|
|
Autorisierungsverfahren
Wenn eine Karten ausgebende Bank eine Autorisierungsanfrage
genehmigt, bedeutet dies, dass das Konto existiert und keinen
Negativstatus aufweist. D.h. die Karte ist nicht als verloren /
gestohlen gemeldet, das Kartenkonto ist nicht geschlossen
und der Karteninhaber verfügt – zum Zeitpunkt der
Autorisierungsanfrage – über genügend finanzielle Mittel,
um diesen Kauf zu tätigen.
Eine Autorisierung ist jedoch nicht gleichbedeutend mit der
Überprüfung der Karte oder der Identitätsbestätigung des
Karteninhabers. Darüber hinaus ist eine Autorisierung auch
keine Garantie dafür, dass die vom Karteninhaber angegebene
Adresse korrekt ist, bzw. dass der tatsächliche Karteninhaber
die Transaktion tätigt.
 (2)
|
|
 Die
Kernstücke des internationalen Zahlungsverkehrs sind die
Autorisierungen von Verfügungen und das Verrechnungssystem zwischen
den beteiligten Banken (
Clearing).
kartensicherheit.de beschreibt die
Grundzüge des damit verbundenen Systems:
Ablauf einer Geldautomaten-Transaktion in Deutschland
(1)
 Grafik: inländische Transaktion
Ablauf einer Maestro-Transaktion
Grafik:
POS-Terminal
Grafik:
Geldautomat
Ablauf
einer Kreditkarten-Transaktion
Grafik: Visa
/ MasterCard
Auf den Grafiken und den Abläufen, die sie darstellen beruht die
 Grafik
unten
(3).
 Mit ihrer Autorisierung übernimmt die Karten ausgebende Bank eine
Zahlungsgarantie
(4).
Dazu verpflichtet sie sich, wie es scheint, durch den Beitritt zum
Verrechnungsverbund. Für den Händler, der Debitkarten von Maestro oder
anderen Verbünden akzeptiert, garantiert jedenfalls der Verbund, der das Logo
verbreitet, die Zahlung, sobald die Autorisierung gemeldet wurde.
 Die meisten inländischen
Debitkarten tragen mehrere Logos, meistens
die von girocard oder (älter) von electronic cash und von Maestro, wobei
dieses Abrechnungssystem meistens nur wegen grenzüberschreitender
Transaktionen zum Einsatz kommt.
|
 Auf das Konto des Inhabers von Debitkarten erfolgt zwar kein
Direktzugriff durch die ausländische Bank, wohl aber eine nur
geringfügig verzögerte Kontobelastung durch die Karten ausgebende Bank.
Nur bei echten Kreditkarten erfolgt die Buchung auf einem Zwischenkonto,
worauf das Soll in regelmäßigen Abständen (meistens monatlich) dem
laufenden Konto des Karteninhabers belastet wird.
Das Clearingverfahren schließt sich der Autorisierung an. In ihm
werden - wie auch im
SWIFT oder im Zusammenhang mit dem
Roaming - die gegenseitigen Forderungen zwischen den Banken und ihren
Verbünden ver- und abgerechnet.
Eine
Kernaussage des Cyberfahnders im Zusammenhang mit der
Strafbarkeit der Fälschung von Zahlungskarten mit Garantiefunktion
muss relativiert werden: Der erfolgreiche Einsatz gefälschter
Zahlungskarten im Ausland belegt, dass bei der Verfügung das
Autorisierungsverfahren ohne Beanstandung durchgeführt wurde, so dass
die vom Abwicklungsverbund vermittelte Zahlungsgarantie der Karten
ausstellenden Bank missbraucht werden konnte.
Bislang bin ich davon ausgegangen, dass die Clearingstellen die
Zahlungsgarantie verbürgen. Das tun sie wohl auch im Verhältnis zur
akzeptierenden Bank. Darüber habe ich keine verlässlichen Informationen
bekommen. Die Grundlage für die Garantie des Verbundes ist jedoch die
Haftung der Karten ausstellenden Bank.
Diese Schlussfolgerung steht auch im Einklang mit der Herkunft der
Autorisierungen im Onlineverfahren: Sie sind aus dem
Euroscheck-Verfahren hervorgegangen und dort hatten auch die ausgebenden
Banken den Gegenwert von 400 DM je Scheckformular garantiert. Ihre
Haftung wurde vom Wertpapier (dem Scheck) gelöst und vom
Autorisierungsverfahren ersetzt. Eigentlich logisch.
|
|
|
 |
Autorisierung
Die vom Geldautomaten abgefragten Daten (Kartendaten und PIN) werden
über die Bank, die den Geldautomaten betreibt, über den Bankenverbund im
Ausland und dem internationalen Verbund zu den nationalen Kopfstellen
oder den inländischen Bankenverbünden bis hin zu der Bank gemeldet
(geroutet), die die Zahlungskarte ausgestellt hat. Sie meldet auf
demselben Weg die Autorisierung zurück.
Die Meldewege richten sich nach den beteiligten Verbünden. Zwischen
den Sparkassen im EUFISERV-Verbund dient z.B. das Rechenzentrum der Finanz IT
als europäische Kopfstelle, die den unmittelbaren Kontakt zwischen der
Geldautomaten- und der kartenausstellenden Bank vermittelt
(5).
Clearing
Daran schließt das Clearingverfahren an, mit dem die gegenseitigen
Forderungen saldiert und verrechnet werden.
|
| |
|
 (1)
siehe auch
MasterCard: So funktionieren Transaktionen
(2)
Informationsleitfaden für Visa Händler: Fernabsatz-Transaktionen,
Visa 14.09.2006;
Zitat: S. 8
(3)
Beispiel für die technische Spezifikation:
Deutsche Bundesbank, Spezifikationen für den elektronischen Zahlungsverkehr der Deutschen Bundesbank, dies. 22.01.2009
( 18,16 MB)
(4)
In ihren Händler-Informationen heben verschiedene Banken die
Garantiefunktion als Vorteil hervor (z.B. von der
Haspa). Einen ausdrücklichen Beleg habe ich
jedoch nicht gefunden (also etwa die Vertragstexte für Maestro oder
electronic cash).
Siehe auch
Christian Bartsch, Zahlungsarten und deren Kosten,
zahlungsverkehrsfragen.de 2008.
Weitergehend:
Projektgruppe E-Government im Bundesamt für Sicherheit
in der Informationstechnik (BSI), Sichere Zahlungsverfahren für E-Government,
ibi 03.06.2005
Nicolas Adolph, ELV ohne POZ: auch weiterhin bedeutend,
cards Karten cartes 26.01.2007
First Data, Der Kampf gegen den Kartenmissbrauch.
Summery, FDI 15.03.2007
|
(5)
siehe
Lange, Die inanzIT GmbH. Das Systemhaus der
Sparkassen-Finanzgruppe, FinanzIT 14.07.2005, S. 11
|
August 2009
