1993/12/31 Sicher wie ein Euro-Scheck
DIR Wir alle freuen uns darauf. Sommer, Sonne, Urlaub. Griechenland. Bali. Fidschi. Oder Spanien. Alle Reiseziele üben ihren...
Wir alle freuen uns darauf. Sommer, Sonne, Urlaub. Griechenland. Bali. Fidschi. Oder Spanien. Alle Reiseziele üben ihren eigenen Reiz aus, für jedes Interesse gibt es geeignete Destinationen.
Allen ist gemeinsam, daß eine Reihe von Dokumenten notwendig sind und Geld, in welcher Form auch immer. Vorbei sind die mittelalterlichen Zeiten, in denen nur die Möglichkeit bestand, seine Reisekosten aus dem mitgebrachten Goldbeutel zu begleichen - oder die bereisten Länder auszurauben.
Die Goldbeutelmethode hatte entscheidende Nachteile. Erstens mußte man sich vorher klar sein, wieviel Gold man brauchte und zweitens waren diese Beutel beliebtes Ziel räuberischer Angriffe.
Schnitt.
Die moderne Zivilisation brachte eine Fülle von Mechanismen, die diese beiden Beschränkungen der Beutelmethode aufheben bzw. das Risiko des Reisenden minimieren sollten. Nicht alle Methoden können hier aufgezählt werden, vom Empfehlungsschreiben, über Wechsel bis zur Kreditkarte reicht diePalette.
Heute stehen den Reisenden im wesentlichen folgende Instrumente zur Risikostreuung zur Verfügung:
(1) Bargeld (eigene Währung) (2) Bargeld (Fremdwährung) (3) Reiseschecks (4) Kreditkarten (5) E uro-Schecks (6) Euro-Bankomatkarten (7) Privat-Schecks
Für (1) und (2) sind Vorteile und Risken klar erkennbar: Es entstehen fast keine Spesen, man muß vorher wissen, wieviel man ca. ausgeben will, und was gestohlen wird ist weg. Bei den üblichen Vorsichtsmaßnahmen (= nicht bei jeder Grab-Besichtigung sein ganzes Urlaubsgeld aus der Hosentasche schauenlassen) beträgt das Diebstahlrisiko maximal den 2-3 fachen Tagesbedarf.
Punkt (7) kommt eher nur für Betuchte in Frage, da erst ab gewissen Umsätzen Banken bereit sind, das aufwendige Frage/Antwort/Autorisierungsspiel mit seiner Bank zu akzeptieren.
Bleiben vier Mechanismen der Geldorganisation übrig:
(3) Reiseschecks (4) Kreditkarten (5) Euro-Schecks (6) Euro-Bankomatkarten
Diese Mechanismen basieren auf der vollständigen (oder teilweisen) Aufhebung der Anonymität des Geldes. Bei Bargeld sind Wert und Berechtigung zur Nutzung des Wertes direkt mit einem Beleg (Papier, Münze, sonstiger Gegenstand) gekoppelt. Banknoten sind "Inhaber-Wertpapiere", d. h. wer eine Banknotehat, hat auch Anrecht auf den Gegenwert dieser Note. Die modernen Verteilmechanismen entkoppeln diese Beziehung und binden die Berechtigung der Nutzung eines Wertes an bestimmte Personen. Diese Systeme sollen daher Legitimationssysteme genannt werden.
Aufgrund dieser persönlichen Bindung des Geldverkehrs kommt es auch zur Aufhebung des Rechts auf unbeobachteten wirtschaftlichen Verkehr. Entscheidet sich also ein Konsument für eines dieser Legitimationssysteme, dann können Organisationen beobachten, wieviel der Konsument reist, wo er sich aufhält,welche Ausgaben zu welchen Zweck er tätigt. Aus diesen Daten lassen sich sehr gut Rückschlüsse auf den Lebenstil und auch die Kaufkraft eines Konsumenten ziehen. Daraus ergeben sich gewaltige datenschutzrechtliche Probleme, die noch durch ihre internationale Verteilung verstärkt werden. Wir habenmehrfach auf diese Probleme hingewiesen.
Welche Vorteile erkauft sich der Konsument mit der Erhöhung seiner Transparenz, mit der Minderung seines Rechts auf informationelle Selbstbestimmung?
Ein modernes Zahlungsmittel, das besser (=risikoarmer) sein will als eine Banknote, hebt die Kopplung Wert/Inhaber auf. Idealerweise derartig vollständig, daß der rechtmäßige Inhaber des Belegs überall, der unrechtmäßige Inhaber nirgends damit Zahlungen tätigen kann.
Die Kosten des organisatorischen Aufwands bezahlt selbstverständlich der Kunde. Der einzelne Kunde bezahlt also, aus seiner Sicht, einen Versicherungsbetrag, für die Lösung des Risikoproblems. Mitgekauft wird dabei auch, aus der Sicht des Kunden, die Übernahme des Restrisikos durch die beteiligte(n)Organisationen (Banken, Kreditkartenfirmen, GABE-Firmen, ...).
Aus der Sicht der Organisatoren der Legitimationssysteme stellt sich die Situation völlig anders dar. Aus ihrer Sicht wird nur ein risikoärmeres Geldwirtschaftssystem als das Bargeld-System bereitgestellt. Für sie ist der eingehobene Betrag ein reiner Spesenersatz der Organisationskosten, dieRestrisken werden nicht abgedeckt.
Selbstverständlich ist allen Beteiligten klar, daß es diese 100%-ige Entkopplung und damit Sicherheit nicht gegeben kann, daß andere Faktoren wie Aufwand, aber auch Bequemlichkeit, Schnelligkeit und Verfügbarkeit des Geldes, Restrisiken entstehen lassen.
Mit dieser spieltheoretischen Situation, daß zwei Partner einen Geschäftsabschluß unter völlig unterschiedlichen Voraussetzungen machen, beginnt das Problem der "modernen Zahlungsmittel", der Legitimationssysteme.
Wie hoch das Risiko für einen Verkehrsunfall ist, wie hoch die Lebenserwartung ist, wie hoch das Risiko für bestimmte Krankheiten ist, kann grundsätzlich von jedermann bestimmt werden. Die entsprechenden Grunddaten (Verkehrsunfälle, Todesraten, ...) sind öffentlich zugänglich.Versicherungsabschlüsse, die in diesen Bereichen getätigt werden, erfolgen mit allgemein bekannten Risken. In der Regel werden die Versicherungen durch bessere Analysen einen gewissen, nicht jedoch einen prinzipiellen Informationsvorsprung haben.
Völlig anders ist die Situation bei den Legitimationssystemen. Die verschiedenen Bank-, Kredit- und Kartenorganisationen agieren im Sinne einer "closed society" und weigern sich beharrlich, Daten zur Risikoabschätzung der verschiedenen Legitimationssysteme bekanntzugeben. Gleichzeitig suggeriert diedazugehörige Werbung, daß die Systeme praktisch sicher sind. Womit die Situation eintritt, daß die Organisationen, die über das Gesamtrisiko der Legitimationssysteme Bescheid wissen, auch durch ihre Organisationsformen bestimmen, wie hoch das Risiko tatsächlich ist, nicht das verbleibende Restriskoübernehmen. Der Kunde, der keinen Einblick in die Sicherheitsmechanismen und die Risikogrößen hat, muß das Risiko übernehmen. Vielfach ohne daß es ihm bewußt wird.
Reiseschecks
Reiseschecks können als altgediente Form moderner Legitimationssysteme bezeichnet werden.
Sie werden persönlich im Heimatland für bestimmte Beträge ausgestellt und sind nur in Verbindung mit amtlichen Dokumenten gültig, die die Identität des Einreichers feststellen. Bei Verlust werden die Reiseschecks "gesperrt", trotzdem eingelöste Schecks gehen zu Lasten der Scheckorganisation.
Probleme:
Man muß wissen wieviel Geld man benötigt.
Das System ist nicht zum automationsunterstützten Zahlungsverkehr geeignet.
Schwachstelle ist die Identitätsprüfung beim Annehmer der Schecks, diese erfolgt oft extrem schlampig.
Risikoverteilung:
Ab Melden des Verlusts: kein Risiko,
bis zum Melden des Verlusts: nur dann ein Risiko, wenn die Identitätsprüfung schlampig ist.
Weitere Risken, wie Fälschen der Reisescheckpapiere usw. werden von der Ausgabeorganisation getragen.
Nachteil aus der Sicht der beteiligten Organisationen: relativ hoher administrativer Aufwand.
Vorteil des Konsumenten: geringe Kosten.
Kreditkarten
Kreditkarten berechtigen zu überhaupt keinem bestimmten Geldbetrag, sie sind mit Bargeld nur bedingt vergleichbar. Sie belegen nur, daß eine bestimmte Person bei einer bestimmten Organisation als kreditwürdig registriert ist.
Der Kreditkartenverkehr ist daher nichts anderes als das "Anschreibenlassen bei der Greißlerin" im internationalen Maßstab. Bei Verlust wird die Karte blitzschnell international gesperrt.
Probleme:
Allein der Besitz der Karte eröffnet Mißbrauchsmöglichkeiten, da die Kreditkarte als dem Reisepaß vergleichbares Dokument mit vergleichbaren Funktionen, angesehen wird, z. B.: Hinterlegungsfunktion bei Automiete.
Schwachstelle ist die Identitätsprüfung, die meist nicht vor professionell mißtrauischen Personen erfolgt (z.B.: Beamte oder Bankangestellte), sondern im Geschäftsverkehr, wo ein Händler immer die Balance zwischen Mißtrauen/Belästigung und sicherer Identitätsprüfung abschätzen muß. Er will ja keinenwichtigen Kunden verlieren (siehe zuletzt das Beispiel Taiwaner Direktoren die im Überschwang des Ausländerhasses in Wien kurzfristig als Kreditkartenbetrüger festgenommen wurden, tatsächlich versagte jedoch die Kreditkartenautorisierung).
Risikoverteilung:
Ab Melden des Verlusts: kein Risiko,
bis zum Melden des Verlusts: theoretisch unlimitiertes Risiko, da eine geschickte Betrugsorganisation innerhalb kürzester Zeit hohe Ausgaben tätigen kann. Tatsächlich wird das Risiko durch die Kartenorganisation begrenzt (Selbstbehalt).
Weitere Risken, wie Fälschen usw. werden von der Ausgabeorganisation getragen. Dabei geht die Ausgabeorganisation von einem strukturellen Sicherheitsansatz aus. Schwachstelle im Kreditsystem ist die Kunden/Händler-Beziehung, die beide autorisierte Partner der Kreditkartenorganisation sein müssen.Die Kosten einzelner Problemfälle werden von der Kartenorganisation übernommen, Problemhändler bzw. -konsumenten erhalten immer geringere Autorisierungen fürs "anschreiben lassen". Sprich: Im Extremfall (vor Entzug der Autorisierung) muß ein Händler jeden Kreditkarteneinkauf direkt bei derKreditkartenorganisation autorisieren lassen.
Nachteil aus der Sicht der beteiligten Organisationen: relativ hoher administrativer Aufwand.
Vorteil des Konsumenten: erstaunlich geringe Kosten, manchmal billiger als Bargeld.
Euro-Schecks
Euro-Schecks stellen eine standardisierte Form von Schecks dar, die mit besonderen Merkmalen und Garantien verbunden sind (Scheck-Design, EC-Zeichen, EC-Kartennummer und garantierte Einlösung bis zu einem bestimmten Betrag). Ansonsten unterliegt der Euroscheck den üblichen Scheckbestimmungen. EineScheckeinlösung ist mit relativ hohem Verwaltungsaufwand verbunden, da der Scheck physisch bis zum auszahlenden Geldinstitut retoruniert werden muß. Durch die Einlösegarantie wird der Scheck europaweit akzeptiert.
Probleme:
Da Beträge frei eingesetzt werden können, muß jedes einzelne Scheckformular mit Bargeld in der maximalen Garantiesumme gleichgesetzt werden.
Schwachstelle ist das Legitimationssystem selbst. Es kommt zu keiner Identitätsprüfung. Für die Einlösegarantie wird bloß verlangt, daß zum Scheck eine Scheckkarte vorgelegt wird und die Unterschrift auf der Scheckkarte mit der auf dem Scheck übereinstimmt.
Wie ein derzeit anhängiges Gerichtsverfahren offenbart, enthalten die EC-Scheckbestimmungen keine Verpflichtung, daß die EC-Kartennummer und die auf der Rückseite des Schecks eingetragene Nummer übereinstimmen müssen! Schecks, die irgendeine Nummer statt der EC-Kartennummer enthalten und von einerausländischen Verrechnungszentrale in Österreich zur Verrechnung eingereicht werden, können nicht zurückgeleitet (=zurückgewiesen) werden. O-Ton des Leiters der österreichischen Euroscheckverrechnungszentrale (ÖEVZ) Gerhard Nemeth: "Wenn ein Österreicher in Spanien auf Urlaub fährt und dort aufeiner spanischen Bank einen Scheck einlöst, so bekommt er dort das Bargeld.
Die spanische Bank schickt diesen Scheck an die spanische Verrechnungsstelle, wo von österreichischer Seite ein Pesetenkonto unterhalten wird, welches mit dem ausbezahlten Betrag belastet wird. Die spanische Verrechnungsstelle schickt ihrerseits den Originalscheck an die ÖEVZ, wo wiederum das Kontodes Scheckeinlösers bei seiner Bank belastet wird."
Soweit der rein technische Idealvorgang, selbstverständlich werden Euroschecks auch zur Bezahlung in Hotels, Geschäften oder bei Autovermietern verwendet. Selbstverständlich muß nicht der Betroffene die Schecks persönlich bei der spanischen Bank einreichen, es kann dies auch jemand sein, derlegaler- oder illegalerweise einen derartigen Scheck in seinem Besitz hat.
Hierin steckt nun das eigentliche Sicherheitsrisiko. Herr Nemeth: "Im Normalfall bleiben die Schecks bei uns [ÖEVZ, Anm.]. Sollte auf der Rückseite, wo die Scheckkartennummer eingetragen werden soll, nur irgendeine Zahl stehen, ist nach unseren Vorschriften kein Rückleitungsgrund gegeben. Es gibtauch keine Richtlinien, wieviele Ziffern eine Scheckkartennummer haben muß. Unserer Organisation ist die Zugehörigkeit einer bestimmten Scheckkartennummer zu einem bestimmten Konto natürlich nicht bekannt. Es gibt diesbezüglich auch kein System der Schekkartennummer, daß bestimmteScheckkartennummern bestimmten Banken zuzuordnen sind. Bei der ÖEVZ gibt es für bestimmte Risikoländer keine bestimmten besonderen Vorkehrungen. Mir ist natürlich aus der Praxis bekannt, daß Spanien und Italien und in letzter Zeit zunehmend auch Frankreich zu solchen Ländern gehören. ..."
Usw. usf... Die riskanten Ausführungen von Herrn M. Er kennt das Risiko, seine Partnerbanken kennen das Risiko mit dem Euroscheck, Vorkehrungen? Null. Wozu auch, die Kosten trägt sowieso der EC-Scheckbenützer, und der hat sich mit der Unterzeichnung der Geschäftsbedingungen mit der Übernahme diesereklatanten Risken bereit erklärt. Freiwillig. Eben.
Risikoverteilung:
Ab Melden des Verlusts: alle bis dahin eingereichten Schecks müssen bezahlt werden,
bis zum Melden des Verlusts: Zahl der Schecks multipliziert mit garantierter Einlösesumme.
Weitere Risken, wie Fälschen usw. werden von der Ausgabeorganisation getragen.
Nachteil aus der Sicht der beteiligten Organisationen: sehr hoher administrativer Aufwand, dies führt auch zu enormen EC-Scheck-Kosten.
Euro-Bankomatkarten
Die Idee scheint bestechend. Mit Code und Magnetkarte kann europaweit rund um die Uhr Geld beschafft werden. Ohne auf die Arbeitszeiten der Bankangestellten angewiesen zu sein. Der verfügbare Geldbetrag ist nur durch ein Tageslimit begrenzt.
Da keine Papiere verwendet werden, können sie auch nicht verloren gehen, der zentrale Code ist nur im Kopf des Kartenbesitzers gespeichert? Oder?
Tatsächlich existieren noch wenig Erfahrungen mit dem europaweiten Bankomat- bzw. POS-System. Es lassen sich jedoch nationale Erfahrungen extrapolieren.
Extreme Schwachstelle des Bankomatsystems ist die Codeverwaltung. Dabei sollte davon ausgegangen werden, daß der Kunde grundsätzlich verantwortungsbewußt mit Code und Karte umgeht, seinen Bankomatcode nicht direkt auf die Bankomatkarte schreibt. Ihn überhaupt nicht aufzuschreiben, ist jedoch ebensoeine völlig praxisferne Annahme. Für zu viele Menschen wäre die Angst, plötzlich, noch dazu im Ausland, ohne Geld dazustehen, weil der Code vergessen wurde, zu groß.
Es soll jedoch von einer sorgsamen Codeverwahrung ausgegangen werden. Trotzdem bleiben kriminellen Personen eine Fülle von Gelegenheiten, Codes auszuspähen. Nicht bei jedem Kunden, nicht bei jedem Bankomaten, nicht in jeder Stadt. Der potentielle Täter möchte aber auch keine Statistik derverwendeten Codes anfertigen, es genügen ihm einige wenige Erfolgserlebnisse.
Welche Vorkehrungen gegen potentiellen Bankomatkarten-Mißbrauch existieren nun?
Relativ sicher wäre das Bankomatsystem nur, wenn eine Reihe von Bedingungen gleichzeitig erfüllt sind:
(1) Die Identifikation (=Codeprüfung) erfolgt immer nur Online gegenüber der ursprünglichen Ausgabeorganisation, d.h. systemweit nur an einer einzigen Stelle, die auch die gesamte Berechtigungs- und Sperrverwaltung macht. Nur damit ist sichergestellt, daß Sperren und Berechtigungen einheitlich imSystem funktionieren.
(2) Der Code darf weder auf der Karte, noch im Bankomat oder in Umsetzzentralen zwischengespeichert werden. Nur so ist sichergestellt, daß Innentäter, d.h. Personen, die im Bereich des Bankomatsystems arbeiten, Codes und Bankomatkartenaufbau ausspähen, weitergeben und kriminell nutzen.
(3) Es muß eine durchgängige kryptographische Verschlüsselung der übermittelten Daten sichergestellt werden. Anderenfalls Ausspährisiko wie bei (2).
(4) Jeder Identifikationsversuch muß sowohl im Identifikationsrechner, als auch auf der Karte selbst vermerkt werden. Damit wird verhindert, daß mit hunderten kopierten Karten zeitgleich an einem Tag das Tageslimit abgehoben wird. Innerhalb der Zone eines Identifikationsrechners kann dann nur eineeinzige Karte eingesetzt werden, alle anderen würde bei einem zweiten Abhebeversuch als gefälscht (kopiert) erkannt werden.
(5) Die Karte müßte durch physikalische Mechanismen gegen das Anfertigen von Kopien geschützt sein.
Alle diese geforderten Merkmale sind grundsätzlich (theoretisch) erfüllbar, sie werden jedoch nicht in der derzeitigen Praxis vollständig und lückenlos umgesetzt. So können österreischische Bankomatkarten beliebig kopiert werden, womit sie die Qualität und Dokumenteneignung beliebiger Notizzettel,die eine leicht lesbare Reihe von Zahlen enthalten, aufweisen.
Die Vorstellung, jede POS-Kassa bei jeder noch so kleinen Tankstelle von Portugal bis zum Nordkap, jeder walisiche Greißler oder Moskauer Händler wäre permanent mit der GABE, der österreichischen Bankomat-Gesellschaft verbunden, nur weil jeden Augenblick ein Wiener vorfahren könnte, um mitBankomatkarte zu bezahlen und um innerhalb weniger Sekunden eine sichere Identifizierung durchführen zu können, ist völlig unrealistisch. So hat es in Österreich viele Jahre gedauert, bis ein halbwegs flächendeckender Online-Betrieb möglich ist.
Damit ergibt sich folgendes, sehr realistisches Mißbrauchsszenario:
Durch geeignete Maßnahmen (z. B.: Durchstöbern des Urlaubsgepäcks, Positionierung gefälschter POS-Kassen, ...) werden Code und Datensatzaufbau der Bankomatkarte ausgespäht. Da keine Papierbelege benötigt werden, muß auch nichts entwendet werden. Die Karte kann dem Besitzer treuherzig retourniertwerden. Hat er einen langen Urlaub vor sich, wird er recht lang nichts vom fröhlichen Abheben auf seine Kosten mitbekommen.
Anschließend wird die Karte blitzschnell einige hundertmal kopiert und europaweit verteilt. Selbstverständlich minimiert die gleichzeige Verteilung mehrerer frisch erzeugter Karten die Verteilkosten. Diese werden nun fröhlich eingesetzt. Ist der französiche Bankomat Online geschalten, wird das Gerätvielleicht die Fälschung erkennen und die Karte einziehen, sei's drum. Der Kollege in Norwegen, der zur selben Zeit abzuheben versucht, hat mehr Glück. Aufgrund einer kurzfristigen Störung erfolgte die Identifizierung nicht Online und das Geld ist behoben. Eine derartige, organisierte Aktion kann amTag geschätzte öS 30-50.000.- bringen, vielleicht eine Woche lang. Einzelne Glückskarten werden, wenn der ursprüngliche Besitzer nur ein gelegentlicher Bankomatkunde ist, viele Wochen dem neuen Besitzer Freude machen.
Probleme:
Keine persönliche Identifikation mehr, nur noch maschinengestützte Identifikation.
Innerhalb weniger Tage können erhebliche Beträge abgehoben werden (alle 10 Tage ca. 50.000.-)
Schwachstelle des Systems ist, daß es ein technisch extrem aufwendiges Datennetzwerk benötigt.
Risikoverteilung:
Ab Melden des Verlusts: kein Risiko,
bis zum Melden des Verlusts: theoretisch mit dem Tageslimit * Zahl der unbemerkten Verlusttage begrenzt, praktisch jedoch unlimitiert.
Weitere Risken, wie das Fälschen der Bankomatkarte muß der Kunde tragen.
Vorteil aus der Sicht der beteiligten Organisationen: völlige Automatisierung des Geldverkehrs.
Nachteil des Konsumenten: völlig undurchschaubares und nur unter Ideal-Annahmen funktionierendes System.
Resümee
Keines der beschriebenen Legitimationssysteme kann in punkto Risikominimierung überzeugen.
Unterschiede ergeben sich jedoch in der Risikokultur, also im Umgang mit der Verteilung des Risikos. Offensichtlich aufgrund langjähriger Erfahrungen werden bei den alten Systemen, wie beim Reisescheck, von den Organisationen von sich aus Risikobegrenzungen eingeführt, den Kunden bleibt quasi nurein Selbstbehalt.
Diese Risikobegrenzung fehlt bei den neuen Systemen Euroscheck und Bankomat-Karte. Entweder fehlen Erfahrungswerte, wie hoch der durchschnittliche Mißbrauch tatsächlich zu erwarten ist, oder die Verteilorganisationen kennen die sehr hohe Mißbrauchsquote und wollen das Risiko schlicht und einfachnicht übernehmen.
Im ersten Fall müssen die Systeme als technisch und organisatorisch unausgereift angesehen werden. Sie befinden sich noch im Experimentierstadium. Dies sollte dann deklariert werden. Konsumentenschutzvertreter und auch der Gesetzgeber sind dann aufgerufen, derartigen Feldexperimenten mit dem Geldder Konsumenten Einhalt zu gebieten und bis zur technischen Produktreife diese Systeme von unabhängigen Experten überwachen zu lassen.
Im zweiten Fall, die Verteilorganisationen kennen das hohe Risiko und wollen es deswegen nicht übernehmen, müßte von einer Täuschung der Konsumenten gesprochen werden, denen praktische Risikolosigkeit vorgegaukelt wird. Hier müßte die Frage nach strafrechtlicher Relevanz bei der Bewerbung derEuroscheck- und Bankomatsysteme gestellt werden.
|
