CW-Bericht von Hermann Gfaller

MÜNCHEN (COMPUTERWOCHE) - Seit Jahren soll elektronische Währung die als unsicher geltende Zahlung per Kreditkarte ersetzen. Doch der Erfolg bleibt aus, weil Internet-Händler zu wenig auf Zahlungsgarantien drängen und Banken sich mit konkurrierenden Verfahren gegenseitig blockieren.

Das zentrale Problem bei der Einführung elektronischer Bezahlsysteme ist die Akzeptanz der Kunden. Einkäufe sollen im Internet ähnlich einfach zu tätigen sein wie im realen Leben und die korrekte Bezahlung genauso sicher. An solchen Lösungen fehlt es bislang jedoch weitgehend. Geschäftsleute lassen sich von ihren Lieferanten daher wie üblich eine Rechnung zustellen, auch wenn sie im Internet ordern. Am ehesten werden aufwendige Verfahren beim Online-Banking akzeptiert, weil das Ausfüllen von Formularen zu Hause oder im Büro immer noch bequemer ist als am häufig geschlossenen Schalter. Aber auch hier setzen sich sichere Verfahren wie das Homebanking Computer Interface (HBCI) nur zögerlich durch.

User, die beim Surfen durchs Netz auf ein attraktives Angebot stoßen, wollen kaufen und sich nicht erst über die Vor- und Nachteile des jeweilig angebotenen Bezahlsystems kundig machen. Warum auch sollte ein User sich eine elektronische Geldbörse oder gar ein Kartenlesegerät zulegen, wenn er damit zwei Klicks weiter nicht mehr bezahlen kann? So ist es kein Wunder, dass die Kunden mit der Zahlung per Kreditkarte das einfachste und von den meisten Online-Shops angebotene Verfahren gewählt haben.

Die Kreditkarte hat allerdings eine Reihe von Nachteilen. Diese liegen vor allem in der Bestimmung, wonach zum Beispiel bei Eurocard "Meinungsverschiedenheiten darüber, ob die Leistungen ordnungsgemäß erbracht wurden, direkt mit dem Vertragspartner“, also zwischen dem Kunden und in diesem Falle dem Online-Händler zu regeln sind. Bei anderen Kreditkarten gilt im Wesentlichen dieselbe Regelung. Das bedeutet, dass die Bank keine Zahlungsgarantie gibt, so dass der Händler Kunden ausgeliefert ist, die behaupten, nie eine Lieferung bekommen zu haben, und umgekehrt die Kunden Anbietern ausgeliefert ist sind, deren Leistung sie nie oder nicht ordnungsgemäß erhalten haben. Zumindest für Online-Banking hat die BfG-Bank jetzt angekündigt, dass sie die Beweislast für nicht korrekt abgewickelte Geschäfte übernehmen werde (CW Infonet berichtete).

Solange eine ähnliche Regelung nicht für E-Commerce geschaffen wird, bleibt verständlich, dass Versandhäuser Kreditkarten in der Regel nicht akzeptieren. Zudem gilt diese Zahlungsmethode als unsicher. Das liegt weniger an dem zur Verschlüsselung von Kreditkarteninformationen verwendeten Standardverfahren Secure Sockets Layer (SSL) selbst als an seiner Implementierung. Viele Websites verwenden nur mit etwas krimineller Energie leicht decodierbare 40-Bit-Codesequenzen, obwohl SSL durchaus eine 128-Bit- und 168-Bit-Verschlüsselung zulässt.

In den USA helfen Dienstleister mit Data-Warehouse-Techniken, die Bezahlung per Kreditkarte zumindest für den Anbieter etwas sicherer zu machen. Sogenannte Fraud-Detection-Systeme (Systeme zur Betrugsenthüllung) gleichen dort die Kundeninformationen mit Listen von schwarzen Schafen ab und ermitteln die Plausibilität der Angaben. So hat ein Online-Shop dem US-Präsidenten Bill Clinton kürzlich den Thanksgiving-Einkauf verwehrt, weil die Software davon ausging, dass Betrüger dazu neigen, unter seinem Namen und mit der Adresse des Weißen Hauses auf Shopping-Tour zu gehen. Diese Methode setzt jedoch einen regen Handel mit Personendaten voraus, dem in Europa durch Datenschutzgesetze enge Grenzen gezogen sind.

SET-Technik ist in Europa noch nicht akzeptiert

Weit sicherer wird der Umgang mit den Kreditkarten, wenn die Daten mit Hilfe des Verfahrens Secure Electronic Transactions (SET) übertragen werden. Die Fraud-Detection-Systeme haben diesen weltweiten Sicherheitsstandard in den USA vom Markt gefegt, auch wenn große Kreditkarteninstitute wie Visa und Mastercard ihm noch die Treue halten. Als seine wichtigsten Verfechter gelten die europäischen Banken. Doch auch diesseits des großen Teichs lässt der Durchbruch auf sich warten. So rechnete Dietmar Waudig, Geschäftsführer der auf E-Commerce-Lösungen spezialisierten Asknet GmbH, Karlsruhe, noch Anfang 1999, dass hierzulande bis Jahresende 100 bis 150 Web-Shops mit SET arbeiten. Mehr als 75 sind es jedoch nicht geworden.

Die geringe Nachfrage der Händler ist laut Klaus-Peter Boden, technischer Leiter bei Ascnet darauf zurückzuführen, dass es sich hier um einen neuen Markt handelt, dessen Player noch wenig schlechte Erfahrungen mit der risikobehafteten Kreditkarte gemacht hätten. Die Schuld für die fehlende SET-Akzeptanz schiebt er aber auf das schwache Engagement der Banken. Diese seien 1999 einfach zu sehr mit dem Jahr-2000-Problem beschäftigt gewesen seien, um sich um die Verbreitung des Sicherheitsstandards zu kümmern. So sei versäumt worden, den Kunden ein einfaches Verfahren zur Erlangung des für SET nötigen Zertifikats anzubieten. Es durch Ankreuzen einer entsprechenden Option auf dem Kreditkartenantrag zu erwerben, ist nur in Ausnahmefällen möglich. Wie die Kreditkarteninstitute hätten die Banken zudem versäumt, bei der Vergabe von Verträgen mit Online-Händlern auf den Einsatz von SET zu drängen.

Die Banken sind uneins

Ein weiterer Grund für die schleppende Entwicklung bei den Internet-Zahlungsmitteln ist die grundsätzliche Uneinigkeit der Banken darüber, wie es weitergehen soll. Das Grundproblem besteht darin, dass Kreditkarten und SET für Pfennigbeträge nur bedingt geeignet sind. Deshalb verfolgt ein Teil der Banken, wie etwa die Sparkassen, das Ziel, SET um ein Verfahren mit Geldkarte zu ergänzen, für das dann aber ein Lesegerät benötigt wird.

Die im Cybercash-Konsortium zusammengeschlossenen Banken wollen stattdessen generell auf elektronisches Geld umsteigen, das die Wahl zwischen Lastschrift, Kreditkarte und den eigentlichen digitalen Cybercoins ermöglicht. Zu dieser Gruppe gehören Dresdner Bank, Commerzbank, Hypo-Vereinsbank und sechs weitere Kreditinstitute. Einen Sonderweg hat die Deutsche Bank eingeschlagen, die neben SET E-Cash von Digicash einsetzt. Diese Methode hat den Vorteil, daß wie bei echtem Geld die Anonymität des Käufers gewahrt bleibt.

Für all diese Verfahren, die sich bislang durch lange Einführungszeiten auszeichnen, haben die Banken 1997 Großinitiativen angekündigt, von denen inzwischen so gut wie nichts mehr zu hören ist. Eine Rolle hat hier sicher gespielt, dass wichtige Anbieter in diesem Bereich ausfielen. Digicash musste Konkurs anmelden, und First Virtual vermarktet keine Online-Zahlungsmittel mehr. Auch Cybercash hat in den USA seine Bemühungen eingefroren und beschränkt sich inzwischen auf Europa und Asien, wo ein größeres Sicherheitsbedürfnis vermutet wird.

Hauptgrund für die Stagnation ist jedoch die Uneinigkeit der Banken, die eine breite Akzeptanz bei Online-Kunden und Händlern verhindert. Nach Einschätzung des Bankenspezialisten Brokat existieren bei den Kreditinstituten noch nicht einmal Ansätze, um Gespräche für einen möglichen Standard aufzunehmen.

Hoffnungsträger ASP?

Es gibt jedoch einen Hoffnungsschimmer, dass bald Bewegung in die Branche kommt. So wollen Application-Service-Provider (ASPs) künftig mit Dienstleistungen auf den Markt kommen, die zum Teil nur Bruchteile von Pfennigen je Minute kosten sollen. Über geeignete Verfahren für die Abrechnung solcher Beträge verfügen bislang eigentlich nur Telecom-Unternehmen, denen die Banken dieses Geschäft sicher nicht allein überlassen wollen. Um hier mitzuhalten, werden sie sich auf ein Verfahren für Micropayment einigen müssen. Eine positive Rolle spielen auch die Computerhersteller Compaq und IBM. Compaq testet in Japan sein Millicent genanntes Internet-Kleingeld und die IBM hat sein Micro-Payment, das auch schon kommerziell im Einsatz ist, ins Web gestellt, um Interessenten anzulocken. Hilfreich dürfte auch der Standard sein, den die Internet-Organisation W3C derzeit vorbereitet.