Zahlung mit Tücken
Geldkarte und Sofortüberweisung.de patzen beim Online-Bezahlen
Axel Kossel - 25.09.2009
Die Geldkarte sollte man eigentlich ja unbesorgt als Online-Zahlungsmittel nutzen können, hat doch der Zentrale Kreditausschuss (ZKA) dies gut zehn Jahre lang mit strengen Sicherheitsauflagen hinausgezögert. Ich habe das also probiert -- und prompt ging es schief. Genauer gesagt: Mein Einkauf klappte, doch der Händler bekam kein Geld von mir. Bei einem anderen Testkauf buchte Sofortüberweisung.de Geld vom falschen Konto ab.
Die Einführung des Secoder-Standards für Chipkartenleser vor gut einem Jahr machte endlich den Weg frei, um das lang gereifte System auch mit preiswerten Geräten nutzen zu können. Mein Selbstversuch für den anstehenden c't-Artikel begann mit einer reibungslosen Installation der Windows-XP-Treiber für den Kartenleser KAAN Trib@nk von Kobil. Ich befüllte darüber die noch leere Karte online mit 100 Euro.
Mit Kartenleser kann man die Geldkarte auch am Internet-Geldautomaten aufladen.
Dann wählte ich aus der kurzen Liste von Online-Shops, bei denen man mit Geldkarte bezahlen kann, Computeruniverse.net aus, legte dort eine USB-Festplatte für 82,90 Euro in den Warenkorb und klickte mich zur Kasse durch. Nachdem ich den misstrauischen Internet Explorer überzeugt hatte, ein Popup zu öffnen und ein Applet zu starten, griff dieses auf den Kartenleser zu. Auf dessen Display stand "GK Zahlung 88,40 €" (inkl. Versandkosten) und er wartete auf meine Bestätigung per Tastendruck.
Die Online-Zahlung mit der Geldkarte ist ein seltenes Erlebnis das ich in einem Foto festhalten wollte. Bis ich damit fertig war, meldete das Lesegerät "Abbruch, ok". Ganz anders stellte sich der Vorgang auf dem Monitor dar: Das Applet bedankte sich für die Bezahlung und auch im Shop stand, dass die Zahlung erfolgt sei.
Das Applet bedankt sich für eine Zahlung, die gar nicht stattgefunden hat.
Zunächst vermutete ich, dass die Karte ohne mein Zutun belastet worden sei, doch die 100 Euro waren noch da. Ich wiederholte den Einkauf und bestätigte diesmal die Zahlung. Kurz darauf bekam ich die Bestätigung über zwei Einkäufe und zwei Tage später erhielt ich ein Paket, mit zwei USB-Platten: einer bezahlten und einer kostenlosen.
Hintergründe
Der Shop-Betreiber, die Firma fun communications, die das Applet programmiert hat, und der Zahlungsdienstleister Computop Wirtschaftsinformatik suchten den Fehler und fanden ihn auf einem Server bei Computop, der Händlerkarten verwaltet. Das Internet-Händlersystem fun SmartLine besteht aus dem Applet auf dem Kunden-PC und diesem SAM-Server (Security Access Module). Der Fehler bewirkte, dass das Applet zwar den Abbruchcode durchreichte und die Karte nicht belastete, der SAM-Server die Zahlung aber als geleistet verarbeitete und dies auch an die Shop-Software beim Händler meldete.
Johannes Feulner von fun communications erklärte gegenüber heise online, dass die tiefere Ursache auf eine Änderung in der Secoder-Spezifikation zurückgehe. fun habe bereits vor der endgültigen Verabschiedung der Spezifikation durch den ZKA mit Prototypen verschiedener Hersteller von Chipkartenlesern die Software entwickelt. Der in diesem Stand enthaltene Fehler sei in einem späteren Update behoben worden. Ralf Gladis von Computop räumte ein, dass man dieses Update zwar installiert, aber den Dienst nicht neu gestartet habe. Dies wurde inzwischen nachgeholt.
Dass dieser Fehler offensichtlich über längere Zeit unentdeckt blieb, zeigt eindrücklich, wie wenig die Geldkarte bislang als Online-Zahlungsmittel genutzt wird. So berichtet Ralf Gladis, dass bei Computop nur 6.000 von jährlich rund 25 Mio. Zahlungstransaktionen über die GeldKarte ablaufen. Dabei hat das System etliche Vorteile: Es bietet hohe Sicherheit vor Missbrauch, es eignet sich universell für Zahlungen zwischen 1 Cent und 200 Euro, viele Geldkarten haben ein integriertes Jugendschutzmerkmal und die Kosten für die Händler sind geringer als bei den meisten anderen Zahlverfahren. Nur das Feature "zwei zum Preis von einem" wurde nun leider abgestellt.
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
