15. März 2008

IP-Payment

Category: Internet,Produkte — Christian @ 23:05

In Österreich gibt es das schon … bezahlen durch den Provider, ermittelt anhand der IP-Adresse. Die Montax Payment Services GmbH bietet das an und noch bevor deren Produkt Billiteasy oder vergleichbare Leistungen überhaupt in Deutschland angeboten werden, warnt die Seite Computerbetrug.de schon davor. Das sieht ja recht vielversprechend aus 🙂

Die Idee ist eigentlich die gleiche wie beim Telefon- oder Handy-Billing. Der Provider erkennt anhand der IP-Adresse, welcher Kunde (d.h. welches Anschlusskonto) wann gerade online ist und bucht Mehrwertdienste direkt auf dieses Anschlusskonto. Da die meisten Provider ihre Rechnung per Einzugsermächtigung beim Kunden abholen, ist das für die Anbieter der Mehrwertdienste genauso bequem wie die Abrechnung über eine 0900-Nummer oder eine Premium-SMS. Allerdings mit dem feinen Unterschied, dass IP-Payment nicht gesetzlich reguliert ist, man kann also für den Abruf einer einzelnen Seite auf einem Webserver auch gerne 500 Euro in Rechnung stellen, wenn der Provider da mitspielt.

Technisch funktioniert das in etwa so, dass der Provider mit dem IP-Payment-Anbieter einen Vertrag schließen müssen, der IP-Payment-Anbieter dann wieder mit den eigentlichen Mehrwertdienstanbietern. Ob sich die IP-Payment-Anbieter als Clearingstelle halten können oder ob die Provider diese Provision ebenfalls einstecken wollen wird sich zeigen. Anbieter wie Firstgate können sich jedenfalls im Markt (noch) behaupten. Bei einem Zugriff auf kostenpflichtige Angebote schickt der Mehrwertdienstanbieter eine entsprechende Nachricht an den IP-Payment-Anbieter, der diese Information mit der IP-Adresse des Kunden an den Provider weiterleitet. Wenn die IP-Adresse entweder zu einem Provider gehört, der nicht vom IP-Payment-Anbieter unterstützt wird oder gesperrt ist, dann ist der Zugriff auf das kostenpflichtige Angebot so nicht möglich.

Die Probleme die dabei entstehen können sind vielfältiger Natur. Erstmal die technischen Probleme:

  • Es gibt nur ein paar Telefongesellschaften aber viele Provider. Ein IP-Payment-Anbieter braucht daher viele Verträge
  • Eine Telefonnummer beim Versand einer SMS lässt sich eindeutig zuordnen, eine IP-Adresse beim Zugriff auf eine Webseite kann auch ein Proxy sein
  • Was ist mit Zugriffen aus einem Internet-Café? Werden die vom Provider zuverlässig ausgeschlossen?
  • Was ist mit IP-Adressen die Hotels zugeordnet sind und von den Hotelgästen genutzt werden? Im Grunde sind das ja auch Dienstanbieter in irgendeiner Form.
  • Was ist mit nicht oder schlecht geschützten WLANs? WEP ist zwar ausreichend im Sinne des § 202a StGB (Ausspähen von Daten) aber nicht sicher um nicht doch kompromittiert zu werden. Ist der Betreiber dann der Dumme? Ok, eine Mitstörerhaftung ist klar, aber eine Willenserklärung wurde nicht abgegeben.
  • Was ist mit Webseiten, die automatische Redirects auf kostenpflichtige Angebote durchführe? Das kann schon in einem IFrame passieren. Das ist dann quasi die Dialerproblematik im Quadrat.

Juristisch ist es ähnlich kompliziert:

  • Genügt eine IP-Adresse als Nachweis des Einverständnisses in eine Willenserklärung?
  • Handelt es sich um ein Opt-In, d.h. muss der Kunde beim Provider erklären er will so einen Mehrwertdienst (dann wird es niemand tun) oder um ein Opt-Out, aber dann sind AGB-Änderungen notwendig, die vielleicht vielen Kunden ein Sonderkündigungsrecht erlauben.

Und schließlich … will sich wirklich einer der großen Provider einen Haufen Ärger einhandeln, wenn Kunden geschröpft werden und ihre Rechnungen nicht mehr bezahlen? Ok, Arcor wird sicher mit dabei sein. Aber alle anderen?

Andererseits … für Hacker tut sich da eine ganz neue Spielwiese auf. Ich würde mich ja auf einen IP-Payment-Hack vergleichbar zum BTX-Hack freuen 🙂 Vielleicht stellt die Hamburger Sparkasse oder eine andere Bank ja freundlicherweise einen Webserver mit ein paar PHP-Code-Injections zur Verfügung?

1 Kommentar

  1. Kommentare gesperrt wegen Spam

    Comment by Christian — 7. Juni 2012 @ 11:26

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.