Kontaktlos Bezahlen: Wie sicher ist die girocard-Technologie?

0
B2B E-Commerce & E-Business 2019

Morgens beim Bäcker, mittags im Restaurant, abends an der Tankstelle: Egal wann und wo man bezahlt, an über 85 Prozent aller girocard-Terminals kann man dies bereits kontaktlos. Schnell und bequem funktioniert das dank der NFC-Technologie. Doch ist das Bezahlen damit auch sicher? Antworten weiß Nicole Hellmich, Expertin für Banktechnologie vom Bundesverband deutscher Banken. 

Kontaktlos boomt – im ersten Halbjahr 2019 war bereits mehr als jede fünfte Zahlung im girocard-System kontaktlos. Warum ist das bei den Kunden so ein Erfolg?

Nicole Hellmich: Kontaktloses Bezahlen ist schnell, einfach und komfortabel –besonders bei Zahlungen bis 25 Euro. Unsere Erfahrung zeigt: Das schätzen Kunden und nutzen es gerne wieder, wenn sie es einmal ausprobiert haben. Und Umfragen beweisen: Kunden haben großes Vertrauen in Lösungen der Banken und Sparkassen – weil die Erfahrung zeigt, dass sie sich darauf verlassen können. Eine deutschlandweite Umfrage vom Mai 2019 vergleicht z. B. das Vertrauen der Kunden in unterschiedliche Marken und Institutionen wie Polizei, Feuerwehr und Ärzte. Dabei landet die girocard mit 81 Prozent bei den Bürgern auf dem zweiten Platz – direkt hinter der Polizei (Repräsentative Umfrage von infas quo im Auftrag der EURO Kartensysteme, 1.200 Befragte, 16-69 Jahre).

Der Komfort, den man besonders bei Zahlungen bis 25 Euro hat, kommt nicht zuletzt vom Verzicht auf die PIN-Abfrage. Ist das Bezahlen für Kunden trotzdem sicher?

Hellmich: Die kontaktlose Bezahlung mit der girocard ist für Kunden und Händler genauso sicher wie bisherige girocard-Kartenzahlungen. Rechtmäßig ist eine Zahlung nur, wenn der Kunde sie aktiv autorisiert. Das ist der Fall, wenn er seine PIN eingibt oder – bei PIN-freien Zahlungen – wenn er seine Karte aktiv und willentlich an das Terminal hält. Für alle anderen Transaktionen haftet grundsätzlich die Bank – und auch die Beweislast liegt bei der Bank. Die kartenausgebende Bank übernimmt grundsätzlich die Haftung für Kontaktlos-Schäden, sofern der Karteninhaber rechtmäßig und sorgfältig handelt.

Welche Voraussetzungen gelten für Händler? Kann einfach jeder im girocard-System Geld mit der girocard des Kunden „abbuchen“?

Nicole Hellmich, Expertin für Banktechnologie vom Bundesverband deutscher Banken

Hellmich: Wenn ein Händler Zahlungen mit der girocard akzeptieren möchte, muss er sich als Händler im Zahlungssystem registrieren. Notwendige Voraussetzung hierfür ist immer eine Bankverbindung bei einem von der BaFin beaufsichtigten Kreditinstitut. Für die Eröffnung eines Kontos gelten strenge Vorschriften nach dem Geldwäschegesetz, die u.a. eine eindeutige Identifizierung des Kontoinhabers bereits zur Kontoeröffnung fordern sowie weitere einschlägige bankrechtliche Prüfungen. Jedes girocard-Terminal muss außerdem immer über einen von der DK zugelassenen Netzbetreiber angeschlossen und betrieben werden, der für das Terminal ebenfalls eine Zulassung erwirken muss. Ein Anschluss eines Terminals an das girocard-System zur Durchführung „echter“ Transaktionen kann daher nur über einen Netzbetreiber erfolgen. Das gilt für jede Transaktion im girocard-System – egal ob kontaktbehaftet oder kontaktlos, egal ob mit PIN-Eingabe oder bis 25 Euro i. d. R. ohne PIN. Eine eindeutige Identifizierung des Händlers als auch des in seinem Akzeptanzbereich betriebenen Terminals ist jederzeit möglich.

Der Händler ist also bekannt – aber das verhindert doch noch keine missbräuchlichen Transaktionen?

Hellmich: Neben den Voraussetzungen für die Nutzung des notwendigen Bankkontos sind zusätzlich auch funktionale Maßnahmen zum Schutz des Kunden etabliert: Auch bei Beträgen bis 25 Euro wird im girocard-System nicht gänzlich auf die PIN-Eingabe verzichtet, sondern es wird nach bestimmten Kriterien immer wieder auch hier die PIN zur Sicherheit abgefragt. Dies ist z. B. der Fall, wenn mehrfach in Folge kontaktlos ohne PIN bezahlt wird und dabei in Summe ein von der Bank definierter Betrag (laut Gesetz maximal 150 Euro) oder eine vorab definierte Anzahl an aufeinanderfolgenden PIN-freien Transaktionen (laut Gesetz maximal 5 Transaktionen) überschritten wird. Diese Vorgaben sind maximale Vorgaben, die von den kartenherausgebenden Instituten nicht überschritten werden dürfen. Durch die Abfrage der PIN wird sichergestellt, dass es sich bei der durchzuführenden Transaktion um den berechtigten Karteninhaber handelt.

Nun gibt es aber auch Kunden, die berichten, dass sie beim kontaktlosen Bezahlen niedriger Beträge nie eine PIN eingeben müssen. Wie ist das möglich?

Hellmich: Wenn ein Kunde zwischendurch auch größere Beträge (über 25 Euro) mit seiner girocard bezahlt, bzw. diese zum Bezahlen oder Geldabheben gelegentlich steckt, wird dabei im girocard-System immer die PIN abgefragt. Dadurch ist klar, dass sich die Karte im Besitz des rechtmäßigen Karteninhabers befindet – sofern dieser sorgsam mit Karte und PIN umgegangen ist. Durch die regelmäßige Überprüfung der PIN bei Beträgen ab 25 Euro kann es vorkommen, dass die o. g. Grenze für PIN-freie Kontaktlos-Zahlungen in Folge nicht erreicht wird. Dadurch ist es möglich, dass ein Kunde Beträge bis 25 Euro kontaktlos immer ohne PIN-Eingabe zahlen kann. (Beispiel: Der Kunde bezahlt zufälligerweise jede 4. Transaktion mit PIN, da der Betrag über 25 Euro liegt. Alle dazwischenliegenden 3 Bezahltransaktionen liegen immer unter 25 Euro, so dass hierfür die PIN-Eingabe nicht erforderlich ist.)

Wenn nun aber gerade der Zähler nicht voll ist – kann dann ein Betrüger einfach im Vorbeigehen über die girocard Geld abbuchen?

Hellmich: Eine „echte“ Bezahltransaktion, d. h. eine Zahlung zulasten des Zahlungskontos des Karteninhabers und zugunsten des Händlerkontos, lässt sich im girocard-System nur mit von der Deutschen Kreditwirtschaft zugelassenen Händlerterminals ausführen und (inkl. Gutschrift des Bezahlbetrages auf dem Händlerkonto) abschließen. Für die ordnungsgemäße Abwicklung ist zudem ein Netzbetreiber als technische und operative Schnittstelle zwischen Handel und Bank eingeschaltet.

Die für die girocard-Bezahltransaktion benötigten Daten werden zwischen diesem Terminal und der Karte nur bei sehr geringem Abstand von wenigen Zentimetern übertragen. Zugelassene Terminals können lediglich eine Transaktion zur selben Zeit vornehmen. Jede Transaktion muss dabei aktiv vom Terminal (i. d. R. über eine Kassenanbindung) angestoßen werden.

Kontaktlose Transaktionen erfolgen darüber hinaus nach dem EMV-Standard. Vorgabe des Standards –der übrigens auch für das girocard-System genutzt wird – ist, dass wenn ein Terminal zwei Karten im Feld erkennt, keine Transaktion durchgeführt wird. Das Terminal fordert den Karteninhaber auf, nur eine Karte zu verwenden. Alle Terminals, die kontaktlose Transaktionen mit den üblichen Bank- und Sparkassenkarten abwickeln wollen, müssen diesen EMV-Standard erfüllen. Die korrekte Implementierung wird durch akkreditierte Testlabore überprüft. Das führt letztlich zur Erteilung der Zulassung und damit auch zur Betriebserlaubnis für die Abwicklung von girocard-Zahlungen durch die DK.

Gilt dieser Schutz nur für kontaktlose Zahlungen ohne PIN?

Hellmich: Kunden werden von ihrem Institut grundsätzlich vor Schaden geschützt, wenn sie sorgsam mit Karte und PIN umgehen. Das ist genauestens in den Kundenbedingungen der Banken und Sparkassen geregelt, die u. a. Einsatzmöglichkeiten, die Anforderungen an den Umgang als auch die Haftungsfragen enthalten. Kunden finden diese in den AGB.

Was genau umfasst die Sorgfaltspflicht? Was müssen Kunden dafür beachten?

Hellmich: Da gilt alles, wie bisher auch: Bei Verlust der girocard müssen Kunden diese unverzüglich bei ihrem kartenausgebenden Institut sperren lassen. Das geht in den meisten Fällen auch über die zentrale Sperrnummer 116 116 unter Angabe der IBAN – bzw. der Kontonummer und Bankleitzahl. Darüber hinaus sollte ein Diebstahl der girocard immer zusätzlich der Polizei gemeldet werden. Für den Alltag gelten die grundsätzlichen Sicherheitstipps: Bewahren Sie Ihre Karte sorgfältig auf, gewähren Sie niemals Dritten Zugriff auf Ihre Karte, lernen Sie die Geheimzahl (PIN) auswendig und notieren Sie diese nirgends – besonders nicht in der Nähe der Karte. Überprüfen Sie Ihre Kontoauszüge regelmäßig und teilen Sie Auffälligkeiten z. B. eine Belastung aus einer Kartentransaktion, die Sie nicht autorisiert haben, unverzüglich Ihrem kartenausgebenden Institut mit.