Freigiebig mit PIN und TAN
PIN und TAN gehören zu den Informationen, die man beim Onlinebanking besser nur so verwendet, wie es die eigene Bank gestattet. Und das heißt: PIN und TAN werden allenfalls auf der Website der Bank abgefragt. Jede Weitergabe an Dritte trägt den Anschein grober Fahrlässigkeit. Das kann entsprechend teuer werden.
Die Firma Conrad ficht das nicht sonderlich an. Sie bietet ein System der “Sofortüberweisung” an, bei dem der Kunde Bankverbindung, PIN und TAN bei einem externen Dienstleister hinterlegen muss. Dieser führt dann offenbar die Transaktion aus. Conrad preist das System sogar noch als innovativ und schmückt sich mit einem TÜV-Siegel.
Ich hab das Thema heute morgen schon bei fefe gelesen, allerdings frage ich mich die ganze Zeit, wie das genau funktionieren soll, z.B. im Fall der "Sparkassen". Die verlangen eine bestimmte TAN von der zugesandten Liste um Überweisungen aufzugeben.
Wird das bei der "Sofortüberweisung" ein ignoriert und von der Bank wird jede TAN akzeptiert, die dem jeglichen Nutzer zugeordnet werden kann?
Na ja, so wirklich richtig ist das nicht. Sofortüberweisung ist ein sicheres und gutes Zahlungsmittel. Was die Presse hingegen draus macht, und dass das auch hier offensichtlich ohne eigenes Hintergrundwissen falsch dargestellt wird, zeigt wieder einmal, wie weit es manchmal mit dem Warheitsgehalt von Meldungen im Internet her ist… Leider!
Wer's mal selbst wissen oder probieren will, macht das am Besten.
@Lars
Genau darin liegt das Problem solcher Berichte. sofortüberweisung stellt nämlich nur die Brücke für Dich zwischen Händler und Bank her. Einloggen (und damit auch die Sicherheit der Anwendung) tust Du Dich bei Deiner Bank….
Wie gesagt, was man so alles aus einem guten System machen kann.
Btw. eBay hat es deshalb verboten, weil sie bei den Umsatzzahlen von sofortüberweisung Angst haben, das PayPal, das nachweislich schlechter ist, Umsatz flöten gehen könnte…
Also soweit ich weiß, gibt man die Daten bei seiner Bank ein und die bestätigt dem Händler (in diesem Fall Conrad) einfach, dass die Zahlung korrekt durchgeführt wurde und das Konto gedeckt war. Conrad geht bedient sich nicht selbst am Konto.
Das läuft über so eine Art API bei der Bank.
Habe den Dienst von Sofortüberweisung schon zwei mal genutzt.
Zu erst wird man nach den OnlineBankingzugangsdaten gefragt und dann nach der entsprechenden TAN.
Dabei werden tan und Zugangsdaten nicht an den Dienstleister übergeben sondern direkt über eine API Schnitstelle bei der Bank eingegeben.
Man loggt sich also theoretisch bei seiner Bank ein und führt eine Überweisung durch.
In der Beschreibung steht eindeutig, dass man seine sämtlichen Daten nicht auf der Seite der Bank eingibt. Diese Daten werden vielmehr von Conrad bzw. dem Dienstleiter an die Bank übermittelt. Wenn es anders sein sollte, beschreibt Conrad das System jedenfalls missverständlich.
Das Verfahren selbst ist nicht neu. Bereits 2005 wurde ein ähnliches Verfahren von diversen Erotikanbietern genutzt um Zugangszahlungen abzurechnen. Die Eingabe von Pin/Tan erfolgt hierbei ueber ein gesichertes JavaApplet, welches die Eingabemasken der entsprechenden Bank an den Kunden weiterleitet, die Eingaben des Kunden an den Bankserver uebergibt und bei erfolgreicher Ueberweisung den Zugang fuer die gewuenschte Webseite bereitstellt.
Nunja, auf den ersten Blick ist es jedenfalls recht suspekt und nicht wirklich überzeugend. Da geh ich lieber weiterhin den einfachen und vermutlich auch sicheren Weg.
Danke jedenfalls für die Aufklärung.
@Pinky
Naja, solange ich nicht den Sourcecode des Applets gesehen und das ganze selber compiliert hab, würde ich nirgenswoanders als direkt auf der Bank-Website die Daten eingeben. Wer weiss was das Applet so alles damit macht…
Das Sofortbezahlverfahren, das einige hier meinen ist Giropay. Das ist von den Banken selber entwickelt worden.
Das was Conrad benutzt scheint was selbstgestricktes zu sein und ähnelt vom Prinzip her wohl mehr einer zwischengeschalteten Online Banking Software.
Was hier steht ist einfach nur falsch. Da ich das System in meinen Internet-Dienst eingebunden habe und mich seit Jahren mit Zahlungssystemen im Internet beschäftige, kläre ich mal kurz auf:
Sofortüberweisung.de:
Sofortüberweisung führt für einen eine Überweisung aus. Damit das klappt, braucht Sofortüberweisung.de die Logindaten fürs Online-Banking von einem. Meistens ist dies die Kontonummer und ein Passwort. SÜ loggt sich dann von deren Server aus ins Konto ein und macht genau das, was auch ein User machen würde – es fängt an, eine Überweisung auszufüllen. Wenn die Bank dann nach einer (bestimmten) Tan fragt, dann fragt SÜ einfach in einem weiteren Schritt den Nutzer und der gibt die Info ein und ein Server im Hintergrund führt die Überweisung dann zuende aus. Der Server bekommt dann auch nach der Überweisung von der Bank die Meldung, obs geklappt hat und die Überweisung durchgeführt wurde oder ob es (z.B. wegen mangelnder Deckung) nicht geklappt hat. Das kann der Server ja direkt im Konto sehen, in der er noch eingeloggt ist.
##########
Was hier einige verwechseln ist Giropay:
Giropay legt im Prinzip im Zusammenarbeit mit einer Bank ein Formular im Onlinebanking an und der Kunde loggt sich dann ein und füllt es selber aus und bestätigt die Überweisung mit PIN und TAN. Giropay selber bekommt dann nur eine Zahlungsbestätigung nach dem Absenden des Formulars von der Bank und weiss daraufhin, dass die Überweisung in Ordnung war.
Giropay ist von den Banken selber (Sparkassen und ich glaube Volksbanken) und Sofortüberweisung ist ein privates Unternehmen.
Im Prinzip ja gar keine schlechte Idee. Das Vetrauen, dass die auch nur den Rechnungsbetrag abbuchen bzw. überweisen kann ich noch aufbringen.
Allerdings moechte ich Conrad nicht Zugriff auf meine Buchungen der letzten 90 Tage und meinen aktuellen Kontostand gewaehren. Wer weiß, vielleicht haben die ja noch nen heimliches Techtelmechtel mit der Schufa ;)
Es laeuft nicht ueber irgend eine bereitgestellte API – die die Bank ja erstmal anbieten muesste – sondern ueber ein wohl von Conrad oder dieser Eintreiber-Firma geschriebenes Programm, welches wirklich die Ueberweisung vollkommen analog durchfuehrt, wie jeder der Online-Banking nutzt. Nur brauch es dafuer dann den PIN und die angeforderte TAN.
Im Prinzip genauso als wuerde nen Haendler sagen: Schicken Sie mir ne Kopie/Screenshot der Ueberweisung und ich schick die Ware sofort raus, da er somit ja weiß, das das Geld unterwegs ist. Nur muss er bei diesem Verfahren nicht befuerchten, das der User es gefaked hat.
Nachtrag: Sofortüberweisung.de fragt in der Tat genau die Daten ab, die man eigentlich nicht rausgeben sollte. Ob man das als Kunde verwendet, ist daher fraglich. Ich als Händler nutze das System sehr gerne, da es mir eine fast 100%ige Zahlungssicherheit bietet (ich kriege das Geld ja vom Kunden als Überweisung, die er nicht widerrufen kann) und bezahle geringste Gebühren dafür an SÜ.de. Dagegen sind Paypal und andere Systeme sehr viel teurer und teilweise für den Verkäufer viel unsicherer.
@5 Gilly,
ich glaube, Du verwechselst das mit Giropay.
Sofortüberweisung arbeitet ohne Kooperation der Banken. Sie versprechen und versichern zwar, anständig und ehrlich zu sein – dennoch müssen Pin/Tan über deren Rechner gehen um die begehrte Zahlungsbestätigung sicherstellen zu können (lokal könnte sonst das Java-Applet manipuliert werden und entsprechend falsche Bestätigungen versenden).
Wer es unbedingt nutzen will, sollte bequemerweise vorher seine PIN für diesen Zweck ändern und anschließend wieder zurück.
Man muss sich im Klaren darüber sein, dass man die Pin/Tan vertragswidrig einem Fremden aushändigt, der alles damit mögliche theoretisch tun könnte.
Wenn mein PC nicht schon total verseucht ist, kann ich mir bei der Eingabe von http://www.MEINEBANK.de sicher sein, das ich genau dort lande.
Hier muss ich nun den Admins zweier zusätzlicher Betreiber vertrauen, Sofortüberweisung mag ja noch gehen, aber ob Conrad genügend Fachwissen investiert, irgendwelche Frame-Spielereien zu verhindern…?
Ausserdem bringt es mir, dem Nutzer, so gut wie keinen Komfortgewinn, warum sollte ich also dabei mitmachen (und potentielle Probleme riskieren)?
DW.
@11: Sofortüberweisung möchte mein Login und das Passwort fürs Onlinebanking? Und das hältst Du für vertrauenswürdig? Nicht Dein Ernst, oder?
Ich kann mir gar nicht vorstellen, wie man ein solches System stabil(!) ohne Nutzung von von der jeweiligen Bank zur Verfügung gestellter Schnittstellen realisieren will. Die Webseite der Bank selbst zu automatisieren ist wohl eine eher theoretische Möglichkeit, weil sich das Interface jederzeit ändern kann und wäre, selbst wenn die Payment Network AG sich diese Mühe gemacht hätte (sind immerhin ein paar hundert Banken, die lt. Webseite unterstützt werden), durch die Banken recht einfach zu unterbinden.
Ich gehe also davon aus, dass die Banken das vermutlich explizit unterstützen, zumindest aber stillschweigend dulden. Insofern erscheint es schwer vorstellbar, wenn sie sich später auf "grobe Fahrlässigkeit" herausreden wollen.
Unabhängig davon könnte man den gleichen Nutzen natürlich viel sauberer und schöner erreichen, wenn man ein einheitliches Protokoll zur sofortigen Bestätigung einer Überweisung einführen würde. Die Bank würde dann digital signiert bestätigen, dass der Kunde die Überweisung vorgenommen hat, und der Versender könnte anhand dieser Bestätigung dann sofort die Bestellung versenden.
In "analoger" Form ist das übrigens z.B. in Mittel- und Südamerika, wo Banküberweisungen recht lange dauern können, gang und gäbe. Dort bekommt der Einzahler ein sog. "comprobante bancario del pago", das man dem Lieferanten vorlegt und sich somit das Warten auf die tatsächliche Gutschrift spart.
Die Idee, dass ein Zahlungsempfänger sofort erfährt, ob eine Überweisung erfolgreich sein wird, ist ja sicher nicht schlecht.
Aber die Umsetzung gefällt mir gar nicht.
Eigentlich wäre es ein leichtes, wenn die Banken selber diesen Service anbieten würde, nämlich eine sichere und verifizierbare Bestätigung an den Zahlungsempfänger, dass die Überweisung erfolgen wird.
Nur würde eine solche simple und sichere Lösung für die Banken den Nachteil haben, dass dann wirklich jedem auffallen würde, dass es eigentlich auch überhaupt keine Rechtfertigung dafür mehr gibt, dass das Geld nicht sofort gutgeschrieben wird.
Hm?! Ich lasse Conrad einen "TÜV-zertifizierten" Man-in-the-middle-Angriff auf mein Onlinebanking durchführen?
Wer das für eine gute Idee hält, kann sich ja mal bei mir melden; ich hätte da ein paar attraktive Kontakte zu nigerianischen Prinzen zu vermitteln…
Hier wird damit argumentiert, dass dieses System ja nicht unsicherer sei, als wenn ich die Daten selbst bei meiner Bank eingebe.
Ich halte mal dagegen:
Es ist mindestens doppelt so unsicher wie der normale Banklogin. Den jetzt schicke ich meine Daten nicht an einen Server der korrumpiert sein könnte sondern gleich an 2. Ich meine, selbst meine Bank kann mir nicht garantieren, dass nicht irgendein Programmierer sich irgendwo ne Hintertür eingebaut hat (oder von einem unberechtigten Dritten die Daten manipuliert wurden). Das selbe gilt natürlich auch für diesen "Sofortüberweisungsservice".
Im Endeffekt ist es natürlich jedermans Sache was er mit seinen Daten anstellt, aber ich persönlich würde von sowas die Finger lassen.
@2 / PS:
Meine Bank verbietet mir ausdrücklich, meine PIN und TAN irgendwoanders als auf deren Webseite einzugeben. Heißt für mich doch, wenn dann ein Schaden entsteht, bin ich erstmal der Dumme.
Inwieweit Sofortüberweisung "Sicher" und "Gut" ist, kann man als Laie überhaupt nicht und als Fachmann nicht ohne den Zugang zu Quellcode und Umsetzung prüfen. Von daher wäre ich mit solchen Aussagen sehr vorsichtig.
Wir haben das System auch im Einsatz. Ich habe Testbuchungen mit meinem eigenen privaten Bankkonto gemacht und habe die Original Captchas meiner Hausbank gesehen. Sofortüberweisung "tunnelt" die Website der Bank durch ihr Zahlungsmodul und speichert die Daten selbst gar nicht, zumindest wurde uns das so beschrieben. Das System läuft bei uns seit ca. zwei Monaten stabil und komplikationslos und der Kontakt zu Sofortüberweisung war immer angenehm und ich persönlich habe an deren Seriösität keine Zweifel.
Letztlich empfinde ich das für den Kunden mindestens ebenbürtig gegenüber Kreditkartenzahlung, was die Sicherheit angeht.
Was ich eben noch vergessen habe:
Sinnvoll wäre es, wenn die Banken sowas anbieten würden. Also ich bekomme bei der Überweisung einen (zufälligen) Zeichenstring. Per Eingabe von diesem Zeichenstring, dem exacten Betrag und dem Namen des Kontoinhabers kann der Dienstleister abfragen, ob die Überweisung erfolgreich war.
Zusätzlich würde diese Abfrage z.B. nur für 3 – 4 Stunden möglich sein, so könnte der Kunde (relativ) sicher sein, das niemand unerlaubt seine Daten abfragt (wenn man den Zufälligen String lang genug wählt, sollte das gut gehen).
Auf diese Weise hat
a) der Verkäufer die Sicherheit das er sein Geld bekommt und
b) der Käufer gibt keine Daten Preis, die dem Verkäufer nicht sowieso bekannt wären (Name, Betrag und ob die Überweisung geklappt hat).
Man könnte das ganze doch erheblich entschärfen indem man die Überweisung selbst ausfüllt und dann nur noch die PIN weitergibt zur Kontrolle. Dann lässt man zwar die Hosen runter aber riskiert wenigstens kein Geld.
Aber Wahrscheinlich hat man sich dagegen entschieden weil so dem Kunden direkt klar ist das er seine Bankdaten incl. PIN an fremde weitergibt.
Ich nutze für verschiedene Dienste (z.b. http://www.Homepage.eu ) auch Sofortüberweisung.de und die bekommen keinerlei Daten. Man kommuniziert immer nur mit seiner Bank selber.
Das System ist sicherer wie Paypal, wo ich immer wieder Ärger habe. Weiterer Vorteil ist das ich die Ware sofort versenden kann oder die Dienstleistung sofort freischalten.
Da die Deutschen ungern Ihre Kreditkarte im Netz einsetzen, muss es solche Alternativen geben bis sich etwas durchsetzt.
also in österreich gibts das schon lange (ein paar jahre bestimmt) – verwenden zwar relativ wenige onlinehändler, aber an sich ist das nur eine API — ich wähle als zahlungsart online banking aus, das system fragt mich nach meiner bank (und das geht nur mit banken die kooperieren) und ich lande dann per popup (mit angezeigter URL und meiner bank entsprechendem SSL Zertifikat!) auf einer seite meiner eigenen bank, wo ich mich mit meinen daten am online banking meiner bank anmelde – die überweisung wird als solche angezeigt, nur dass die felder wie empfänger, betrag, verwendungsweck, … bereits über die API vorausgefüllt wurden und nach erfolgter überweisung wieder per API dem onlinesystem des händlers übergeben werden.
da die verbindung NUR zu meiner bank aufgebaut wird ist es nicht mehr und nicht weniger sicher wie jede andere überweisung (und was, wieviel und an wen ich überweise und ob ich tatsächlich mit meiner bank verbunden bin muss ich mir sowieso anschaun).
sehe das problem nicht? (außer es ist hier anderst gelöst).
Wie sieht es denn mit T-Pay Online Überweisung der Telekom aus?
service.t-online.de/c/18/...0/71/1810716,pt=self.html
Das wird z.B. bei hardwareversand.de eingesetzt, funktioniert so ähnlich, laut den Telekom-Seiten wird aber nix gespeichert, sondern die Daten direkt an die Bank-Server weitergeleitet, und die Banken machen wohl mit.
Das erscheint mit doch deutlich sicherer, oder nicht?
Auf jeden Fall ist's für den Kunden recht angenehm, weil er die Bestellung in einem Rutsch abwickeln und bezahlen kann und sich nicht noch extra bei seiner Bank anmelden muss, um dort alles in das Überweisungsformular einzutragen. Blöd natürlich, wenn dabei die Sicherheit auf der Strecke bleibt, wie es so oft bei Bequemlichkeit ist.
Die Versicherungsbedingungen finde ich nicht sehr attraktiv:
* Deckelung auf 5.000EUR pro Fall und 500.000EUR insgesamt (für alle Fälle) pro Jahr.
* Versichert ist mißbräuchliche Abbuchung. Mir ist unklar, was bei anderen Schäden ist, die man mit PIN/TAN verursachen kann (Beispiel Onlinebroking).
* Mir ist unklar, wer im Zweifelsfall beweispflichtig ist und wie die Beweisführung aussieht.
Gerade die Deckelung flößt mir nicht gerade Vertrauen ein. Wenn die Versicherung ihr Risiko derartig begrenzt, scheint sie der Sache nicht zu trauen.
Zum Nachlesen:
https://www.payment-netwo...weisung-versicherung.html
Wer kauft den bei der "Apotheke" Conrad. Es gibt deutlich bessere und vor allem günstigere Shops.
Auf der anderen Seite frage ich mich wie "sicher" sofortüberweisung für den Shop ist. Ich bin bei zwei Banken und kann ich mich noch ca. 30-60 Minuten lang einloggen und die getätigte Überweisung stoppen.
@18 Lutz
> Eigentlich wäre es ein leichtes, wenn die Banken selber diesen Service anbieten würde, nämlich eine sichere und verifizierbare Bestätigung an den Zahlungsempfänger, dass die Überweisung erfolgen wird.
Machen die Banken ja, indem der Betrag auf dem Empfängerkonto gutgeschrieben wird.
Die email zur Bestätigung würde doch bei Banken sicherlich auch drei Tage brauchen…
@17 / dr.chaos
So eine Schnittstelle gibt es bei fast jeder Bank, und es ist auch standardisiert, nämlich HBCI. Da gibt es neben dem Chipkarten- und Schlüsseldisketten-Verfahren auch mittlerweile HBCI oder dessen Nachfolger FinTS mit PIN/TAN, und sogar PIN/iTAN. Bei vielen Banken braucht man dazu keine weitere explizite Freischaltung, und auch viele Homebanking-Programme greifen über diese Schnittstelle zu.
Weitere Informationen s. de.wikipedia.org/wiki/Hom...anking_Computer_Interface
oke.
bei dem Wort "gesichertes Java-Applet" und bei "wird die Seite der Bank getunnelt" ist das Ding für mich gestorben.
Gesichertes Java-Applet…
Genausogut könnte man den Panzerknackern den Schlüssel zu Dagoberts Geldspeicher geben und sagen "aber nich ausräumen, ok?"
Gesichertes Java-Applet….
Aber ich muss zugeben, Pinky, der Witz war wirklich gut :-)
Vor einer Weile bin ich auch auf diesen Service der Payment Network AG gestossen. Meine Einschaetzung:
1. Der Dienst ist unsicher. Im Neusprech des Anbieters: "sofortueberweisung.de ist sicherer als Onlinebanking."
Kontodaten/PIN/TAN an jemanden anders als an die Bank zu uebertragen, geht ja mal gar nicht. Banken wissen das:
https://www.berliner-volk...it/sofortueberweisung.jsp
Da der Anbieter das auch weiss, hat er eine Versicherung abgeschlossen, die bei Schaeden einspringt (aber nur bis 5000 Euro), was aber wohl noch nicht passiert sein soll.
https://www.payment-netwo...weisung-versicherung.html
Nochmal: Der ANBIETER hat eine Versicherung, die ihm das Geld erstattet, falls er sich entscheidet, dem geschaedigten Kunden das verlorene Geld zurueckzuerstatten!
Und wann bekommt man als Kunde sein Geld zurueck? Schauen wir mal auf
https://www.payment-netwo...sung-kaeuferschutz-2.html
"Des Weiteren gilt der Kaeuferschutz nur bei materiellen Konsumguetern, welche mit einem Paketdienst versendet werden koennen. Fuer Dienstleistungen, Wertkarten, Content, Payment Provider, immaterielle Gueter aller Art und Edelmetallprodukte und Muenzen gilt ein Kaeuferschutz ausdruecklich nicht."
Also unter Umstaenden: dumm gelaufen!
2. Das TUeV-Siegel "Gepruefter Datenschutz" ist natuerlich Blenderei, das ist sowas wie ISO 9001: die pruefen, ob die einen Prozess fuer Datenschutz haben und nicht, ob da konkret irgendwelche Sicherheitsluecken ausgenutzt werden koennten.
3. Interessant auch: Lt. einem Forenbeitrag gibt es schon Abmahnungen
gegen das System:
oxid-esales.com/de/forum/showthread.php?t=8667
Darauf antwortet der Anbieter mit seinen Weltherrschaftsplaenen:
"Leider haben wir verschiedene, zuverlaessige Hinweise erhalten, wer
schon wieder die Initiatoren sind. Da es sich immer um die gleiche
Gruppe von Organisationen handelt, die zu feige ist, sich oeffenlich zu bekennen, dass Sie unsere sehr schnelle Unternehmensentwicklung bremsen moechte, und es keiner grossen Leistung bedarf, zu verstehen, um wem es sich handelt, moechte ich hier nicht weiter darauf eingehen.
… Wir werden uns durch solche Aktionen nicht beirren lassen und unser in jeder Hinsicht ueberlegenes Zahlungssystem als fuehrendes europaeisches Zahlungssystem etablieren!
Andrea Anderheggen
Payment Network AG"
4. Bei der Bezahlung kann man seine Kontodaten fuer zukuenftige Zahlungen als Cookie im Browser speichern (https://www.payment-netwo...ung-so-funktionierts.html)
Wer zweifelt da noch an der Sicherheit! Sie haben aber gemerkt, dass das jemanden stoeren koennte. Deshalb schreiben sie noch: "Ihre Daten
werden nicht im Klartext gespeichert!" Also sind sie entweder obfuscated oder auf dem Server vom Anbieter hinterlegt. Beides keine sehr erfreulichen Moeglichkeiten!
Es ging mir nur darum zu sagen, dass dieses Verfahren nicht neu ist. Meine Wortwahl war natuerlich auch nicht 100% richtig, ich haette das Applet mit "eine verschluesselte Uebertragung verwendene Software" beschreiben sollen.
Eine Wertung ueber die Sicherheit dieser Applets habe ich nicht abgegeben und werde sie auch in keiner Weise abgeben.
Getreu dem Motto – vertraue keiner Software, die Du nicht selbst debugged hast.
Conrads Datenschützer ist Herr Klaus T. – ich erinnere mich sehr gut an ihn, denn während alle anderen Versandhändler spätestens nach einer kurzen Mail meinen Briefkasten auf Dauer in Ruhe liessen musste ich bei Conrad diesen Vorgang nach jeder Bestellung wiederholen. Nachdem ich dann als Privatkunde auch noch den überschweren gewerblichen Katalog zugestellt bekam platzte mir der Kragen und Herr T. musste die Angelegenheit persönlich bereinigen. Offenbar hat er hier wieder Murks gebaut bzw. nicht verhindert, aber in die Oberpfalz kann man halt auch mit einem noch so hohen Gehalt keine besseren Leute locken.
Als ich vor zig Jahren einem IT-Menschen der Sparkasse erklären wollte, dass man ohne den Schlüssel-Fingerprints, der mir zu keinem Zeitpunkt mitgeteilt wurde, zu kennen nicht wirklich sicher sein könne, bei seiner Bank gelandet zu sein, kannte der trojanische Pferde offensichtlich nur vom griechischem Hörensagen. Dass jemand aus einer Man-In-The-Middle-Attack einen gutartigen Service entwickeln würde, hatte ich damals aber auch nicht geahnt.
Warum Conrad hier genannt wird, ist mir etwas schleierhaft. Mir ist dieser Service auch bei anderen Händlern schon begegnet. Schuld sind letztlich die Banken selbst, die ganz legal, aber vermutlich technisch unnötig 3 Werktage auf dem Geld sitzen und auch keine signierte Bestätigung herausgeben, was nun wirklich trivial wäre und eigentlich eine Selbstverständlichkeit sein sollte.
Die PIN herauszugeben ist doch wohl völlig inakzeptabel. Damit kann man immerhin alle vorherigen Kontobewegungen einsehen und sofern man sie nicht ändert alle Zukünftigen. Wie will denn der Durchschnittsnutzer überhaupt noch zwischen Phishing und diesem Service unterscheiden können? Zum einen untersagen die Banken die Herausgabe und zum anderen wird der Nutzer dadurch völlig desensibilisiert.
Tja, was soll ich sagen?
Ein Kunde von mir setzt das System ein – und bisher funktionierte es einwand frei. Aber es hat ja was mit Internet und Bank zu tun, da muss es ja böse sein.
Dass damit der Ruf einer Firma beschädigt wird scheint egal – ist ja nur Internet.
Spitze. Weiter so.
Ich lese hier die Kommentare und muss etwas schmunzeln, weil ich das als Händler "von der anderen Seite" etwa so erlebe: Der Großteil an Schaden entsteht arglosen Menschen nicht durch so einen Service einer deutschen Website und Firma. Wir akzeptieren zum Beispiel auch Kreditkarte und sortieren verdächtige Buchungen sofort aus und versuchen den Kreditkarteninhaber zu kontaktieren, falls es möglich ist. Dabei hat sich herausgestellt:
Der meiste Diebstahl von Kreditkartendaten bzw. Rechnungs- und Kontodaten findet nicht über das Internet statt. Typisch ist vielmehr, dass der Kunde seine Karte in einem Hotel, Restaurant oder Laden einsetzt und dort die Daten kopiert werden. In Johannesburg ist mir ein Hotel bekannt, in dem von deutschen Urlaubern in mehreren Fällen die Kreditkartendaten und Adressen gestohlen wurde und nach Holland oder Nigeria übermittelt wurden, damit dort eifrig online eingekauft wird. Wir konnten den Weg der Daten einigermaßen nachvollziehen. Leider interessiert man sich bei der Staatsanwaltschaft/Polizei wenig dafür, wenn wir das melden und dem Inhaber (noch) kein materieller Schaden entstanden ist. Ich vertraue inzwischen einer europäischen Firma mit Website wesentlich eher als einem windigen Restaurant oder Laden mit (unterbezahlten) Angestellten.
@26 stiV:
Das was du beschreibst, ist recht cool. Aber da muss die Bank auch entsprechende Schnittstelle nach draussen anbieten. Im Klartext: du sagst dem Onlineshop deine Kontonummer und der Onlineshop sendet an die URL der Bank einen Link mit den Parametern Kontonummer, die ganzen Überweisungsdaten und als Rück-URL die von deinem Browser. D.h. Das sich öffnende Pop-up ist das von deiner Bank und hat nichts meh mit dem Onlineshop zu tun. Ich denke mal, wenn man dann die PIN und TAN eingibt und abschickt, dann sendet die Bank an den Onlineshop noch die Info, das die Überweisung eingegangen ist und alles ok ist (oder auch nicht).
Also so hab ich das verstanden:
Bei der “Sofortüberweisung” ist es aber nichtso. Du klickst im Onlineshop die “Sofortüberweisung” an und der Shop fragt dich nach der Bank und Kontonummer. Die gibst du ein und sendest die Daten an den Shop, der wiederum sendet die Daten weiter an die Bank. Die Bank-Seite wiederum fragt nach der PIN und TAN und zwar fragt die Bank den Onlineshop, der das wiederum zu dir zurückleitet. Quasi ein super Mann-in-the-middle Angriff.
Und niemand garantiert, das da der Onlineshop nicht noch ne Null am Betrag ranhängt. DIe Bank selber ist aus dem Schneider, einerseits durch deren AGB (gib ja ned die PIN/TAN in fremde Hände), andererseits auch weil für die Bank Seite das einlegitimer Aufruf ist. Es kommt von einem Browser irgendwoher eine Anfrage und alle Daten (Konto, PIM, TAN, Betrag, …) stimmen.
Ich schliess mich einigen Vorrednern an: FINGER WEG DAVON!
cu
Lobo
@37: die eine Sache ist das Vertrauen in die Firma, dass sie nicht vorsaetzlich "boese" ist, die andere, dass man sich Sicherheitsluecken im System dieser Firma aussetzt, und damit dritten, die diese Sicherheitsluecken ausnutzen koennten. Im Falle von Sicherheitsluecken im System der Bank wuerde im Zweifel die Bank haften – in diesem Fall scheint die Haftung ja doch eher begrenzt zu sein.
@36 (Leo): Du solltest davon ausgehen, dass die einen oder anderen Leute, die hier oder auf den verlinkten Webseiten ihre Kommentare zur Sicherheit dieses Systems abgeben, sich professionell mit IT-Sicherheit, Kryptographie und Sicherheit im allgemeinen beschaeftigt, und daher recht gut wissen, was sie schreiben, wenn sie zu der Einschaetzung gelangen, dass es sich bei dem Verfahren um ein grosses Risiko fuer den Kunden handelt.
Merke: Sicherheit bemerkt man nicht alleinig daran, dass noch nichts passiert ist (auch wenn das ein weit verbreiteter Irrglaube ist), sondern daran, dass man nachvollziehbar begruenden kann, weshalb bestimmte Problemfaelle nicht auftreten werden.
schade, dass mein beitrag "verschwunden" ist. so themenfern fand ich ihn nicht.
Ich benutze sofortueberweisung schon seit längerem. Auch für hohe Beträge. Funktioniert super und kann ich nur weiterempfehlen. Das System ist insoweitsicher, dass die TAN's ja sofort verbraucht sind und daher keine ungewünschten Abbuchungen auftreten können, selbst wenn jemand das System hacken sollte.
@42 (Hans): Woher genau nimmst Du die Garantie, dass die TAN sofort verbraucht wird, und auch noch fuer das, wofuer Du sie gerne einsetzen wuerdest?
@36, Leo
Das Konzept ist höchst zweifelhaft. Anders als bei Giropay gibt man seine Pin/Tan wirklich an den Dienstleister ab.
Da können die Leute von Sofortüberweisung so heftig beschwichtigen wie sie wollen, solange das ganze eine Black-Box ist, kann man nicht anders und muss in die versprochene Sicherheit vertrauen – nachprüfbare Gewissheit gibt es nicht.
Das ist so wie bei Schäubles Wahlcomputern: die hausinterne PTB prüft sie exemplarisch irgendwie. Wie, wird nicht verraten. Das Ergebnis wird nicht offengelegt. Aber es soll schon alles OK sein?
@Die Händler hier
Ist schon ersichtlich das dieses System für die Händler ne tolle Sache ist, insbesondere wenn man die Zahlungsunsicherheit von Lastschriften sieht sowie die wenigen verfügbaren Alternativen.
Allerdigns sollten jene sich bewusst sein dass sich die Nutzung eines solchen System direkt auf deren Seriosität niederschlägt: Wenn ich schon sehe dass ein Händler kein Problem damit hat mich als Kunden zu bitten ein System zu nutzen was die elementarsten Sicherheits- und Datenschutzrichtlinien bezügliche Onlinebanking in Frage stellt, dann habe ich auch Zweifel am Rest seiner Kompetenz und das führt dann nicht dazu dass ich eine andere Bezahlungsart nutze, sondern dass ich in einem anderen Shop kaufe (soweit möglich).
Die Banken "unterstützen" dieses Verfahren ja nicht ausdrücklich. Stattdessen läuft das ganze über die HBCI-Api, die auch von jeder herkömmlichen Homebanking-Software benutzt wird. Und es ist in der Tat so dass man seine TAN an einen Händler herausrückt. Das wäre so, als wenn ich Brötchen kaufe und dabei meine EC-Karte samt PIN über die Ladentheke reiche.
Meiner Meinung sollten die Banken so ein System verbieten und Conrad abmahnen.
PIN und TAN auf irgendwelchen Seiten eingeben ist unsicher. Zumindest unsicherer als direkt auf der Bank. Ich kann mir zwar nicht sicher sein, dass meine Bank alles richtig macht – allerdings hab ich zu dieser etwas mehr Vertrauen als irgendwelchen abstrusen Diensten, die als weiterer Angriffspunkt zusätzlich hinzukommen.
@25: Da die Deutschen ungern Ihre Kreditkarte im Netz einsetzen, muss es solche Alternativen geben bis sich etwas durchsetzt.
Ich habe keine Kreditkarte. Und wenn's kein Lastschrift gibt, ist das Pech für den Händler. Amazon akzeptiert's nämlich.
ich verzichte auf Experimente und mache überweisungen grundsätzlich nur über meine Bank, jemand anders erhält keinerlei Daten von mir.
Der Zeitgewinn ist minimal, wenn man rechtzeitig bestellt und wenn es wirklich mal brennen sollte, dann gibt es immer eine Möglichkeit, wenn man miteinander kommuniziert
@45: Naja, ich habe das System im Einsatz und habe Tests mit durchgeführt. Meines Erachtens nach erfährt SÜ weder PIN noch TAN noch wird diese gespeichert und der Kunde sieht, welche Betragshöhe er zur Überweisung anweist.
Ich würde gerne auf Rechnung oder Lastschrift verkaufen. Kann ich nicht, weil es sich nicht rechnet. Wir rennen heute noch jahrealten offenen Posten hinterher. Für eine Lastschrift müssen wir ca. 10-15 zusätzliche Verkäufe tätigen, damit ich ohne Verlust raus gehe. Und wer würde diese Verluste zahlen? Der Verbraucher, weil es wird ja irgendwie wieder auf den Preis draufgeschlagen.
Apropos Seriösität und offenes System: Es gibt diese telefonischen Rückfragen und manche Kartenterminals bei Kartentransaktionen, wo der Händler per Telefon und Tonwahl-Tastaur die Kartendaten durchgibt. Sowas geschieht völlig unverschlüsselt. Das geschieht zigtausende male täglich im Einzelhandel. Ich bleibe dabei, das Risiko, Opfer eines Betrugs zu werden, wenn man die Karten im Laden/Hotel/Restaurant einsetzt ist nicht geringer als bei SÜ und ähnlichen Angeboten.
Es ist richtig und wichtig, dass uns auf den Finger geschaut wird, dass wir keinen Schindluder mit den Daten betreiben. Die Krux ist aber, dass uns alltägliche Prozesse wie das Bezahlen im Restaurant nie hinterfragt werden; Da liegen die Daten offen in der Buchhaltung rum, da können Angestellte oder Einbrecher ohne großen Aufwand ran. Niemand sorgt sich darum, wenn man dem Kellner die Kreditkarte in die Hand gibt. Hier passiert täglich wesentlich mehr als bei Transaktionen über das Internet. Sämtliche Kreditkartendaten, die bei betrügerischen Transaktionen bei uns eingegeben wurden, stammten nicht aus Internettransaktionen sondern, die Kreditkarteninhaber haben den Tätern oder deren Helfern die Karte eigenhändig in die Hand gedrückt.
Auch interessant:
sicherheitsblog.info/Blog...eit.nsf/dx/2008-10-13-001
Haben die Programmierer von Conrad noch nichts von giropay gehört?
Mir ist schleierhaft, warum das für social engineering anfällige PIN/TAN-Verfahren immer noch so weit verbreitet ist. Wer wirklich sicher Onlinebanking machen will, sollte sich eine Chipkarte und einen Kartenleser Klasse 2 oder 3 besorgen.
@obil:
Warum es die Bankkunden nicht verwenden? Das Gespann Kartenleser-Chipkarte ist umständlich zu bedienen.
Warum es die Banken nicht offensiver bewerben oder gar verpflichtend machen? Kosten-Abwägung gegenüber den bestehenden, gegen Social Engineering und Trojanische Pferde anfälligen, Systemen.
@Pascal
Giropay wird von nur wenigen Banken unterstützt und kostet den Händler weit mehr Provision. Die Banken können da sich wieder nicht genug den Hals vollstopfen und daher wird es nicht genutzt.
Wer sich das mal anschauen will, unter folgender Adresse wird eine Demo mit Dummy-Kontodaten angeboten:
https://www.payment-netwo...ortueberweisung-demo.html
Nach der Demo weiß ich jedenfalls sicher, dass ich das nie benutzen werde (ansonsten bezahlt man ja schließlich auch nicht, indem man dem Geschäft einen Blankoscheck übergibt bzw. zuschickt…).
Man verstößt damit gegen die AGB der meisten Banken, da man die PIN und TAN einem Datenverarbeitungssystem eines Dritten mitteilt, dessen Datensicherheit man selbst nicht sicherstellen oder überwachen kann.
Weil die Bank sieht, dass in der Vergangenheit "Sofortüberweisung" genutzt wurde, könnte prinzipiell von der Bank im PIN-/TAN-Mißbrauchsfall jede Haftung mit der lapidaren Begründung des nachgewiesenen AGB-Verstoßes abgelehnt werden. Der Kunde kann so gut wie nicht widerlegen, dass zwischen dem Kontomißbrauch und den nicht AGB-konformen Datenübermittlungen kein Zusammenhang besteht.
Ich kann mir nicht vorstellen, dass es noch zu keinem Schadensfall gekommen sein soll!
Wie viele Testkonten so eine Bank wohl hat?
Bei der Postbank gibt es u.a. das Girokonto mit Amnäsiefunktion von Petra Pfiffig mit Kontonummer 9999999999 und PIN *****.
Ob die auch alle vollständig auf der SÜ-Blacklist stehen…?
@38 Lobo:
soweit ich es verstehe und sehe wie es funktioniert ist es ok – der anbieter bekommt auch nicht über den onlineweg irgendwelche daten die ich ihm nicht selbst gebe (zB. im Zuge einer Anmeldung beim Händler). Er sagt der gewählten Bank lediglich "ich hab einen Auftrag über Betrag X mit der Transaktionsnummer Y, wenn der durch ist sags mir". und das wars – anmeldung an der bankwebseite mit den normalen onlinebankingzugangsdaten (inkl. all der hier möglichen wege wie smartcards, mobile TANs, was-auch-immer), ich sehe wieviel ich an wen überweise, bestätige das und sekunden später bekommt das system des händlers das ok, oder eben nicht. wie bei kreditkarten – nur mit deutlich mehr sicherheit.
über einen – wie auch immer "verifizierten" man-in-the-middle angriff des händlers kann man doch wirklich nur den kopf schütteln …
@26 stiV:
Das was du beschreibst, ist recht cool. Aber da muss die Bank auch entsprechende Schnittstelle nach draussen anbieten. Im Klartext: du sagst dem Onlineshop deine Kontonummer und der Onlineshop sendet an die URL der Bank einen Link mit den Parametern Kontonummer, die ganzen Überweisungsdaten und als Rück-URL die von deinem Browser. D.h. Das sich öffnende Pop-up ist das von deiner Bank und hat nichts meh mit dem Onlineshop zu tun. Ich denke mal, wenn man dann die PIN und TAN eingibt und abschickt, dann sendet die Bank an den Onlineshop noch die Info, das die Überweisung eingegangen ist und alles ok ist (oder auch nicht).
@57 im Bezug auf @26
Das System gibt es bei uns auch, es heißt Giropay, nutze ich auch ab und zu. Muß eben von der eigenen Bank unterstützt werden, es sind meines Wissens die meisten Sparkassen und Raiffeisenbanken angeschlossen, sowie die Postbank, bestimmt auch noch andere.
Ich freu mich jetzt schon auf die Heise-Meldung, wenn durch einen Fehler in deren Webseitenkonfiguration, verlorenen Laptop oder langfingrigen Praktikanten die Konto-Daten in die falschen Hände gelangen.
Für zwei Minuten Zeitersparnis geb ich doch nicht meine PIN/TAN an Dritte heraus, egal was für hübsche Zertifikatbildchen auf deren Website kleben.
Jan (59): Was für "zwei Minuten Zeitersparnis"? Diese Sofortdingsda hat nicht den Zweck beim Ausfüllen der Überweisung zu helfen. Es geht darum die 3 Werktage, die die Banken auf dem Geld sitzen, zu überspringen, sodass der Händler aufgrund der Bestätigung sofort liefern kann und der Kunde seine Ware im besten Fall drei Tage früher erhält. Das Geld an sich wird dadurch natürlich nicht schneller überwiesen.
Drei Tage? Ich kann nicht für andere Banken sprechen, aber meine Überweisungen von der Citibank sind in der Regel bereits am nächsten Arbeitstag auf dem Konto des Empfängers, wie mir viele ebay-Käufe bestätigt haben.
@61
> Drei Tage?
Es gibt m.E. keinen Grund, warum das Geld nicht nach eineinhalb Stunden beim Empfänger angekommen ist…
(eineinhalb Stunden, nur deshalb, um dem Überweisenden noch mal Gelegenheit zu geben, seine Überweisung zu korrigieren, nicht, weil es nötig wäre.)
Oh mann da sagt mann sämtlichen "pc-daus" im Umfeld seit Jahren das sie ihre Pin/Tan Nie Nie Nie wo anders als auf ihrer Bankwebsite eingeben sollen und dann sowas ^^
Also ich sehe bei solchen Systemen ein grosses Problem gerade für unbedarfte Pc Nutzer…Wenn sich solche Systeme weiter ausbreiten haben es wenigstens pisher noch einfacher als sie es sowieso schon haben.
Sofortüberweisung.de ist _nicht_ sicher für den Händler und Überweisungen können selbstverständlich widerrufen werden:
1. wenn der Empfängername nicht mit der Kontonummer übereinstimmt
2. Bei allen Banken, die das Sparda-Rechenzentrum verwenden, ist eine Stornierung jeder eingegebenen Überweisung 30 min lang nachträglich möglich. Es genügt dabei, sich nochmal einzuloggen und eine weitere TAN zu benutzen.
3. Bei Eingabe der Überweisung durch eine Phishing-Software wie Sofortüberweisung.de: Dabei kommt nämlich kein Auftrag durch den rechtmäßigen Kontoinhaber zustande und damit auch keine unanfechtbare Überweisung.
Sofortüberweisung.de ist Phishing, sonst nichts.
Das is ja die härte. Ich würde nie in nem Webshop einkaufen der so eine Firma unterstützt. Hoffentlich untersagt denen bald jemand die VErwendung dieser höchst dubiosen Methoden.
PIN + TAN auf einer 3. Webseite eingeben?
Was die dort damit machen weiß keiner, eventuell landen die Daten im Webserverlog, ein gelanweilter Admin schreib sie am live am Server mit, die Kontobewegungen werden eventuell abgezogen und an Adresshändler verkauft. Man weiß es nicht. Und nur Weil da TÜV drauf steht heist das nicht das der TÜV gecheckt hat was mit den Daten wirklcih passiert.
Und selbst wenn wirklich alles mit rechten Dingen zugeht (wovon ich mal ausgehe!) bleibt immer noch das der normale DAU-benutzer desesibilisiert wird und beim nächsten Mal auf nen Phisher reinfällt der ein ähnliches System vorgaukelt.
@36:
"es hat ja was mit Internet und Bank zu tun, da muss es ja böse sein"
In dem Moment, in dem eine Firma bereit ist, auf technische Fragen ernsthaft zu antworten (anstatt nur nichtssagende Textbausteine vor sich her zu schieben), koennte ich der Sache vielleicht einen Hauch Vertrauen entgegenbringen.
Aber niemand, der sich auch nur mal ansatzweise mit Angriffsszenarien beschaeftigt hat, wird einer Firma vertrauen, die sich nur darauf beruft, "Security by Obscurity" zu realisieren.
Verschiedene bekannte Computerzeitschriften berichten, dass SMART TAN PLUS derzeit die sicherste Variante beim Onlinebanking ist; sie ist (nur) bei den Volksbanken gebräuchlich! Die TAN-Nummer wird in einem gesonderten, taschenrechnerartigen Zusatzgerät unter Einschub der eigenen EC-Karte erzeugt; der Buchungsvorgang ist zweistufig gesichert. Ich bin damit sehr zufrieden.
Vorauszahlung?
Wer macht denn sowas?
Bestellung, Lieferung, Rechnung, Zahlung.
Seit Hunderten von Jahren bewährt.
heise.de/newsticker/Beric...sse–/meldung/118699
crn.de/news/showArticle.jhtml?articleID=210604176
Das Versäumnis, Merk im Vorfeld der Büroeröffnung ausreichend informiert zu haben, versuchen die Mitarbeiter der Ministerin nun mit Methoden auszugleichen, die alles andere als zimperlich sind: So berichtet Klein, Payment Network habe auf Verlangen des Justizministeriums die betreffende Pressemitteilung aus dem Onlineportal Pressebox entfernt. Zudem informierte die Pressestelle des Ministeriums Payment Network vorab über die Anfrage von CRN – ein Verhalten, das sämtlichen Gepflogenheiten journalistischer Verschwiegenheit zuwider läuft. Soll man dieser Staatsregierung glauben, wenn sie einen sensiblen Umgang mit dem »Bayerntrojaner« verspricht?
@68 (Judas):
Lieferung, Rechnung, Zahlung.
Wer macht denn sowas?
(Und man kann es ihnen nicht mal verübeln.)
@69: 404?
@70: Man glaubt der Ministerin zwar kaum, dass sie selbst zu der Überzeugung gekommen ist, SÜ wäre besonders "sicher und vertrauenswürdig" – aber es wirkt erst recht unglaubwürdig, wenn sie jetzt aufgrund von Sicherheitsbedenken eine 180-Grad-Wende macht. Nicht auszuschliessen, dass da die -politisch gut vernetzte- Lobby der Sparkassen und/oder Volksbanken ihre Hand mit im Spiel hatte, die (was für ein Zufall) mit Giropay ja selbst ein (viel teureres) Konkurrenzverfahren anbieten.
Mit der "Liste sicherer Bezahlverfahren" bei ebay ist das übrigens ähnlich, die hat auch vor allem den Zweck, unerwünschte Konkurrenzanbieter (z.B. Google Checkout) auszuschließen und den eigenen Dienst Paypal zu pushen, der im übrigen alles andere als sicher und reibungslos funktioniert: http://paypalsucks.com/
Die ganze elektronische Zahlungsbranche ist mE ein riesiges Haifischbecken, in der auch gerne mal zu schmutzigen Tricks gegriffen wird, um der Konkurrenz eines auszuwischen. Und der Vorwurf der Unsicherheit von Sparkassen- oder Bankenseite gegenüber SÜ ist zumindest ein wenig scheinheilig, denn die hätten ja die Möglichkeit, das System ohne großen Aufwand sicher(er) zu gestalten (wie hier auch schon mehrfach festgestellt) – nur wollen sie halt lieber ihre eigenen, überteuerten Angebote in den Markt drücken.
Ich hatte bisher noch nie Probleme mit Paypal. Und meine Kreditkartendaten hab ich lieber DA anstatt bei irgendeiner Versandbutze. Paypal kann ja mittlerweile auch Lastschriften von einem deutschen Konto und das find ich auch voll in Ordnung so.
Allerdings muss ich schon sagen kommt mir SÜ.de nun auch nicht Sooooo zwiespältig vor.: Falls es zu einem Missbrauch kommen sollte zahlt die Versicherung von denen und eigentlich gibt man ja immer nur eine TAN ein. SÜ hat also nach der Transaktion gar keine Möglichkeit noch weiteren Unfug mit dem Konto anzustellen. Praktisch isses auch und wenns günstiger ist als PP.. auch gut.
Dennoch: Sie können meine Daten lesen und das allein geht mir schon gegen den Strich.
Wie sie an das "Tüv"-Siegel gekommen sind würde mich aber schon interessieren ;]
die paypalsucks-seite sieht mir leider zu sehr web1.0 aus.. da komme ich nicht weit beim lesen :D
Ich bleib bei pp.
Naja, es ist ein generelles Problem in Deutschland — und das sieht man auch hier in den Kommentaren — daß die meisten Leute in Finanzdingen über den Kenntnisstand eines Fünfjährigen verfügen.
@75:
> Falls es zu einem Missbrauch kommen sollte
> zahlt die Versicherung von denen
1. Wer trägt die Beweislast?
2. Was passiert, wenn die Deckungssummen erschöpft sind?
Ich finde die Versicherungssummen unrealistisch klein gewählt. Beispiel: Ein Ehepaar, wo jeder 1000EUR verdient, hat leicht schon 6000EUR Disporahmen (3xMonatseinkommen). Zuzüglich Guthaben.
Versichert sind nur 5000EUR davon.
Und 500.000EUR insgesamt, das sind z.B. 100 Fälle a 5000 EUR. Wieviele Transaktionen pro Stunde führt Sofortüberweisung aus? Wieviele Stunden darf eine Sicherheitslücke unentdeckt bleiben, bis die 500.000EUR erschöpft sind?
@ 74 (drchaos)ad @ 69: 404?
Durchaus kein error 404 !
Ich glaub die sind einfach nur zu faul/geizig, sich für eins der gängigen Systeme zertifizieren zu lassen. Gibt ja z.B. auch GiroPay. Da wird auch Betrag, Empfänger und Verwendungszweck vorausgefüllt (Das "Umständliche Eingeben der Daten" entfällt ebenfalls) aber meine PIN/TAN darf ich dann doch selber auf meiner Bankseite eingeben. Aber das kostet halt den Anbieter Gebühren, da trickst man sich lieber selber was zusammen. Man gibt seine PIN/TAN heraus und der loggt sich dann unter meiner Kennung ein und überweist sich den (hoffentlich korrekten) Betrag. Supi! Keine Gebühren für Conrad, keine lästige Rückbuchung möglich, evtl. noch Ärger mit der Bank, usw.
Sagt auch einiges über den TÜV aus, sowas zuzulassen.
Naja, bei der Sparkasse wird das ja dank iTAN hoffentlich nicht funktionieren.
samplehunter: SÜ funktioniert auch mit iTan. Googlenutzer wissen mehr!
Hier versuchen eindeutig Mitarbeiter des Unternehmens den Kram besser dazustellen als er ist!
Der Kommentar verdeutlich perfekt das Missbrauchspotential:
princo.wordpress.com/2008...in-und-tan/#comment-25365
Mit einer einzigen TAN, kann man eine neue TAN-Liste bestellen und damit das gesamte Konto übernehmen. Vorher natürlich das Passwort ändern, damit der Kontoinhaber keinen Zugriff mehr hat. Mehr sag ich dazu nicht.