{"id":566,"date":"2008-03-15T23:05:41","date_gmt":"2008-03-15T22:05:41","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/566-ip-payment"},"modified":"2025-04-05T22:40:39","modified_gmt":"2025-04-05T20:40:39","slug":"ip-payment","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/566-ip-payment","title":{"rendered":"IP-Payment"},"content":{"rendered":"<p>In \u00d6sterreich gibt es das schon &#8230; bezahlen durch den Provider, ermittelt anhand der IP-Adresse. Die <a href=\"http:\/\/www.montax.com\/\">Montax<\/a> Payment Services GmbH bietet das an und noch bevor deren Produkt <a href=\"http:\/\/www.billiteasy.com\/\">Billiteasy<\/a> oder vergleichbare Leistungen \u00fcberhaupt in Deutschland angeboten werden, warnt die Seite <a href=\"http:\/\/www.computerbetrug.de\/dialer-und-mehrwertdienste\/ip-payment-bezahlen-ueber-die-ip-adresse\/\">Computerbetrug.de<\/a> schon davor. Das sieht ja recht vielversprechend aus \ud83d\ude42<\/p>\n<p>Die Idee ist eigentlich die gleiche wie beim Telefon- oder Handy-Billing. Der Provider erkennt anhand der IP-Adresse, welcher Kunde (d.h. welches Anschlusskonto) wann gerade online ist und bucht Mehrwertdienste direkt auf dieses Anschlusskonto. Da die meisten Provider ihre Rechnung per Einzugserm\u00e4chtigung beim Kunden abholen, ist das f\u00fcr die Anbieter der Mehrwertdienste genauso bequem wie die Abrechnung \u00fcber eine 0900-Nummer oder eine Premium-SMS. Allerdings mit dem feinen Unterschied, dass IP-Payment nicht gesetzlich reguliert ist, man kann also f\u00fcr den Abruf einer einzelnen Seite auf einem Webserver auch gerne 500 Euro in Rechnung stellen, wenn der Provider da mitspielt.<\/p>\n<p>Technisch funktioniert das in etwa so, dass der Provider mit dem IP-Payment-Anbieter einen Vertrag schlie\u00dfen m\u00fcssen, der IP-Payment-Anbieter dann wieder mit den eigentlichen Mehrwertdienstanbietern. Ob sich die IP-Payment-Anbieter als Clearingstelle halten k\u00f6nnen oder ob die Provider diese Provision ebenfalls einstecken wollen wird sich zeigen. Anbieter wie Firstgate k\u00f6nnen sich jedenfalls im Markt (noch) behaupten. Bei einem Zugriff auf kostenpflichtige Angebote schickt der Mehrwertdienstanbieter eine entsprechende Nachricht an den IP-Payment-Anbieter, der diese Information mit der IP-Adresse des Kunden an den Provider weiterleitet. Wenn die IP-Adresse entweder zu einem Provider geh\u00f6rt, der nicht vom IP-Payment-Anbieter unterst\u00fctzt wird oder gesperrt ist, dann ist der Zugriff auf das kostenpflichtige Angebot so nicht m\u00f6glich.<\/p>\n<p>Die Probleme die dabei entstehen k\u00f6nnen sind vielf\u00e4ltiger Natur. Erstmal die technischen Probleme:<\/p>\n<ul>\n<li>Es gibt nur ein paar Telefongesellschaften aber viele Provider. Ein IP-Payment-Anbieter braucht daher viele Vertr\u00e4ge<\/li>\n<li>Eine Telefonnummer beim Versand einer SMS l\u00e4sst sich eindeutig zuordnen, eine IP-Adresse beim Zugriff auf eine Webseite kann auch ein Proxy sein<\/li>\n<li>Was ist mit Zugriffen aus einem Internet-Caf\u00e9? Werden die vom Provider zuverl\u00e4ssig ausgeschlossen?<\/li>\n<li>Was ist mit IP-Adressen die Hotels zugeordnet sind und von den Hotelg\u00e4sten genutzt werden? Im Grunde sind das ja auch Dienstanbieter in irgendeiner Form.<\/li>\n<li>Was ist mit nicht oder schlecht gesch\u00fctzten WLANs? WEP ist zwar ausreichend im Sinne des \u00a7 202a StGB (Aussp\u00e4hen von Daten) aber nicht sicher um nicht doch kompromittiert zu werden. Ist der Betreiber dann der Dumme? Ok, eine Mitst\u00f6rerhaftung ist klar, aber eine Willenserkl\u00e4rung wurde nicht abgegeben.<\/li>\n<li>Was ist mit Webseiten, die automatische Redirects auf kostenpflichtige Angebote durchf\u00fchre? Das kann schon in einem IFrame passieren. Das ist dann quasi die Dialerproblematik im Quadrat.<\/li>\n<\/ul>\n<p>Juristisch ist es \u00e4hnlich kompliziert:<\/p>\n<ul>\n<li>Gen\u00fcgt eine IP-Adresse als Nachweis des Einverst\u00e4ndnisses in eine Willenserkl\u00e4rung?<\/li>\n<li>Handelt es sich um ein Opt-In, d.h. muss der Kunde beim Provider erkl\u00e4ren er will so einen Mehrwertdienst (dann wird es niemand tun) oder um ein Opt-Out, aber dann sind AGB-\u00c4nderungen notwendig, die vielleicht vielen Kunden ein Sonderk\u00fcndigungsrecht erlauben.<\/li>\n<\/ul>\n<p>Und schlie\u00dflich &#8230; will sich wirklich einer der gro\u00dfen Provider einen Haufen \u00c4rger einhandeln, wenn Kunden geschr\u00f6pft werden und ihre Rechnungen nicht mehr bezahlen? Ok, <a href=\"\/blog\/389-nachruf-auf-arcor\">Arcor<\/a> wird sicher mit dabei sein. Aber alle anderen?<\/p>\n<p>Andererseits &#8230; f\u00fcr Hacker tut sich da eine ganz neue Spielwiese auf. Ich w\u00fcrde mich ja auf einen IP-Payment-Hack vergleichbar zum <a href=\"http:\/\/chaosradio.ccc.de\/doc002.html\">BTX-Hack<\/a> freuen \ud83d\ude42 Vielleicht stellt die Hamburger Sparkasse oder <a href=\"http:\/\/www.heise.de\/security\/Webauftritt-der-SEB-Bank-mit-Sicherheitsproblemen--\/news\/meldung\/94782\/\">eine andere Bank<\/a> ja freundlicherweise einen Webserver mit ein paar <a href=\"http:\/\/www.webmasterpro.de\/coding\/article\/php-sicherheit-include-absichern.html\">PHP-Code-Injections<\/a> zur Verf\u00fcgung?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In \u00d6sterreich gibt es das schon &#8230; bezahlen durch den Provider, ermittelt anhand der IP-Adresse. Die Montax Payment Services GmbH bietet das an und noch bevor deren Produkt Billiteasy oder vergleichbare Leistungen \u00fcberhaupt in Deutschland angeboten werden, warnt die Seite Computerbetrug.de schon davor. Das sieht ja recht vielversprechend aus \ud83d\ude42 Die Idee ist eigentlich die [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[10,5],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/566"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=566"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/566\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=566"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=566"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=566"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}