B. Einkauf eines Luxusparfüms in Lagos), dann werden sie (laut
meinem Berater) anrufen. Bisher scheine ich recht gut vorhersagbar zu
sein (ich habe meine Bank aber auch immer wissen lassen wenn ich in
ungewöhnlich weit entfernte Gegenden fahre).
Bei Datendiebstahl im Internet kann ich innerhalb der Fristen (ein paar
Wochen) den Abbuchungen widersprechen. Die Bank erinnert mich recht
penetrant daran meine Abrechnung runterzuladen. In dem Fall würde ich
dann auch die Karte sperren. Ab Sperre kann wirklich nix mehr passieren.
Sollte meine App mal unvermittelt aufpoppen ohne dass ich gerade auf die
Kaufbestätigung von einem Händler warte, dann werde ich natürlich nicht
meine Pin eingeben, sondern die Bank anrufen und fragen was los ist.
Wenn meine Karten weg sind oder mein Handy geklaut wird werde ich mir
das nächste Telefon suchen und bei der Hotline anrufen um eine ganze
Reihe von Sachen zu sperren - nicht nur die Kreditkarte.
Das Risiko dass die App geknackt wird ist relativ gering und Betrüger
würden eher auf eine der anderen tausend geklauten Kartennummern
ausweichen und hoffen dass keine App gebraucht wird. Selbst wenn das
passieren sollte ist mein Schaden auf das monatliche Limit begrenzt (die
App kann wirklich nur fragen "X will Y Euros, ja/nein?", sie kann keine
anderen Zugriffe machen). Da ich dann garantiert nicht der Einzige bin
kann ich gemeinsam mit der Verbraucherzentrale und vielen anderen vor
Gericht ziehen und feststellen lassen dass die App wertlos ist (kein
großer Trost, aber man hat es der Bank mal gezeigt...).
Sollte ich im Dschungel gekidnappt werden und die Kidnapper erpressen
meine Kreditkartendaten, dann hatte ich schon viel größere Probleme als
ich Trottel in den Dschungel wollte... ;-)
Vergleichen wir das mal mit anderen Methoden oder Plattformen:
EC-Karte: eine Transaktion, die passiert ist kann nicht mehr rückgängig
gemacht werden. Egal ob per App bestätigt oder nicht. Eine geklaute
EC-Karte ist unsicher bis sie gesperrt ist. Wenn Du einen
Überziehungskredit hast (den hast Du wenn Du nicht explizit
widersprichst) dann hast Du bei Diebstahl recht schnell Probleme, die
über Deinen Kontostand hinausgehen.
Lastschrift: Rückabwicklung ist innerhalb von Europa möglich, macht
Aufwand und kostet Geld. Ausserhalb ist es meistens schwer bis unmöglich
das überhaupt zu machen, Rückabwicklung kannst Du vergessen. Da Du dem
Händler Zugriff auf Dein Konto gibst solltest Du genau überlegen wem Du
das gibst.
"Sofortüberweisung": Du gibst einer Dienstleistungsfirma, die weniger
gut reguliert ist als Deine Bank, die Vollmacht Dich bei Deiner Bank zu
vertreten. Hmm, was ist an diesem Bild falsch?
Paypal: schlecht regulierter Finanzdienstleister mit
Lastschrifterlaubnis. Kann funktionieren, tut es meistens auch, kann
aber auch schiefgehen. Rückabwicklung liegt im Ermessen von Paypal.
Rückabwicklung der Lastschrift kannst Du als Backup verwenden, aber dann
brauchst einen guten Anwalt.
Überweisung: macht Aufwand, aber ist relativ sicher. Solange Du Dich
nicht vertippst. Wenn Du Dich vertippst, dann ist das Geld weg. Ohne
Rückabwicklung. Auch wenn Du erst überweist und der Händler dann nix
schickt ist das Geld weg.
Barzahlung: funktioniert nur in physischen Geschäften. Das Risiko wird
minimiert indem man nicht gleich tausende Euros rumschleppt.
Rückabwicklung ist ein lächerlicher Gedanke. Weg ist weg.
eBay & Amazon & Amazon Pay: siehe Paypal.
Alibaba Pay: wie Paypal, aber China hat die Aufsicht
Bleibt bei Kreditkarte natürlich noch der Aufwand die Abrechnung zu
prüfen. Das kann man minimieren indem man die Karte nur dort einsetzt wo
es wirklich nötig ist. Mit dieser Strategie fahre ich jetzt seit mehr
als 10 Jahren recht gut. Ich will Dir nichts einreden, aber das Risiko
ist nicht so hoch wie man am Anfang glaubt.
"nötig": Einkäufe im nicht-EU Ausland (z.B. USA ohne Kreditkarte
bereisen ist blödsinnig; online in USA oder den meisten anderen Ländern
bestellen geht auch nur mit Kreditkarte); Plattformen und Händler wo ich
der Meinung bin dass ich die Widerspruchsmöglichkeit brauche, weil ich
der Plattform nicht über den Weg traue und definitiv meine Kontodaten
nicht rausrücken will (z.B. Alibaba) - Kreditkarte sperren ist auch
weniger schmerzhaft als eine neue Kontonummer und sie hat ein Limit was
noch enger ist als das vom Konto an dem sie hängt
Du wirst mich nicht dabei erwischen wie ich eine Tüte Äpfel im Aldi mit
Kreditkarte bezahle. Die Pudelmütze vom Weihnachtsmarkt werde ich bar
bezahlen.
Ergebnis: meine monatliche Abrechnung ist ca. 5 Einträge lang und ich
kann sie bequem prüfen während ich mit dem anderen Auge Star Trek gucke.
Falls ich im Ausland bin ist die Abrechnung natürlich etwas länger, aber
da sammel ich halt meine Belege.
Disclaimer: mit dieser Strategie hatte ich auch noch nie irgendwelche
seltsamen Transaktionen, die ich nicht selbst veranlasst hatte. Kann
sein dass ich mehr als 10 Jahre Glück hatte. Ich habe von einigen
Bekannten gehört, die ständig Kreditkarte für alles einsetzen, dass die
Rückabwicklung recht problemlos funktioniert - das sind allerdings
amerikanische Bekannte/Karten, ich kenne keine Europäer die Äpfel mit
Kreditkarte bezahlen würden (höchstens Äpfel mit Alugehäuse).
FAQ:
Brauchst Du eine Kreditkarte? Wenn Du nur in Deutschland oder der EU
einkaufst dann nicht. Die meisten großen Händler in Deutschland sind
vertrauenswürdig genug für EC/Lastschrift, die meisten kleineren bieten
Dir an zu überweisen oder über Proxies wie Paypal oder Amazon Pay zu
gehen (falls Du dort sowieso einen Account hast, bei Paypal geht auch
spontan ohne Account). Wenn Du außerhalb der EU online oder offline
unterwegs bist, dann kann es sein dass Du ohne Kreditkarte nicht weiter
kommst.
Wenn Du eine Kreditkarte hast - brauchst Du dann ein Token/Code/App? Ja,
Deine Bank wird Dich dazu zwingen. Warum weiß nur ein Beamter in
Brüssel, der die Regulierung geschrieben hat.
Ist es so schlimm wie es klingt? Nein. Ich hatte auch mit schlimmerem
gerechnet, aber man braucht es erstaunlich selten und es ist erstaunlich
sicher designt wenn man es mal braucht.
Aber Kreditkarte ist doch die schlechteste Bezahlmethod von allen!?
Nein, es gibt reichlich dümmere Ideen. Aber natürlich auch ein paar
bessere.
Ich will nur Bargeld!? Ich bewundere Deine Unterstützung für lokale
Ladengeschäfte, Deine Bereitwilligkeit höhere Preise zu bezahlen und auf
bestimmte Produkte komplett zu verzichten. ;-)
Welche Bezahlmethoden Du benutzt musst Du selbst entscheiden. Im
Wesentlichen ist es davon abhängig welche Kompromisse Du bereit bist
einzugehen und welche Einkaufsmöglichkeiten Du benutzen willst. Keine
Methode ist perfekt, kein Händler ist unersetzlich, kein Preis ist
universell gültig, keine Transaktion ist komplett ohne Risiko. Es ist
immer eine Balance zwischen Komfort, Sicherheit und Kosten - Du musst
entscheiden wo Dein Kompromiss liegt.
Konrad
