Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

05.01.2006

Ersetzt IP-Payment die Dialer?

Nachdem in der Silvester-Nacht das endgültige Aus für die 0190-Nummern kam, hoffen Abzocker nun auf eine neue Methode: das IP-Payment.

Dialer-Registrierung, Abschaltung der 0190-Rufnummern, Wechsel zur 09009-Gasse - die Bundesnetzagentur hat in der Vergangenheit viel unternommen, um die Verbraucher vor Abzockern zu schützen, die die Idee der kostenpflichtigen Service-Rufnummern pervertierten. Doch das Vorgehen der Behörde gegen die Betrüger gleicht einem Kampf gegen Windmühlen.

Fazit: Bequemes Bezahlen mit hohem Risiko

Angesichts der zahlreichen, unter Sicherheitsaspekten falsch konfigurierten WLANs oder Routern mit Standard-Passwörtern für den Fernzugriff stellt das T-Pay-Verfahren oder IP-Payment für den User ein hohes Risiko dar.

Den Verzicht auf das Hantieren mit PIN und TAN oder Kreditkartendaten beim Online-Bezahlen erkauft sich der Benutzer eventuell teuer: Gelingt einem finsteren Zeitgenossen der Einbruch in ein fremdes Netz, dann kann er von dort bequem Shoppen gehen. Ebenso gefährlich ist die Option, dass Betrüger die User unbemerkt auf kostenpflichtige Internet-Seiten locken.

Noch sind keine konkreten Betrugsfälle bekannt, in denen die Dialer-Mafia per IP-Payment den schnellen Euro verdienen wollte. Deshalb sollten alle Beteiligten die Zeit nutzen und in Sachen Sicherheit nachbessern, etwa in Form einer Dreifachbestätigung des Bezahlvorgangs wie bei registrierten Dialern. Nur die Verantwortung, wie im Falle von T-Pay, auf den User abzuwälzen, ist keine Lösung. Ferner sollten sich Provider, die mit einer Einführung von IP-Payment liebäugeln, überlegen, ob sie ihren Kunden nicht die Möglichkeit geben, wie bei den 0190- und 0900-Nummern diese Bezahlart komplett sperren zu lassen.

Hier lesen Sie …

• welches neue Bezahlver- fahren die Dialer ablösen könnte;

• wo das Potenzial von IP-Payment liegt;

• wer das Verfahren bereits nutzt;

• welche Risiken sich für den Anwender von IP-Payment ergeben.

So erließ die Bundesnetzagentur zwar Vorschriften wie, dass Dialer mehrmals vom Anwender die bewusste Einwilligung zum Aufbau einer kostenpflichtigen Verbindung einholen müssen, damit die entstehenden Forderungen für die Nutzung des 0190-Service rechtens sind. Kaum waren die Verschärfungen in Kraft, da entdeckte die Dialer-Mafia neue Methoden wie Handy-Payment oder teure Satellitennummern sowie Auslands-Dialer. Allerdings sind diese Nummern für Dialer nicht zulässig, denn hierzulande darf seit Jahresbeginn ausschließlich die 09009-Gasse genutzt werden. Deshalb besteht nach Auffassung der Bundesnetzagentur für diese nicht registrierten Dialer auch keine Zahlungspflicht.

Bezahlen mit der IP-Adresse

Der legalen Möglichkeit beraubt, mit solchen Dialern einen schnellen Euro zu verdienen, hofft die Branche auf ein neues Bezahlverfahren: Das IP-Payment weckt die Begehrlichkeit der unseriösen Anbieter. Diese auch als IP-Billing bekannte Methode basiert auf der Annahme, dass jeder Internet-Nutzer anhand seiner IP-Adresse eindeutig identifizierbar ist. Besucht nun ein Surfer kostenpflichtige Seiten oder ruft entsprechende Dienstleistungen ab, dann speichert der Provider die IP-Adresse des Nutzers sowie Uhrzeit und Datum. Die Abrechnung erfolgt dann über die Telefonrechnung oder die Rechnung des Providers. Der führt die Einnahmen mit einem Provisionsabschlag an den Dienstleister ab.

Hierzulande wird das Verfahren in Reinform noch nicht genutzt. Lediglich T-Online offeriert seit Dezember mit der T-Com-eigenen Bezahlplattform T-Pay ein abgewandeltes Verfahren, bei dem der Benutzer mit seiner E-Mail-Adresse oder durch seine Online-Authentifizierung bezahlt. Konkrete Erfahrungen mit IP-Payment sammelten dagegen schon unsere österreichischen Nachbarn.

Erfahrungen in Österreich

Dort vermarktet die Montax Payment Service GmbH seit dem Frühjahr 2005 unter dem Markennamen "Bill it easy" ein entsprechendes Abrechnungsverfahren, das von rund 1,8 Millionen Österreichern genutzt wird. Auf Provider-Seite zählt Montax die Telekom Austria, UTA, One, Nextra/Eunet sowie Tiscali zu ihren Partnern.

Als Pluspunkte führen die Befürworter vor allem Argumente wie ein einfaches Mikro-Payment auch für kleine Beträge - etwa beim Abruf von elektronischen Zeitungsartikeln - ins Feld. Ferner könnten so auch DSL-Nutzer zur Kasse gebeten werden, denn bei diesen funktionierten die Dialer aufgrund fehlender Modems oder ISDN-Karten bislang nicht. Anders formuliert: Mit IP-Billing kann jeder User abgerechnet werden, egal ob er per Wimax, DSL, Modem, UMTS oder GPRS online geht. Ebenso spielt das verwendete Betriebssystem keine Rolle, da ja keine spezifischen Einwahlprogramme notwendig sind: Windows-, Mac- und Linux-Benutzer lassen sich ohne Unterschied abrechnen. Optimisten glauben gar, dass das System die heutigen telefongestützten Mehrwertdienste ablösen wird.

Weniger positiv sieht dagegen die Internet-Seite "dialerschutz. de" die IP-Billing-Entwicklung. Sie vertritt die Meinung, dass die einfache Abrechnung über die IP-Adresse etliche Gefahren birgt und zum Missbrauch geradezu einlädt. So könnten unseriöse Anbieter versuchen, den Anwender unbemerkt auf kostenpflichtige Seiten zu locken. Durch technische Manipulationen über Active X oder Javascript ließe sich dann direkt mit dem Aufruf der Web-Seite eine Abrechnung veranlassen. Ferner, so der Vorwurf von dialerschutz, gebe es noch keine rechtlichen Vorschriften die Themen wie Anbieterkennzeichnung oder Tarifobergrenzen regeln.

Zudem ist es fraglich, ob ein Nutzer wirklich anhand der IP-Adresse eindeutig identifiziert werden kann. Gerade bei Internet-Anschlüssen, die etwa in Wohngemeinschaften oder Familien gemeinsam genutzt werden, dürften Probleme vorprogrammiert sein, wenn hinterher niemand eine kostenpflichtige Sex-Seite besucht haben will. Oder was passiert, wenn sich Cracker über das heimische WLAN einen Zugang erschleichen und dann kostenpflichtige Angebote in Anspruch nehmen?

Der Telekom-Ansatz

Angesichts der Erfahrungen mit unseriösen 0190-Dialern in der Vergangenheit - die Telcos trieben unberechtigte Forderungen teilweise erbarmungslos ein - , tröstet es wenig, dass beispielsweise Montax verspricht, solche Anbieter sofort zu sperren. Auch das abgewandelte T-Pay-System der Telekom stellt derzeit speziell für T-Online-User ein schwer zu kalkulierendes Risiko dar. Während auf der Web-Seite von T-Pay groß die Vorzüge des einfachen und sicheren Bezahlens über das Internet mit dem guten Namen des Benutzers und seinem Kennwort angepriesen werden, erfährt der T-Online-User erst versteckt unter den Datenschutz- und Sicherheitshinweisen, in welche Gefahr er sich begibt. Dort steht nämlich, dass "T-Pay (...) über die erfolgreiche Authentifizierung über T-Online feststellt, ob der Kunde zur Verfügung berechtigt ist. Jeder, der an einem PC (...) sich erfolgreich über T-Online für T-Pay authentifiziert, tritt daher gegenüber T-Com als Berechtigter auf".

Das Kleingedruckte

Lapidar empfiehlt die Company deshalb T-Online-Benutzern, sicherzustellen, "dass kein un- befugter Dritter den persönlichen Zugang des T-Online-Kunden missbräuchlich für T-Pay nutzen kann (beispielsweise bei Internet-Zugang im ungesicherten WLAN), denn (...) T-Pay haftet für eine unbefugte Nutzung nur, soweit sie die unbefugte Nutzung zu vertreten hat". Im Klartext muss also der T-Online-User zahlen, falls ein Fremder in sein WLAN eindringt und von dort mit seinem Internet-Zugang kostenpflichtige Dienste nutzt - und hierzu benötigt der Angreifer weder Kreditkarten- noch Kontodaten des Ausgespähten. Es reicht für eine kostenpflichtige Abrechnung, dass der WLAN-Router automatisch eine Internet-Verbindung mit den T-Online-Zugangsdaten aufbaut.

Konkrete und praktikable Tipps - außer dem kompletten Verzicht auf die Teilnahme an IP-Payment-Verfahren - gibt es momentan nicht. Das Sperren aller kostenpflichtigen IP-Adressen im Filter des Routers dürfte in der Praxis kaum zu bewerkstelligen sein. Auch ein Verzicht auf Javascript oder Active X bringt den User nur bedingt weiter, solange legale Seiten diese Erweiterungen benötigen. Ebenso wenig hilfreich ist der Ratschlag, ein WLAN endlich per WPA2 abzusichern, so lange viele Endgeräte und Access Points dieses Verfahren noch nicht unterstützen.

Rechtliche Situation

Aus rechtlicher Sicht ist das Thema "IP-Payment" hierzulande noch juristisches Neuland. So existieren bislang keine Vor schriften wie bei Dialern, die Bestätigungsverfahren für einen Bezahlvorgang festlegen. Auf Nachfrage teilte die Bundesnetzagentur mit, dass sie die Entwicklung interessiert verfolgen werde. Eingreifen könne sie aber erst dann, wenn der Gesetzgeber, wie etwa bei den Dialern mit dem Missbrauchsgesetz, entsprechende Vorgaben mache.