Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
August 2009
02.08.2009 internationaler Zahlungsverkehr
zurück zum Verweis zur nächsten Überschrift Autorisierung und Clearing
 

 

Autorisierungsverfahren

Wenn eine Karten ausgebende Bank eine Autorisierungsanfrage genehmigt, bedeutet dies, dass das Konto existiert und keinen Negativstatus aufweist. D.h. die Karte ist nicht als verloren / gestohlen gemeldet, das Kartenkonto ist nicht geschlossen und der Karteninhaber verfügt – zum Zeitpunkt der Autorisierungsanfrage – über genügend finanzielle Mittel, um diesen Kauf zu tätigen.
Eine Autorisierung ist jedoch nicht gleichbedeutend mit der Überprüfung der Karte oder der Identitätsbestätigung des Karteninhabers. Darüber hinaus ist eine Autorisierung auch keine Garantie dafür, dass die vom Karteninhaber angegebene Adresse korrekt ist, bzw. dass der tatsächliche Karteninhaber die Transaktion tätigt.
(2)
 
 

 
Die Kernstücke des internationalen Zahlungsverkehrs sind die Autorisierungen von Verfügungen und das Verrechnungssystem zwischen den beteiligten Banken ( Clearing). kartensicherheit.de beschreibt die Grundzüge des damit verbundenen Systems:

Ablauf einer Geldautomaten-Transaktion in Deutschland (1)
  Grafik: inländische Transaktion

Ablauf einer Maestro-Transaktion
  Grafik: POS-Terminal
  Grafik: Geldautomat

 Ablauf einer Kreditkarten-Transaktion
  Grafik: Visa / MasterCard

Auf den Grafiken und den Abläufen, die sie darstellen beruht die Grafik unten (3).

Mit ihrer Autorisierung übernimmt die Karten ausgebende Bank eine Zahlungsgarantie (4). Dazu verpflichtet sie sich, wie es scheint, durch den Beitritt zum Verrechnungsverbund. Für den Händler, der Debitkarten von Maestro oder anderen Verbünden akzeptiert, garantiert jedenfalls der Verbund, der das Logo verbreitet, die Zahlung, sobald die Autorisierung gemeldet wurde.

Die meisten inländischen Debitkarten tragen mehrere Logos, meistens die von girocard oder (älter) von electronic cash und von Maestro, wobei dieses Abrechnungssystem meistens nur wegen grenzüberschreitender Transaktionen zum Einsatz kommt.
 

 
Auf das Konto des Inhabers von Debitkarten erfolgt zwar kein Direktzugriff durch die ausländische Bank, wohl aber eine nur geringfügig verzögerte Kontobelastung durch die Karten ausgebende Bank. Nur bei echten Kreditkarten erfolgt die Buchung auf einem Zwischenkonto, worauf das Soll in regelmäßigen Abständen (meistens monatlich) dem laufenden Konto des Karteninhabers belastet wird.

Das Clearingverfahren schließt sich der Autorisierung an. In ihm werden - wie auch im SWIFT oder im Zusammenhang mit dem Roaming - die gegenseitigen Forderungen zwischen den Banken und ihren Verbünden ver- und abgerechnet.

Eine Kernaussage des Cyberfahnders im Zusammenhang mit der Strafbarkeit der Fälschung von Zahlungskarten mit Garantiefunktion muss relativiert werden: Der erfolgreiche Einsatz gefälschter Zahlungskarten im Ausland belegt, dass bei der Verfügung das Autorisierungsverfahren ohne Beanstandung durchgeführt wurde, so dass die vom Abwicklungsverbund vermittelte Zahlungsgarantie der Karten ausstellenden Bank missbraucht werden konnte.

Bislang bin ich davon ausgegangen, dass die Clearingstellen die Zahlungsgarantie verbürgen. Das tun sie wohl auch im Verhältnis zur akzeptierenden Bank. Darüber habe ich keine verlässlichen Informationen bekommen. Die Grundlage für die Garantie des Verbundes ist jedoch die Haftung der Karten ausstellenden Bank.

Diese Schlussfolgerung steht auch im Einklang mit der Herkunft der Autorisierungen im Onlineverfahren: Sie sind aus dem Euroscheck-Verfahren hervorgegangen und dort hatten auch die ausgebenden Banken den Gegenwert von 400 DM je Scheckformular garantiert. Ihre Haftung wurde vom Wertpapier (dem Scheck) gelöst und vom Autorisierungsverfahren ersetzt. Eigentlich logisch.
 

zurück zum Verweis Autorisierung und Clearing
 

 
Autorisierung

Die vom Geldautomaten abgefragten Daten (Kartendaten und PIN) werden über die Bank, die den Geldautomaten betreibt, über den Bankenverbund im Ausland und dem internationalen Verbund zu den nationalen Kopfstellen oder den inländischen Bankenverbünden bis hin zu der Bank gemeldet (geroutet), die die Zahlungskarte ausgestellt hat. Sie meldet auf demselben Weg die Autorisierung zurück.

Die Meldewege richten sich nach den beteiligten Verbünden. Zwischen den Sparkassen im EUFISERV-Verbund dient z.B. das Rechenzentrum der Finanz IT als europäische Kopfstelle, die den unmittelbaren Kontakt zwischen der Geldautomaten- und der kartenausstellenden Bank vermittelt (5).

Clearing

Daran schließt das Clearingverfahren an, mit dem die gegenseitigen Forderungen saldiert und verrechnet werden.
 

zurück zum Verweis Anmerkungen
 


(1) siehe auch MasterCard: So funktionieren Transaktionen

(2) Informationsleitfaden für Visa Händler: Fernabsatz-Transaktionen, Visa 14.09.2006;
Zitat: S. 8

(3) Beispiel für die technische Spezifikation: Deutsche Bundesbank, Spezifikationen für den elektronischen Zahlungsverkehr der Deutschen Bundesbank, dies. 22.01.2009 ( 18,16 MB)

(4) In ihren Händler-Informationen heben verschiedene Banken die Garantiefunktion als Vorteil hervor (z.B. von der Haspa). Einen ausdrücklichen Beleg habe ich jedoch nicht gefunden (also etwa die Vertragstexte für Maestro oder electronic cash).
Siehe auch Christian Bartsch, Zahlungsarten und deren Kosten, zahlungsverkehrsfragen.de 2008.
Weitergehend:
Projektgruppe E-Government im Bundesamt für Sicherheit in der Informationstechnik (BSI), Sichere Zahlungsverfahren für E-Government, ibi 03.06.2005
Nicolas Adolph, ELV ohne POZ: auch weiterhin bedeutend, cards Karten cartes 26.01.2007
First Data, Der Kampf gegen den Kartenmissbrauch. Summery, FDI 15.03.2007
 

 
(5) siehe Lange, Die inanzIT GmbH. Das Systemhaus der Sparkassen-Finanzgruppe, FinanzIT 14.07.2005, S. 11
 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 05.08.2009