144 Kommentare zu “Zu bequemes Zahlen”

1. Timo meint: (30.5.2010 um 21:07) Antworten

   Nett von der Postbank. Und mit Blick auf Giropay so gänzlich uneigennützig.

2. earli meint: (30.5.2010 um 21:08) Antworten

   t-online.de macht phishing?

3. iche… meint: (30.5.2010 um 21:17) Antworten

   Ich finde diese Ankündigung angemessen. Wer PIN und TAN eingibt, handelt meiner Meinung nach grob fahrlässig. Und die in der Adressleiste angezeigte Adresse muss auch nicht der realen entsprechen… Phisher nutzen auch Hacks & Tricks.

   Vorsicht ist besser als Porzellanladen…

4. mark meint: (30.5.2010 um 21:18) Antworten

   @Timo: Giropay ist sicher und dort wird die TAN/PIN nicht durch einen 3. bei der Bank eingegeben. Bei Giropay geht die TAN DIREKT an die Bank. Ohne das Risiko Selbstüberweisung.

5. dh meint: (30.5.2010 um 21:20) Antworten

   Gibt es ernsthaft Leute, die (in bloßem Vertrauen auf die einmalige Abbuchung des richtigen Betrags) ihre PIN und TAN angeben?

6. Jens meint: (30.5.2010 um 21:22) Antworten

   Deutsche Telekom und Postbank haben keine finanziellen Verknüpfungen mehr?

7. Heldt meint: (30.5.2010 um 21:25) Antworten

   Find ich gut, dass die Postbank das macht. Leider kann man nicht davon ausgehen, dass der normale Nutzer versteht, warum er so viele Zahlen eintippen muss, wenn im Supermarkt eine Unterschrift genügt. Komischerweise haben die meisten Leute vor Bankeinzügen wiederum Angst.

   Vielleicht hätte man darum weniger mit der Pflicht-Keule sondern mit der Gefahrenkeule zuschlagen sollen: …Wenn Sie Ihre Online-PIN und TAN einem Dritten preisgeben, hat dieser vollen Zugriff auf Ihr Konto! Sollte Ihnen [...]
   Bitte beachten Sie auch: [...]

8. Ben meint: (30.5.2010 um 21:32) Antworten

   Verwunderlich, dass Dienste, deren einziger Zweck Beihilfe zum Vertragsbruch ist, überhaupt existieren…

9. qwertz meint: (30.5.2010 um 21:38) Antworten

   @dh: ich war an der Einführung von sofortüberweisung.de bei einem nicht kleinen Internet-Händler beteiligt. Anfangs nahm ich noch an das die übliche "Internet ist böse"-Haltung bei den Leuten dem ganzen schnell ein Ende setzen würde. Aber man glaubt es nicht: ca. 10% der Vorkassenkunden haben damit bezahlt, bei ca. 1.000 Bestellungen pro Tag.

10. flyx meint: (30.5.2010 um 21:39) Antworten

    Die Argumente gegen Sofortueberweisung.de verstehe ich nicht ganz… man bringt dem Bezahlservice im Prinzip nur dasselbe Vertrauen entgegen, dass man der Bank selbst und evtl. dem Betreiber des Online-Banking-Portals (zB Fiducia) entgegen bringt. Warum ist das jetzt bei der Bank okay und bei einem Bezahlservice nicht? Ein TÜV-Zertifikat, die Möglichkeit, den Service für die Bezahlung bei seriösen Händlern zu nutzen und eine Vielzahl von Bewertungen des Service in verschiedenen Publikationen sind schon eine Vertrauensgrundlage.

11. Jens meint: (30.5.2010 um 21:42) Antworten

    "Ein TÜV-Zertifikat [...] sind schon eine Vertrauensgrundlage."

    Muhaha.

12. mark meint: (30.5.2010 um 21:45) Antworten

    @flyx: gibst du einem wildfremden auch die Schlüssel zu deinem Haus und sagst wo das Geld liegt? Getreu dem motto : Holen sie sich die 100 Euro aus meiner Geldschublade doch einfach selber.

    Dieser "Dienstleister" hat mit PIN und TAN nicht nur die möglichkeit, Geld zu überweisen, sondern auch alle(!!!) Kontobewegungen anzusehen. Er sieht, wo man Versichert ist, wo man einkauft, ob man Alimente bezahlt, ob man Sozialhilfe bekommt. Einfach ALLES, was auf dem Konto steht.

13. Florian Weimer meint: (30.5.2010 um 21:46) Antworten

    @Ben: Die Anbieter behaupten, sie seien Erfüllungsgehilfen des Online-Banking-Kunden, ähnlich wie Anbieter von Homebanking-Software. Ob das tatsächlich der Fall ist, ist schwer zu sagen. (Mit Giropay und Pago in Frühzeiten haben sich viele Banken allerdings ein ziemliches Ei gelegt.)

14. muksi meint: (30.5.2010 um 21:47) Antworten

    Sofortüberweisung usw. machen auch nichts anderes als eine normale Online Banking Software – nur online. Letzendlich ist ja nur die Frage ob man einer Firma wie Sofortüberweisung abnimmt, daß sie PIN und TAN nur verschlüsselt an die Bankseite weitergibt oder ob man Angst hat, daß die Daten dort abgegriffen werden.

    Dann müsste man aber genauso jeder Online Banking Software mißtrauen, den theoretisch weiß man da auch nicht ob die Daten tatsächlich an die Bank oder an den Entwickler der Software übetragen werden wenn man einen Zahlungsvorgang durchführt. Genauso könnte Microsoft über den Internet Explorer PIN und TAN abgreifen oder Opera oder die Mozilla Foundation über den Firefox.

    Glaubt aber kaum einer dass die das machen. Warum? Weil sie sich dadurch den Ruf ruiniern würden. Das gleiche gilt aber auch für die Online Zahlungsdienste.

    Im übrigen kann man unmittelbar nach Abschluss des Zahlungsvorgangs prüfen ob die Zahlung durchgeführt wurde und die TAN verbraucht ist.

15. iche… meint: (30.5.2010 um 21:48) Antworten

    @ flyx: Es ist ein Unterschied, ob du am Geldautomaten deiner Bank die Geheimzahl eingibst oder einen Blankoscheck an ein Unternehmen gibst, welches damit eine Zahlung von deinem Konto veranlasst. Erklär mal deiner Bank, warum du (du allein!) 86,67 € zuviel überwiesen hast… ein Tippfehler war es dann nämlich nicht.

16. mark meint: (30.5.2010 um 21:51) Antworten

    @muksi: bei onlinebanking software kann man aber sehen auf dem eigenen Rechner, was da passiert.

    Sofortüberweisen HAT ZUGRIFF AUF ALLE KONTOBEWEGUNGEN: Das kann man nicht oft genug sagen. ICH WILL NICHT, das jemand anderes weiß, wem ich alles Geld überweisen habe.

17. muksi meint: (30.5.2010 um 21:56) Antworten

    @mark:
    Dann nutz halt Sofortüberweisung nicht, wenn du denen nicht vertraust.

    Warum vertraust du aber dem Programmierer deines Browsers, daß er deine Eingaben nicht abgreift?

    Und was siehts du da auf deinem Rechner wenn die Online Banking Software Daten überträgt? Ich seh da nichts. Die könnten eine Verbindung mit dem Mars herstellen, daß würdest du nicht bemerken.

18. klarmi meint: (30.5.2010 um 22:01) Antworten

    @mark
    Ach, du kannst sehen, ob StarMoney und Co. die Daten "nur" an die Hausbank überträgt und nicht auch noch auf die eigenen Servern? Iss klar.
    Ich denke jede Kreditkartendateneingabe im I-Net ist genauso gefährlich. Damit kann der Händler theoretisch jederzeit Abbuchungen vornehmen oder die Daten gleich nach Nigeria verkaufen.

19. mark meint: (30.5.2010 um 22:02) Antworten

    Ich finde es übelst, wie Selbstüberweisen das macht. Die müssten darauf Hinweisen, das die Zugriff auf das KOMPLETTE Konto haben.

    Mein Browser ist OpenSource, mein Banking System auch und die Programme kontrolliere ich regelmäßig. Ich sehe, mit was meine Apps hier auf meinem Linux-System kontakt aufnimmt. Nicht jeder kann das. Und genau DESWEGEN sollte man Selbstüberweisen und Co noch viel viel mehr in der Öffentlichkeit schlecht machen. Die sind nämlich gefährlich.

    Und Versicherung My Ass. Wie will ich Selbstüberweisen denn nachweisen, das DIE meine Pin weitergegeben haben? Im Idealfall wird die Versicherung von denen nämlich sagen: Wer Selbstüberweisen schon die Pin gibt, obwohl man das nicht darf, hat bestimmt auch allen anderen die Pin gegeben, die gefragt haben :D .

20. mark meint: (30.5.2010 um 22:05) Antworten

    @klarmi: mir geht es da um den ZUGRIFF auf das Konto. Das schreibe ich hier schon immer in Großbuchstaben. Warum? Weil ver*** nochmal immer die "das ist doch wie Kreditkartennummer eingeben" kommt. Das ist NICHT der Fall. Bei der Kreditkartennummer kann man nicht die kompletten Kontobewegungen sehen.

    Und die Pro-Argumentations-Zombies übersehen diese Argumentation und gehen da null drauf ein. Warum? Weil die diese Gefahr nicht wegargumentieren können. So sieht's nämlich aus!

21. lurchi meint: (30.5.2010 um 22:07) Antworten

    @mark:
    Und wenn du an der Tankstelle mit deiner PIN zahlst, dann prüfst du auch vorher ob das Gerät Open Source ist und läßt dir vom Tankwart den Quellcode ausdrucken, oder was.

    Soweit ich weiß ist bisher nicht bekannt daß Sofortüberweisung selbst, oder irgendwelche Dritte Einblick in die Kontodaten von Kunden genommen haben.

    Bei der Postbank sieht das schon anders aus. Die haben Dritten Einblick in die Kontodaten ihrer Kunden gegeben. Wer weiß was dann erst bei Giropay abgeht. Im übrigen ist die TAN nach der Zahlung verbraucht. Weitere Überweisungen sind daher nicht möglich. Also gibts auch keinen Zweifelsfall in dem man irgendwas nachweisen müsste.

22. klarmi meint: (30.5.2010 um 22:09) Antworten

    @Mark
    Du machst auf Verdacht etwas schlecht, nur weil DU dem nicht traust. Ohne Hinweise, dass die Daten tatsächlich missbraucht werden?
    Nett. Ist Amazon & Co. auch gefährlich, die haben ja meine Kreditkartendaten gespeicher??1!elf!!
    Hast du mal überlegt, dass deine Bank auch Zugriff auf das KOMPLETTE Konto hat und die Daten weiter verkaufen könnte … siehe Postbank … tröööööt. Vorsicht ist gut – Paranoia dämlich. Du hast zweiteres.

23. mark meint: (30.5.2010 um 22:10) Antworten

    "Soweit ich weiß ist bisher nicht bekannt daß Sofortüberweisung selbst, oder irgendwelche Dritte Einblick in die Kontodaten von Kunden genommen haben."

    BLA. Die KÖNNEN. Und ja, die Postbank hat das auch gemacht. ABER die haben gelernt und eine Strafe dafür bezahlt.

    Selbstüberweisen KANN auf das Konto sehen OHNE das Klar zu kommunizieren. Das ist Pfui.

    Und bitte nutzt doch den gleichen Namen, du Argumentations-Zombie :) .

24. Wind meint: (30.5.2010 um 22:12) Antworten

    @ muksi

    Deine Argumente ziehen alle nicht, sorry. Sofortueberweisung ist ein Glied mehr in einer Kette von potentiellen Sicherheitslücken bzw. Angriffspunkten bei Zahlungen über das Internet. Mehr Glieder -> mehr Risiko -> Ende.

25. marcus05 meint: (30.5.2010 um 22:12) Antworten

    Ist besser es vorher anzukündigen als nachher den Leuten mit Hinweis auf die Sorgfaltspflicht die Haftung zu verweigern.

26. Dr. Rage meint: (30.5.2010 um 22:12) Antworten

    @klarmi: Schonmal was von Sniffern oder Dissassemblern gehört? Wenn man keine Ahnung hat….

27. klarmi meint: (30.5.2010 um 22:13) Antworten

    Im Zweifel hab sie LESERECHT auf dem Konto, da keine TAN. Mehr nicht. Bei Kreditkartendaten können mir jemand WIRKLICH schaden, indem man mal kurz 10.000 Euro abbucht. Jetzt denk einfach nochmal nach, was WIRKLICH GEFAEHRLICH ist. Meine Güte.

28. lurchi meint: (30.5.2010 um 22:14) Antworten

    @mark:
    Ach die haben gelernt, dann ist ja alles gut. Ich bin mir sicher sofortüberweisung wird auch aus seinen Fehlern lernen wenn sie Daten weitergeben sollten. Aber huch – bisher ist davon noch gar nicht bekannt.

29. mark meint: (30.5.2010 um 22:16) Antworten

    Sie haben "nur" Leserecht? Wenn ich Sozialhilfe bekomme, wieviel ich bei Ikea ausgegeben habe, wieviel ich an ein Gericht überwiesen habe usw…das ist NICHT schlimm?! Hallo? Geht's noch?

    Und die 10.000 Euro bei der Kreditkarte sind Versichert. Und zwar wirklich Versichert. Nich so pseudo wie bei "euch". Die Kreditkartenversicherung funktioniert. "Eure" ist zum scheitern verurteilt, weil der Kunde nicht nachweisen kann, wo genau das Problem entstanden hat und die Postbank (zu recht) eine Erstattung dann verweigert.

30. klarmi meint: (30.5.2010 um 22:18) Antworten

    @Dr. Rage
    Siehe Beitrag von Lurchi. Die Pseudosicherheitsfanatiker benutzen bestimmt auch ständig ihre EC-Karte und PIN ohne jedesmal das Gerät auseinander zu bauen.

31. mark meint: (30.5.2010 um 22:18) Antworten

    Ich wiederhole mich ungern, aber ich will, das Selbstüberweisen darauf HINWEISEN MUSS, das die das komplette Konto damit auslesen können. Mit einer Checkbox und nicht versteckt:

    PIN :
    TAN:

    [] Ihnen ist klar, das Selbstüberweisen eine Überweisung durchführt und dabei Ihre kompletten Kontenbewegungen einsehen kann.

32. Wind meint: (30.5.2010 um 22:18) Antworten

    Ja meine Güte.. Dein Kreditkartenunternehmen hat aber im Gegensatz zur Postbank nichts dagegen wenn Du die Daten bzw. die Nummer zum Zahlen rausgibts und übernimmt bei Missbrauch die Kosten – die Postbank nicht.

33. lurchi meint: (30.5.2010 um 22:18) Antworten

    @Dr. Rage:
    Ach, und bevor du einen Browser einsetzt oder eine Online Banking Software, da disassemblest du die kurz mal. Und schaust dir immer die übertragenen Pakete an – die im Zweifelsfall sowieso verschlüsselt sind. Wers glaubt wird selig.

34. Momo meint: (30.5.2010 um 22:20) Antworten

    Witzig, ich habe vor Monaten einen Bezahlservice bei Conrad bemerkt, bei dem sie genau das anbieten: Gib uns Pin und Kontodaten und am Besten gleich die ganze TAN-Liste und wir übernehmen den Zahlungsvorgang für Dich.

    Hab mir damals gedacht: Ehem, nee. Leute, dafür vertrau ich euch nicht genug.

    Schön, dass die Banken das genauso sehen…

35. klarmi meint: (30.5.2010 um 22:23) Antworten

    @Mark
    Ach, dank des deutschen KWG24c kann eh jeder Praktikant auf dem Finanzamt oder Sozialamt meine kompletten Kontostammdaten einsehen, da kommt es auf ne Firma mehr oder weniger auch nicht drauf an ;) Spass beiseite, natürlich wäre das schlimm, aber das Risiko ist überschaubar.

    Und ich versteh immernoch nicht welcher reale Schaden entsteht. Ohne TAN geht auf meinem Konto nichts. Garnichts. Und wenn die TAN benutzt wird sieht man ganz genau, wann das war und wohin das Geld ging. Und sei mal nicht so gutgläubig, dass das bei der Kreditkartenversicherung so easy klappt. Oder hattes schon mal einen Schaden über mehrere tausend Euro? Nein? Also … Dieter Nuhr lässt grüssen.

36. Wind meint: (30.5.2010 um 22:24) Antworten

    @ lurchi
    Du sagst also wenn ich einem Browser wie z.B. Firefox vertraue dann kann ich ja auch gleich jedem der im Internet als Dienstleister für Zahlungen auftritt vertrauen? Super Logik..
    Betrachte die Sache einfach mal etwas abstrakter, dann wirst Du sehen, dass schon von der Sache hier kein PRO-Sofortüberweisungs Spielraum existiert.

37. mark meint: (30.5.2010 um 22:28) Antworten

    Sorry, aber mir sind knape 2000 Euro in den USA auf meiner Karte abhanden kommen. Die wurden anstandslos erstattet. Kreditkarten sind nicht wirklich sicher, aber das weis ich und die Versicherung funktionierte bei mir nachweislich sehr gut. War zwar 2 Wochen lauferei, aber ich kann mir NICHT vorstellen, das bei Selbstüberweisen das auch so einfach gegangen wäre.

    Und wenn das mit dem Auslesen der Kontobewegungen nicht schlimm ist, wieso keine Hinweise bei Selbstüberweisen darauf?

    "Was ist denn so schlimm an Vorratsdatenspeicherung? Hast du was zu verbergen?" ist vom IQ genauso hoch wie deine Argumentation hier!

38. Peter meint: (30.5.2010 um 22:29) Antworten

    @Dr. Rage:
    Ja, hab ich. Aber lassen Sie ernsthaft jedesmal Wireshark mitlaufen wenn Sie Online-Banking betreiben? Durch ein kompromittiertes Update kann die Software theoretisch übernommen werden. Ich möchte keineswegs Dienste wie sofortüberweisung verteidigen, dennoch sollte man sich bewußt machen, dass ein Restrisiko, egal bei welcher Zahlungsmethode, immer besteht.

39. Wind meint: (30.5.2010 um 22:35) Antworten

    Richtig, ein Restrisiko besteht immer und es geht einzig und allein darum dieses zu VERRINGERN. Das Gegenteil passiert, wenn ich Dienste wie Sofortüberweisung dazwischen schalte..

40. klarmi meint: (30.5.2010 um 22:36) Antworten

    Deine Argumentation beruht auf Vermutungen, nicht auf Tatsachen. Oder hast du Quellen dafür, dass bei den Anbietern die Daten gespeichert werden, jemand die Kontodaten checkt und bei Missbrauch die Erstattung nicht funktioniert? Ein Risiko des Missbrauchs ist IMMER da, auch bei deiner Bank (ich erwähne nochmal die Postbank, die mal eben irgendwelchen Vertrieblern die Kontodaten zur Verfügung gestellt hat).

    Wenn du dein ganzes Leben so parnoid lebst, dann will ich garnicht wissen, wie du im Alltag überstehst.

41. lurchi meint: (30.5.2010 um 22:42) Antworten

    @Wind:
    Genau. Und es bleibt jedem selbst überlassen wieviel Risiko er gegen Bequemlichkeit eintauscht.

    Das fängt an sobald man überhaupt irgendwas anderes als Bargeld nutzt. Bring ich das Geld auf die Bank, ist das bequem aber ein Sicherheitrisiko, da die Bank jetzt weiß wieviel ich hab und wem ich was bezahl. Benutze ich eine Karte ist das ein weiteres Risiko. Zwar kann ich jetzt überall ausserhalb der Öffnungszweiten Geld abheben, aber jemand kann mit der Karte Schindluder treiben. Nutze ich Online Banking ist das bequeum und ich kann von überall zu derzeit Geld rumschicken. Aber jemand kann meine Daten abgreifen. Nutze ich sofortüberweisung dann ist das ein weiterer Schritt zur Bequemlichkeit – ich kann bezahlen und der Shop erhält sofort eine Rückmeldung und kann die Bestellung bearbeiten. Dafür besteht ein Risiko – auch wenn der TÜV geprüft hat und sagt es sei technisch nicht möglich die Daten auszulesen.

    Jedesmal muss ich entscheiden ob der Gewinn an Bequemlichkeit den möglichen Sicherheitsverlust aufwiegt. Meine Entscheidung.

    Und Dritte sind überall involviert – auch bei Griopay oder Online Banking. Oder glaubst du vielleicht der Server von deiner Bank steht beim Bankdirektor daheim auf der Kommode?

42. Antitruster meint: (30.5.2010 um 22:44) Antworten

    Um mal ein wenig Struktur in die Diskussion zu bringen:
    Wem muss ich bei was überhaupt vertrauen?

    An erster Stelle steht immer die Bank. Sie sieht alles und sie kann alles machen.
    Paranoia-Modus: Im Idealfall macht man alles ausschließlich schriftlich mit der Bank. So kann man jederzeit nachweisen, was man tatsächlich veranlasst hat. Nutzt man Online-Banking (oder noch besser: Auch Online-Konto-Auszüge), so könnte die Bank theoretisch im Nachhinein die Kontodaten unnachweisbar verändern.
    Die Kontonutzungsdaten kann die Bank sowieso jederzeit weitergeben, ohne dass man das verhindern könnte.

    Online-Banking: Zusätzlich zur Bank muss man darauf vertrauen, dass der Web-Browser (bzw. der gesamte heimische Rechner) nicht böse ist. Irgendein böser Trojaner könnte jederzeit alles klauen. Die Bank würde in einem solchen Fall wohl eher keine Haftung übernehmen.
    Paranoia-Modus: Man compiliert sich sein Betriebssystem selbst, nachdem man die Sourcen komplett gelesen hat, um sich sicher sein zu können. Wer etwas weniger paranoid ist, vertraut, dass Software, die sehr breit im Einsatz ist, nicht böse sein kann, weil es sonst schon jemand rausgefunden hätte. Aber da denke ich mal an den versehentlichen Debian-Fehler, wo nur noch 30.000 verschiedene Verschlüsselungs-Keys generiert werden konnten, oder auch die Microsoft-DLL, die bei französischem Keyboard-Treiber nur noch genau einen Key verwendet (hier mit voller Absicht).

    Spannend wird es bei anderen Transaktionsarten, wo man den Datenverkehr nicht mehr nachvollziehen kann:
    Maestro-Karten-Einsatz:
    -Magnetstreifen mit PIN: Kann am lokalen Terminal jederzeit kopiert werden. Bank weist dann Schuld von sich.
    -Lastschrifteinzug: Kaum Risiko, da Buchungen jederzeit widerrufen werden können.

    Kreditkarte mit Unterschrift: Kann jederzeit kopiert werden: Hier reichen schon die Daten, die man mit bloßem Auge erkennen kann. Vorteil: Bank haftet, sofern sie nicht Fahrlässigkeit nachweisen kann. Nachteil: Verdammt viel Briefverkehr (selbst erlebt).

    Kreditkarte im Internet: Das gleiche wie bei der Kreditkarte mit Unterschrift. Nur kann nicht mehr so genau nachvollzogen werden, wer vermutlich seine Finger im Spiel hatte. (Ist für den Bankkunden aber irrelevant, da man das Geld sowieso zurückbekommt.)

    Und zu guter letzt:
    Die in diesem Artikel beschriebene Methode, über eine Fremdfirma die Buchung im Online-Banking tätigen zu lassen.
    Diese Methode schießt natürlich alles ab: Es sind alle Nachteile der vorangegangenen Methoden vereint. Zusätzlich zu ungewollten Abbuchungen können jederzeit (d.h. auch zu einem x-beliebigen späteren Zeitpunkt) die eigenen Kontobewegungen von Fremden angeschaut werden, da bei den meisten Banken keine TAN zum Einloggen notwenig ist.
    Im Gegensatz zum Datenverkauf bei der Postbank wird man nur schwer einen Schuldigen ausmachen können, den man gerichtlich zur Einsicht zwingen könnte.
    Einziger Vorteil dieser Methode: 1(!!!) Mouseklick weniger.

    Ich kann nicht nachvollziehen, wie nur irgendjemand dieser Methode irgendetwas Positives abgewinnen kann. Im Vergleich zu den anderen Bezahlmethoden ist es ungleich riskanter, diesen Weg zu verwenden.

    Gruß.

43. klarmi meint: (30.5.2010 um 22:50) Antworten

    @Antitruster
    Schön zusammen gefasst.
    Nur noch eine Anmerkung zum Vorteil.
    Einige Onlineshops bieten keine Kreditkartenzahlung an bzw. nur mit Gebühren. Und die Option Vorkasse hat den Nachteil der längeren Lieferzeiten gegenüber dem sofort-zahl-modus. Insofern spart man einige Tage Lieferzeit.

44. Antitruster meint: (30.5.2010 um 22:51) Antworten

    @klarmi:

    Oder hast du Quellen dafür, dass bei den Anbietern die Daten gespeichert werden, jemand die Kontodaten checkt und bei Missbrauch die Erstattung nicht funktioniert?

    Das Problem ist doch, dass ich keinen (schriftlichen) Vertrag mit dem Bezahldienstleister eingehe. Mit der Bank habe ich stapelweise Papier, wo die Rechte und Pflichten beider Seiten aufgeführt und unterschrieben sind. Der Bezahldienstleister kann doch quasi machen, was er will.

45. Lutz meint: (30.5.2010 um 22:53) Antworten

    @klarmi
    Wo die Möglichkeit besteht, wird sie auch genutzt werden. Egal in welchem Bereich. Das zeigen die inzwischen doch entlichen Jahre der Menschheitsgeschichte.
    Und das sofortüberweisung bewußt zum Verstoß gegen die AGB der Banken auffordert macht es für mich nicht seriöser.
    Ganz nebenbei, einen Kritiker als paranoid zu kritisieren macht die Kritik am Kritiker nicht unbedingt wirklich handfester. Sondern zeigt eher, das man keine richtigen Argumente mehr hat.

46. klarmi meint: (30.5.2010 um 22:53) Antworten

    @Antitruster
    Und noch eine Anmerkung. Die meisten Banken zeigen aber an, wann man sich das letzte mal eingeloggt hat und somit sieht man sehr wohl, wenn sich jemand anderes einloggt – auch ohne TAN.

47. Takeshi vokuhila meint: (30.5.2010 um 22:54) Antworten

    So dumm ist der Hinweis doch gar nicht. In den Niederlanden z.B. ist IDEAL für Onlinekäufe etabliert. Mit IDEAL als Zahlungsmethode können Kunden direkt aus dem Browser vom Bestellabschluss zu einem (vorbereiteten) Überweisungsformular ihrer Bank geleitet werden, dass sie nur noch bestätigen brauchen.

48. versicherung meint: (30.5.2010 um 22:56) Antworten

    sofortüberweisung.de ist nach eigenem Bekunden bei PIN- und TAN-Missbrauch bis 5000€ pro Schadensfall versichert.

    Das ist eine eher geringe Summe (im Ernstfall wird ein Angreifer ja z.B. auch den Disporahmen ausschöpfen)

    Wenn sofortüberweisung.de es sich nicht leisten mag, eine höhere Versicherung abzuschließen, dann scheinen die Versicherungsprämien nicht ganz vernachlässigbar zu sein. Und das wiederum bedeutet, dass die Versicherung das Risiko als nicht ganz vernachlässigbar einschätzt.

49. Antitruster meint: (30.5.2010 um 23:02) Antworten

    @klarmi:

    Und sei mal nicht so gutgläubig, dass das bei der Kreditkartenversicherung so easy klappt. Oder hattes schon mal einen Schaden über mehrere tausend Euro?

    Aus eigener Erfahrung: Ich hatte schon mehrfach Probleme mit unrechmäßigen Abbuchungen von meinen Kreditkarten. Vor 15 Jahren war es nur 1 Anruf bei der GZS, und das Geld wurde anstandslos erstattet.
    Vor einem Jahr hatte man mir meine Kreditkarte in einem FIFA-WM-austragenden afrikanischen Land kopiert und ist dann 1 Monat später fleißig damit einkaufen gegangen: und zwar bis zum Limit von 4000€.
    Um mein Geld zurückzubekommen, musste ich diverse Formulare ausfüllen, Unterschriften leisten, Strafanzeige stellen und mehrfach mit Bank und Kreditkartenunternehmen telefonieren. Das Geld war nach 6 Wochen wieder da. Und auch die Dispo-Zinsen wurden von der Bank übernommen.

    Fazit: Man bekommt sein Geld durchaus quasi anstandslos zurück, wenn man einem Kreditkartenbetrüger aufgesessen ist.

50. Agent Smith meint: (30.5.2010 um 23:03) Antworten

    Jeder Shop der das anbietet nimmt für mich an Seriösität ab, da er ein maß an Vertrauen vertrauen vorraussetzt dass nur naive Kunden haben können (und somit dies für alle seine Kunden impliziert).

51. Jan Schejbal meint: (30.5.2010 um 23:05) Antworten

    Was ich nicht verstehe: Warum holt sich die Postbank nicht die IP von deren Servern (z. B. mit einer Testüberweisung) und stopft diese entweder in die Firewall oder sperrt automatisch den Onlinezugang für jedes Konto, in welches sich jemand von der IP aus einloggt? Wenn man die Sperren so weit rückwirkend macht, wie die Logs reichen, dann dürften Sofortüberweisung.de & Co. sofort weg sein. Spätestens wenn sich noch weitere Banken anschließen.

52. klarmi meint: (30.5.2010 um 23:09) Antworten

    @Antitruster
    Und nun müsste man eben mal einen Fall haben, der aufzeigt, dass es bei sofortüberweisung nicht ebenso gut funktioniert bzw. dort Missbrauch durch Datenklau statt findet. Bislang reden wir nur vom Risiko, dass ohne Zweifel da ist. Ich persönlich glaube nicht, dass eine Firma wie z.b. t-online mit ihrem etra sich sowas erlauben kann. Das Ding wäre nach einem einzigen Fall sofort tot. Bei sofortüberweisung wäre die Firma Geschichte, die haben ja sonst nichts.

53. Antitruster meint: (30.5.2010 um 23:15) Antworten

    @klarmi:
    Warum muss man immer erst warten, bis das Kind in den Brunnen gefallen ist?
    Du fährst doch auch nicht nachts mit dem Auto und lässt das Licht so lange ausgeschaltet, bis Du dadurch einen Unfall verursachst.
    Wieso denkst Du in dem einen Fall vorher nach, und in dem anderen willst Du erst von der Realität eingeholt werden?

54. klarmi meint: (30.5.2010 um 23:16) Antworten

    Und noch ein Tipp: Wenn jemand das System nur ab und an nutzen will, der kann ja seine PIN danach ändern. Aber das machen ja die sicherheitsbewussten sowieso wöchtentlich *lach*

55. klarmi meint: (30.5.2010 um 23:18) Antworten

    @Antitruster
    Nicht alles was hinkt … Ich hab ein besseres Beispiel:
    Hast doch du auch mit deiner Kreditkarte auch gemacht, oder? Erst benutzt und dann vertraut, dass die Versicherung im Notfall zahlt. Ist wie bei jeder Versicherung – man weiss erst im Ernstfall, ob sie was taugt oder eben nicht.

56. klarmi meint: (30.5.2010 um 23:23) Antworten

    Und zum Thema "Daten einsehen" möchte ich auch nochmal daran erinnern, dass Mastercard/Visa und Co. auch mit den Daten machen können wie sie lustig sind. Wieso vertraut man so einer Firma mehr? Man möge sich da nur nochmal an die Operation Himmel erinnern.

57. klarmi meint: (30.5.2010 um 23:26) Antworten

    Edit: Operation Mikado hiess die glaub ich mit den Kreditkarten.

58. Christoph meint: (30.5.2010 um 23:31) Antworten

    Was man in der Debatte auch nicht vergessen sollte: Seit Jahren predigen alle Sicherheitsexperten, dass man Zugangsdaten fürs Online-Banking *nur* auf der Bank-Website eingeben soll, möglichst nach Überprüfung des Zertifikats. Eine relativ einfach zu merkende Regel.

    Nun kommen einerseits Anbieter wie sofortueberweisung.de und verlangen die Zugangsdaten anderswo einzugeben; andererseits wird man von Online-Shops sogar mit Segen der Kreditkarten-Anbieter auf zwielichtig erscheinende Websites geleitet, wo man ein Passwort eingeben soll (Verified by Visa & Co). Das macht es dem unbedarften Nutzer (und das ist die Mehrheit) verdammt schwer, zwischen einigermaßen seriösen* Angeboten und Betrugsversuchen zu unterscheiden. Allein schon aus diesem Grund halte ich die Warnung der Postbank für gerechtfertigt.

    * ohne Einschränkung möchte ich das Wort "seriös" generell nicht verwenden, wenn es um Finanzdienstleister geht ;-)

59. Realo meint: (30.5.2010 um 23:39) Antworten

    Eigentlich doch ganz einfach:
    1. Ich nutze diese Dienste wie sofotüberweisung.de und verstoße damit bewußt gegen die Vertragsbedingungen mit der Postbank. Damit trage ich das Risiko eines Mißbrauches erstmal komplett und unbegrenzt selber (von der angesprochenen "Versicherung" mal abgesehen). Jeder wie er meint…

    2. Ich nutze es nicht und habe damit ggf. einen gewißen Nachteil beim Onlineshopping wie zusätzlichen Gebühren (Kreditkarte) oder länger Lieferzeit (Vorkasse).

    Ich tue mir schwehr einen wirklichen Vorteil durch diesen Dienst zu erkennen. Der Nachteil aus der Nutzung ist aber heftig. Mir fällt kein Beispiel ein wo ich sonst noch im monetären Umfeld bewußt Vertragsbruch für etwas Komfort begehe.

    @Klarmi: Seit wann arbeitest Du schon für die Jungs?

60. christian meint: (30.5.2010 um 23:41) Antworten

    @klarmi:
    Bei Kreditkartenzahlungen lassen sich die Zahlungen reklamieren… Bei Überweisungen hat man ein richtiges Problem…
    Das Hauptrisiko bei Kreditkarten tragen oft die online Händler..
    Ich bezahlte ausschließlich mit Kreditkarte oder Paypal.. Dienste wie Sofortüberweisung etc. kommen mir nicht in Frage.. und nicht nur weil ich den Dienst mißtraue.. Liefert der Händler nicht oder geht pleite.. dann ist das Geld weg.. Das ist Vorkasse.. und dort geht alles auf Risiko des Kunden

61. lurchi meint: (30.5.2010 um 23:42) Antworten

    @Jan Schejbal:
    Ich vermute: Weil die Rechtslage nicht ganz so klar ist wie die Postbank hier behauptet und sie sich ggf. gegenüber den Drittanbietern Schadenersatzpflichtig machen würde.

    @Antitruster:
    Vielleicht weil man nach einer Abwägung aller Fakten zu der Überzeugung kommen kann, daß das Risiko des Mißbrauchs gering ist. Mag ja sein daß du zu einem anderen Ergebnis kommst. Ich halte daß Mißbrauchsrisiko jedenfalls für ziemlich niedrig

    - Die TAN ist nach dem Zahlungsvorgang verbraucht und daß Risiko von unauthorisierten Überweisungen daher gering.

    - Im Online Banking wird das Datum und die Uhrzeit des letzten Login protokolliert und ist bei jedem einloggen sichtbar. Sollte ein Drittanbieter sich daher nochmals einloggen und Daten abgreifen würde das schnell auffallen und dieser wäre ratztfatz weg vom Fenster.

    - Bisher ist noch kein Fall von Mißbrauch bekannt. Sollte es einen Fall von Mißbrauch zukünftig geben oder Fehler bei den Überweisungen auftreten ist die Wahrscheinlichkeit das das ganze entdeckt wird extrem hoch.

62. b3nl meint: (30.5.2010 um 23:46) Antworten

    Ganz schön mies vom Udo Vetter einfach solch ein Thema reinzustreuen und zu wissen, dass dies die Endlosdiskussion hoch 9 wird.

63. Agent Smith meint: (30.5.2010 um 23:46) Antworten

    > Hast doch du auch mit deiner Kreditkarte auch gemacht,
    > oder? Erst benutzt und dann vertraut, dass die
    > Versicherung im Notfall zahlt. Ist wie bei jeder
    > Versicherung – man weiss erst im Ernstfall, ob sie was
    > taugt oder eben nicht.

    Es gibt da nur einen kleinen Unterschied: Die Haftung bei Kreditkarten ist gesetzlich zu Gusnsten des Kunden geregelt. Kreditkarten ahben Verfügungsrahmen. Die Nutzung von Sofortüberweisung dürfte dagegen als grob fahrlässig gelten, in jedem Fall aber gegen die AGB der Bank verstoßen. SÜ behauptet dass es eine Versichrung bis 5000 EUR beinhaltet, das heißt also wenn jemand 50000 EUR von meinem Konto abbucht, habe ich halt Pech wenn SÜ nicht mehr zahlen kann/will. Und selbst bei 10 EUR muss ich erstmal nachweisen dass SÜ Schuld ist.

    > Wieso vertraut man so einer Firma mehr?

    Sorry aber das Argument "Wieso vertraust du deiner Bank mehr als einer kleinen Klitsche die sich ein neues Zahlverfahren ausgedacht hat" ist doch wirklich lächerlich.

64. klarmi meint: (30.5.2010 um 23:48) Antworten

    @Realo
    Du bist witzig. Nur weil ich nicht ins gleiche Horn blase wie der 0815-Kritiker bin ich gleich Mitarbeiter dort? Lustig.

    Zum Thema Vertragsbruch. Nur weil die Postbank da jetzt rumheult … hmm … gerade diese "Bank" kann ich nicht ernst nehmen (nicht nur wegen dem Umgang mit Kundendaten). Aber ist auch verständlich, dass gerade diese "Bank" da etwas Angst hat, da es bei denen soweit ich weiss die meisten phishingfälle gab.

65. Agent Smith meint: (30.5.2010 um 23:50) Antworten

    > Nur weil ich nicht ins gleiche Horn blase wie der
    > 0815-Kritiker bin ich gleich Mitarbeiter dort?

    Ganz ehrlich, den Eindruck habe ich auch – aber warum sollen nicht auch die Mitarbeiter (Kunde, usw) von SÜ hier mitdiskutieren.

66. klarmi meint: (30.5.2010 um 23:55) Antworten

    @Agent Smith
    "Klitsche" T-online vs. Commerzbank(>Pleite)/Nordsparkasse(>Pleite)/Postbank(>gibt Daten raus)/etc. … hm, wem vertraut man da mehr?

    Woher kommt denn der unerschütterbar gute Ruf von den Banken? Ehrlichgesagt verstehe ich das nicht so ganz nach den letzten 2 Jahren.

67. Realo meint: (30.5.2010 um 23:56) Antworten

    @Klarmi: Nee, nur weil Du so phänomenal unreflektiert diskutierst und bisher auf nicht ein Argument eingegangen bist :). Sie Nr. 64, ich komme da irgendwie auf keinen sachlichen Zusammenhang zum Thema.

68. lurchi meint: (30.5.2010 um 23:56) Antworten

    @Agent Smith:
    Wieso ist es lächerlich einer Firma die sich bisher nichts zu schulden kommen lassen hat mehr zu vertrauen, als einer Bank die bereits zugegeben hat unbefugten Dritten Zugriff zu den Konten ihrer Kunden gewährt zu haben?

    Im übrigen: Das Risko am Geldautomat Opfer eines Skimming Angriffs zu werden und auf dem Schaden sitzen zu bleiben würde ich als um einiges höher bewerten als die Gefahr durch sofortüberweisung oder etra. Trotzdem benutze ich noch Geldautomaten. Im Vergleich zu anderen Risiken des Bankgeschäfts würde ich das Risiko daß die Telekom oder Sofortüberweisung mein Konto leerräumen und sich mit dem Geld davon machen als eher gering einstufen.

69. fh meint: (30.5.2010 um 23:57) Antworten

    @b3nl: Erfahrungsgemäss müsste für einen Monster-Kommentarthread hier noch Autofahrverhalten, Steuern und irgendeine Randgruppe vorkommen. So schlimm wirds nicht ;)

70. lurchi meint: (30.5.2010 um 23:58) Antworten

    Oh Realo, gehn dir schon die Argumente aus, daß du bereits einen "ad hominem" aus dem Hut ziehen musst?

71. lurchi meint: (31.5.2010 um 00:01) Antworten

    Also wenn Realo hier schon mit rethorischen Kniffs wie einem "ad hominem" operiert, dann greif ich doch mal zu altbewährten Chewbacca-Verteidigung: Chewbacca ist ein Wookiee vom Planeten Kashyyyk, aber Chewbacca lebt auf dem Planeten Endor. Warum sollte ein Wookiee – ein zwei Meter großer Wookiee – auf Endor leben wollen, zusammen mit einem Haufen winziger Ewoks? Es ergibt keinen Sinn! Wenn Chewbacca auf Endor lebt, müssen Sie sofortüberweisung freisprechen! Das Plädoyer ist abgeschlossen.“

72. Realo meint: (31.5.2010 um 00:03) Antworten

    @Lurchi: Sic est. Ihr beiden stecht hier einfach in der Diskussion hervor, dass muss doch persönlich gewürdigt werden.

    Ich habe kein weiteres Argument als das unter 59. Die Realtivierung entlang möglicher Vergleiche und das dortige Risiko ist doch arg subjektiv und daher jedem besser selbst überlassen.

73. lurchi meint: (31.5.2010 um 00:19) Antworten

    @Realo:
    Ja na dann gute Nacht, du musst ja dann morgen auch zur Arbeit… bei der Postbank… ;)

74. Sebastian Salzgeber meint: (31.5.2010 um 00:34) Antworten

    Selten eine so langweilgie Diskussion den LawBlog-Comments gesehen wie hier.

75. Antitruster meint: (31.5.2010 um 00:50) Antworten

    @klarmi:

    Und zum Thema "Daten einsehen" möchte ich auch nochmal daran erinnern, dass Mastercard/Visa und Co. auch mit den Daten machen können wie sie lustig sind. Wieso vertraut man so einer Firma mehr?

    Wer sagt, dass man (ich) den Kreditkartenunternehmen mehr traut?
    Ich besitze Kreditkarten, damit ich bestimmte Geschäfte überhaupt (relativ einfach) erledigen kann. Man kann heutzutage praktisch keine Flüge, Hotels und MIetwagen mehr buchen, wenn man keine Kreditkarte besitzt. Und wer sich viel im Ausland bewegt, der hat auch keine sinnvolle Alternative, um Zahlungen zu tätigen.
    Die Kreditkarte ist also ein notwendiges Übel.
    Bewege ich mich innerhalb Deutschlands, so verwende ich die Kreditkarte (und auch die Maestro-Karte) nur für Dinge, die sowieso schon erfasst sind. Das ist dann nur noch das Tanken (weil mein Auto sowieso spätestens seit der Toll-Collect-Totalüberwachung immer erfasst wird) und bei größeren Einkäufen (>200€) von unverfänglichen Waren (Kleidung) mangels hoher Bargeld-Mengen.
    Dinge des täglichen Bedarfs zahle ich prinzipiell nicht mit Karte. Es geht wirklich niemanden etwas an, was ich esse und welche Bücher ich lese.

76. mark2 meint: (31.5.2010 um 01:16) Antworten

    @Jan Schejbal: Weil sie vieleicht schlauer sind und die IP nicht sperren sondern nur registrieren wer diese Dienste illegal nutzt? Dann können sie wenn irgendein Schadensfall eintritt,z.B. die Person Skimming Opfer wird, einfach nachweisen das die Person total unzuverläsig ist. Wenn sie sperren werden ganz sicher Proxies benutzt und es wird schwerer den Kunden bei Missbrauch, die Schuld zu geben.

77. nico meint: (31.5.2010 um 02:05) Antworten

    es ist nicht nur bei der postbank untersagt, bei ziemlich jeder deutschen bank steht in den agbs, dass man pin und tan nicht weitergeben darf, wodurch sofortüberweisung verboten ist.
    wenn man das ganze doch nutz kann einem die bank gleich zweimal blöd kommen (zwecks rückerstattung und verstoß gegen die agb)
    von daher besser finger weg

78. hiro meint: (31.5.2010 um 06:27) Antworten

    5000 Euro Versicherung sind ausreichend. Oder hat ernsthaft jemand freiwillig einen höheren Verfügungsrahmen für's Online-Banking? Üblicherweise ist da doch bei 2000 Euro Schluß, was in den meisten Fällen ausreichen dürfte. Und mehr als eine Aktivität ist pro TAN nicht drin.

    Ob der Dienstleister die richtigen Daten an die Bank gibt, sieht man dann doch eh auf der Mobile-TAN. Oder vertrauen die hiesigen Sicherheitsexperten etwa noch auf so antiquierte Verfahren wie ausgedruckte TAN-Listen, bei denen man sich irgendwie drauf verlassen muß, daß schon der richtige Betrag zwischen eigenem PC und Bank ausgehandelt wird?

    Eine PIN kann man nach Überweisung ändern, dann hat es sich auch mit dem Zugriff des Dienstleisters auf das Konto.

    Daß ausgerechnet die Postbank, die ein Konkurrenzprodukt anbietet, vor dem Verfahren warnt, erscheint dann doch etwas durchsichtig. Natürlich haben sie Recht, daß es ein Verstoß gegen die AGB ist. Ausgerechnet die direkten Konkurrenten zu nennen und nicht etwa allgemein von "andere Anbieter als http://www.postbank.de" zu sprechen, ist freilich schon sehr offensichtlich.

    Im Hinblick auf sinnvolle Warnungen vor Phishing nun ausgerechnet vertrauenswürdige Anbieter zu nennen, erscheint mir kontraproduktiv. Da setzt sich doch eher im Hinterkopf ab "die Postbank warnt eh nur aus Eigeninteresse, da kann ich die Warnungen gleich alle ignorieren".

    Wenn einem Kunden ein Schaden entsteht, wird die Postbank Probleme bekommen, diesen Schaden dem AGB-Verstoß zuzuordnen. Denn die betrügerische Überweisung mit TAN 12345 kann wohl kaum mit der TAN 67890 begründet werden, die der Kunde vor drei Monaten im Online-Shop eingegeben hat.

    Denkbar wären höchstens Fälle, in denen das Konto ausgespäht wird, also die Kontodaten unbefugt abgefragt werden. Das wird wohl kaum jemand seiner Bank vorwerfen. Wenn doch, dann braucht diese keinen Transaktionsdienstleister, um auf die Sorgfaltspflicht und regelmäßige PIN-Änderung hinzuweisen.

    Letztlich bleibt es doch jedem selbst überlassen, ob er dem Dienstleister vertraut oder nicht. Warum eine Bank nach einem Datenskandal vertrauenswürdiger sein soll als ein Dienstleister, der bisher nicht negativ aufgefallen ist, erschließt sich mir freilich nicht.

79. Momo meint: (31.5.2010 um 07:56) Antworten

    Zu der TÜV-Zertifizierung will ich noch was sagen. Das sind keine Vollhacker. Die machen keine gravierenden Penetrationstests, die schauen nicht ob sie irgendwo auf der Website über Cross Site Scripting oder irgendwelche ungepatchten Pufferüberläufe was machen können, die versuchen nicht mit aller Gewalt rein zu kommen.

    Was die wohl machen ist: Sie prüfen ob du als Unternehmen weisst, was du tust. Und ob du einen Plan hast für das, was du noch nicht getan hast. Eingerichtete Qualitätskontrolle, ein Patchmanagement in der IT. Vielleicht noch einmal im Jahr einen Sicherheitsexperten, der Penetrationstests durchführt, SSL-Zertifikat dazu und fertig ist das TÜV-Zertifikat für den Online-Shop.

    Das bedeutet nie, dass der Shop keine Fehler hat. Das bedeutet nur, dass keine offensichtlichen Fehler aufgefallen sind zum Zeitpunkt der Prüfung. Für ein Vertrauensverhältnis, bei dem es um die Verwaltung meiner Gelder durch Dritte geht, reicht mir persönlich das nicht aus.

    Insofern: Die Bankdaten liegen da nicht in einem Hochsicherheitskomplex. Da gibt es mit Sicherheit zwar Zugriffseinschränkungen, aber überwacht ist das Ganze eher nicht. Das ist kein Bankserver sondern der Server von einem Webshop der irgendwo bei Strato oder weiss Gott wem im Rechenzentrum steht. Ein ganz normaler Einbrecher dürfte es da leichter haben als wenn er sich am Rechenzentrum von einer Bank versucht. Sorry, da leg ich meinen Onlinebanking-Zugang nicht hin. Erst recht nicht mit der kompletten TAN-Liste, liebe Firma Conrad. ;)

80. earli meint: (31.5.2010 um 08:15) Antworten

    @Momo:

    Seitdem der Internet Explorer und PayPal TÜV-Zertifikate haben, würde ich nicht einmal davon ausgehen, dass so eine oberflächliche Prüfung, wie du sie beschreibst, stattgefunden hat.

    Dass Paypal für die Senderseite unzuverlässig ist, ist bekannt. Auf der Empfängerseite treten sie sogar manchmal selbst als Diebe auf.

    > http://www.mail-archive.com/xorg@lists.freedesktop.org/msg10653.html
    (nur eins von vielen Beispielen)

    Und zum IE muss man wirklich nichts mehr sagen. Dass da jetzt Funktionen drin sind, die die History abschalten ("private mode") bzw. Phishing-Seiten mit einer Online-Liste erkennen, ändert nichts an der Unsicherheit im Kern des Browsers, mit Lücken, die regelmäßig beliebige Systemzugriffe erlauben und erst mit Verzögerung gefixt werden.

81. Sven Türpe meint: (31.5.2010 um 08:45) Antworten

    @muksi:
    

    Sofortüberweisung usw. machen auch nichts anderes als eine normale Online Banking Software – nur online.

    Bei T-Online bekommt man übrigens nicht nur ein Bezahlverfahren auf Überweisungsbasis, sondern auch eine komplette Banking-Software als Webanwendung. Über solche Konstrukte werden sich die Juristen im Zeitalter von Software as a Service und Cloud Computing vielleicht bald den Kopf zerbrechen dürfen. Die technischen Sicherheitsprobleme sind exakt dieselben, aber eine Anwendung im Netz statt auf dem eigenen Gerät stellt angesichts von Diensten wie Google Apps, Mindmeister usw. wohl keine Besonderheit mehr dar.

82. Volker Birk meint: (31.5.2010 um 08:52) Antworten

    Wer einem Dritten PIN und TANs gibt, der haftet für den Schaden daraus eben selber. Da muss man schön blöd sein.

    Ein TÜV-Zertifikat sagt im Netz vor allem eines: der Anbieter möchte seine Kunden an der Nase herumführen, und ihnen Sicherheit vorgaukeln.

    Ob da dann auch Sicherheit ist, ist eine ganz andere Frage.

    Viele Grüsse,
    VB.

83. O.Q. meint: (31.5.2010 um 09:19) Antworten

    @hiro: Also, so schwer ist das doch gar nicht.

    Du hast einen Vertrag mit Deiner Bank. In dem steht, dass Deine Geheimzahl nur Dir und der Bank bekannt sein darf – und keinem Dritten. Wenn Du sie trotzdem ohne Einwilligung der Bank weitergibst: Dein eigenes Risiko. Nichts außergewöhnliches soweit.

    Das hat durchaus einen praktischen Hintergrund: Die Bank möchte, bevor da ein Dritter ins Spiel kommt, nämlich zuerst wissen, ob dessen IT-Systeme sicher sind. Dass Du dem Dritten vertraust, wird Ihnen normalerweise nicht ausreichen.

84. klarmi meint: (31.5.2010 um 09:53) Antworten

    @O.Q.

    Wenn man die AGBs ernst nehmen würde, dann müsste die Bank ein komplett eigenes System von der hardware über das Betriebssystem bis hin zum Browser und Provider zur Verfügung stelle um Homebanking zu machen. Denn alle diese Komponenten kennen die PIN und TAN!

    Aber machen wir garnicht das ganz grosse Fass auf. Es reicht ja schon eine x-beliebige Bankingsoftware um bei der lächterlichen Arhumentation gegen die AGBs der Bank zu verstossten. Somit bleibt nur ein müdes lächeln übrig für den Versuch der Postbank sich da aus der Haftung rauswinden zu wollen.

85. Abmahner meint: (31.5.2010 um 09:58) Antworten

    Sicherheit ist ja gut und schön, und wenn ihr solchen Services nicht vertraut, dann meinetwegen.
    Sofortueberweisung ist ein Service, der seit vielen Jahren etabliert ist, und viele ähnliche Services sind in der Zeit stillschweigend wieder verschwunden.
    Ich habe bei dem Unternehmen überhaupt keine Bedenken.

86. Frank Schenk meint: (31.5.2010 um 10:22) Antworten

    Vor Sofortüberweisung.de warne ich seit dessen Existenz. Die Meisten hier dürften in den AGB ihrer Bank Paragraphen stehen haben, welche die Bank ermächtigen, den Vertrag sofort zu kündigen, wenn sie mitbekommt, daß der Kunde mit Sofortüberweisung.de zahlt. So ist es ja auch schon einige Male passiert, daß Banken Kunden wegen Verletzung der Sorgfaltspflicht den Vertrag aufgekündigt haben.

    mfg, Frank

87. Frank B. meint: (31.5.2010 um 10:36) Antworten

    Wer nicht unmittelbar einsieht, dass man keinem Dritten PIN und TAN seines Bankkontos geben darf, der sollte von Onlinegeschäften komplett die Finger lassen. Mein Vater beispielsweise, der erst mit rund 70 Jahren das Internet entdeckt hat, befolgt diesen Rat beispielsweise, weil er sich bewusst ist, dass er das nicht komplett durchschaut …

88. Mellow meint: (31.5.2010 um 10:56) Antworten

    @Abmahner:

    welche Services sprichst du denn an? Mir wär auf die Schnelle keiner bekannt. Es ist ja auch nicht so, dass die Banken nur gegen SÜ schimpfen, sie bieten ja auch eigene Alternativen an.

    Zu einem Argument von weiter oben:
    Wenn ich zu Sicherheit im Nachgang meine Umsätze über das Onlinebanking checke, warum mach ich dann nicht gleich die Überweisung direkt über das Portal?

    zum TÜV Zertifikat:
    Mein Auto hat auch TÜV…….soviel dazu

89. FaaB meint: (31.5.2010 um 11:02) Antworten

    @muksi:

    1. Firefox is OpenSource, da ist der Quellcode für jeden einsehbar. Deswegen wird dort niemals so etwas drinne stehen

    2. Lässt es sich IMMER rausfinden, was für Daten eine Software wohin schickt. Das machen dann schon die entsprechenden Experten. Bestes Beispiel sind die Tests, welche Software Nutzungsdaten verschickt (man nennt das sniffen)

    Bei Sofortüberweisung.de kannst du das aber nicht. Du weißt einfach nicht, was die tatsächlich mit deinen Daten machen, oder auch nicht machen. Du kannst nicht mal eben zu deren Servern fahren und dir den Quellcode anschauen oder deren Traffic sniffen.

90. Abmahner meint: (31.5.2010 um 11:21) Antworten

    @Mellow:
    Kann sein das nicht alle Konkurenten einen identischen Service angeboten haben, aber die Liste der Online-Payment-Anbieter geht wohl in die hunderte.
    Und mit Sofortüberweisung hab ich als Kunde und Anbieter sehr gute Erfahrungen.

    Das TÜV-Argument kommt nicht von mir, mir ist das total egal.
    Aber es zeigt zumindest das hier ein Anbieter mit deutschem Ansprechpartner ist, und nicht – wie die meisten anderen Paymentanbieter – ein Unternehmen mit Postkasten in Panama.

    Wie auch immer, ich will den Service garnicht verteidigen, wie gesagt, mir ist es egal wer ihn nutzt oder eben nicht. Ich find es nur schön, wenn ein paar deutsche Internetunternehmen noch überleben. Und bei einer deutschen Firma mit ladungsfähiger Anschrift bin ich grundsätzlich weniger skeptisch. Zur Not wandern sie halt aus, wie die meisten anderen auch.

91. Mellow meint: (31.5.2010 um 11:31) Antworten

    @Abmahner

    Ich verstehe deinen Standpunkt. Ich für mich sehe halt nur keinen Grund, einen Service zu Nutzen, hinter dem nicht meine Bank steht, wenn meine Bank diesen auch anbietet.
    Dass bisher nichts passiert ist heisst halt leider nciht, dass nichts passieren kann. Das ist der Grund, warum ich es lieber über meine Bank mache, mit welcher ich eine vertragliche Grundlage habe…..die habe ich mit SÜ halt nicht.

92. Ein Mensch meint: (31.5.2010 um 11:32) Antworten

    Wer sich etwas mit Kreditkartenverarbeitung auskennt, wird wissen, dass seit Einführung von PCI-DSS und entsprechender Zertifizierung der Händler bzgl. der Wahrscheinlichkeit von Online-Datenmissbrauch sich einiges verbessert hat.

    Entsprechend wäre das "richtige Verfahren" für sofortüberweisung.de, die teilnehmenden Banken davon zu überzeugen einen "einbettbaren Dialog" bereitzustellen, so dass PIN/TAN nicht bei sofortüberweisung.de eingegeben werden müssen, sondern direkt im eingebetteten Dialog der Bank.

    Technisch wäre das leicht möglich und so das Risiko einer Datenzwischenspeicherung bei einem Dritten ausgeschlossen.

93. Mellow meint: (31.5.2010 um 11:36) Antworten

    @Ein Mensch:

    sowas gibts doch schon, wenn ich dich richtig verstehe. Der Service heisst "Giropay" und klappt laut Internetseite für die Sparkasse, Volks- und Raiffeisenbanken und die Postbank.

    Da kann SÜ halt nichts mehr dran verdienen

94. Mellow meint: (31.5.2010 um 11:39) Antworten

    Nachtrag:
    leider werden so nicht alle Banken abgedeckt, aber parallel hierzu wird von den genannten Banken denk ich extra für SÜ kein 2.Weg aufgemacht werden. Deswegen würde die Abdeckung von SÜ nicht mehr 100% sein (was die Banken angeht).

95. Ein Mensch meint: (31.5.2010 um 11:48) Antworten

    @mellow: Giropay kannte ich bisher nicht, aber es geht wohl in die Richtung, die ich meinte. SÜ müsste dann einfach als Acquirer auftreten und kassiert vom Händler die Gebühren, von denen natürlich ein Anteil an die Giropay-Bank weitergeleitet werden müsste.

96. Blogleser Matthias meint: (31.5.2010 um 11:56) Antworten

    Sehr geehrter Herr xxx,

    vielen Dank für Ihre Anfrage bezüglich unseres Bezahldienstes sofortüberweisung.de.

    Wir möchten Sie vorab darauf aufmerksam machen, dass die Postbank mit der Warnung vor sofortüberweisung.de gezielt unseren seit 2004 am Markt angeboten Bezahldienst behindern will. Hintergrund ist, dass die Postbank Gesellschafter unseres Konkurrenten giropay ist, und somit – was in der Mitteilung verschwiegen wird – ein unmittelbares wirtschaftliches Eigeninteresse hat, den Wettbewerb zu Gunsten unseres Konkurrenten giropay zu fördern, indem solche irreführenden Behauptungen verbreitet werden.
    Bezüglich des Hinweises Ihrer Bank auf eine Sorgfaltspflicht, wonach die personalisierten Sicherheitsdaten (PIN und TAN) nicht an Dritte weitergegeben werden sollen, ist unser Standpunkt hierzu, dass wir kein Dritter im Sinne dieser Regelungen sind. Wir sind ein technischer Dienstleister, der diese Daten an die jeweilige Bank verschlüsselt weiter übermittelt. Die gleiche Auffassung wird übrigens auch von der Deutschen Telekom vertreten, die mit der "t-pay Online-Überweisung" seit 2002 ein gleichartiges System betreibt (vgl.http://www.t-pay.de/t-pay-info/online-ueberweisung.html).

    Unsere Sicherheitsvorkehrungen sind äußerst vielseitig, weshalb ich Sie für meine stichwortartige Auflistung um Verständnis bitte:

    *

    Datentransfers erfolgen ausschließlich über gesicherte AES-256-Bit verschlüsselte SSL Verbindungen.
    *

    Die Payment Network AG besitzt die TÜV-Siegel „Geprüfter Datenschutz“ und "Geprüftes Zahlungssystem"
    *

    PIN und TAN sind zu keinem Zeitpunkt für Händler, Mitarbeiter oder Dritte Personen sichtbar und werden auch nicht gespeichert.
    *

    Im Gegensatz zu Kreditkartenzahlungen oder Zahlungen über eWallets bietet insbesondere die Online-Banking TAN einen hohen Schutz vor Hackerangriffen. Denn die TAN ist nur einmal verwertbar und nur offline verfügbar.

    Zudem können wir darauf verweisen, dass es nach über 10 Millionen Transaktionen seit dem going-live von sofortüberweisung.de zu keinem einzigen PIN- und TAN-Betrugsfall gegenüber Endkunden, die ihre PIN und TAN in die Systeme der Payment Network AG eingegeben haben, gekommen ist. Somit hat kein einziger Endkunde, der das System genutzt hat, einen Schaden durch auf unseren Systemen abhandengekommene PIN- und TAN-Daten erlitten.

    Vorsorglich weisen wir dennoch darauf hin, dass es in Deutschland Banken und Sparkassen gibt, die davon ausgehen, dass die Nutzung von sofortüberweisung.de wegen der Verwendung von PIN und TAN außerhalb der eigenen Online-Banking-Systeme bei etwaigen Missbrauchsfällen zu einer Haftungsverlagerung führen kann. Dies kann bedeuten, dass im Missbrauchsfall die Bank sich weigert, den Schaden für den Endkunden zu übernehmen und der Endverbraucher den Schaden zu tragen hat. Es ist noch zu keinem einzigen Betrugsfall gegenüber Endverbrauchern gekommen. Die Payment Network AG stellt dennoch vorsorglich jeden Kunden von etwaigen Schadensfällen gemäß den auf unserer Webseite bekanntgegebenen Grundsätzen frei (vgl. hierzu https://payment-network.com/sue_de/kaeuferbereich/sicherheit/ihre_rechte) und verfügt vorsorglich über eine Versicherung, die in Höhe von bis EUR 5.000,– je Schadensfall bei PIN- und TAN-Missbrauch (zu Lasten eines Endkunden, der seine PIN und TAN in die Systeme der Payment Network AG eingibt) die Payment Network AG gegen Haftungsfälle versichert. Hierdurch sollen Sie als Endkunde sicher sein können, dass in dem unwahrscheinlichen Fall eines Schadens auch eine Rückdeckung für etwaige Haftungsansprüche gegen die Payment Network AG besteht. Versicherungsnehmer der Versicherung ist die Payment Network AG.

    Wir hoffen, Ihnen mit dieser Auskunft geholfen zu haben.

    Mit freundlichen Grüßen

    Caroline Jenke

    Legal Counsel

97. Snuff meint: (31.5.2010 um 12:21) Antworten

    @muksi: Jede Stelle, an die man PIN und TAN weiter gibt, ist ein potentielles Sicherheitsrisiko. Klar kann man sagen, dass man sofortueberweisung.de vertraut. Man hat aber ein weiteres Glied in der (Zahlungs-) Kette, welches brechen kann. Von daher halte ich es auch für bedenklich, nur um 1 Minute Zeit zu sparen dort die entsprechenden Angaben zu machen. Aber gut: Jeder muss das Risiko selber einschätzen. Anstelle der Banken würde ich jedenfalls überlegen, ob ich derartige Möglichkeiten nicht technisch unterbinde.

98. klarmi meint: (31.5.2010 um 12:27) Antworten

    @Snuff
    Es ist eben nicht nur 1 Minute die man spart, sondern wie oben beschrieben mehrere Tage, da der Händler bei Vorkasse erst los schickt, sobald das Geld da ist und nicht wie z.B. bei Etra sofort, da die Zahlung sofort bestätigt wird. (Am besten ist meist noch immer Kreditkarte, aber wie gesagt wollen einige Händler da eine Gebühr haben bzw. bieten es erst garnicht an).

99. Hobby-Eisenbahner meint: (31.5.2010 um 12:30) Antworten

    @Frank B.: Wegen der Verhaltensweise Deines Vaters: Das nennt man auch "<a href="http://www.angertalbahn-shop.com/WebRoot/Store18/Shops/61793244/48A9/D205/03C5/3A9A/2B80/C0A8/28B9/94FE/lass_0020_die_0020_finger_0020_200x200.jpg&quot; rel="nofollow">Lass' die Finger von Maschinen, die Du selbst nicht kannst bedienen</a>". Sehr vernünftig. :-)

100. Agent Smith meint: (31.5.2010 um 12:32) Antworten

     > Wenn ich zu Sicherheit im Nachgang meine Umsätze über
     > das Onlinebanking checke, warum mach ich dann nicht
     > gleich die Überweisung direkt über das Portal?

     Der Vorteil von SÜ soll sein, dass die Abwicklung sofort stattfindet und es nicht erst ein paar Tage dauert bis der Anbieter die Überweisung auf seinem Konto sieht. Und das ist natürlich zugegebenermaßen auch ein Vorteil, nur bieten den eben anderen Bezahlsysteme auch ohne dafür seine Seele (PIN) zu verkaufen.

     > Und mit Sofortüberweisung hab ich als Kunde und
     > Anbieter sehr gute Erfahrungen.

     Das Anbieter den Service toll finden steht ja außer Frage: Sofortige Bezahlung, nicht rückbuchbar, kein Zahlungsausfall möglich und geringe Gebühren. Nur wie weiter oben schon geschrieben sollte man zumindest bei speziellen Shops (die auf eher technikaffine Benutzer zielen) auch beachten dass solche Zahlangebote auch die eigne Seriösität negativ beeinflussen können (denn letztendlich fordert mich der Shop auf ihn meine PIN+TAN zu geben).

101. RCB meint: (31.5.2010 um 12:37) Antworten

     Wundert mich, dass das hier noch nicht erwähnt wurde: Giropay (bei dem die Postbank mittut) befindet sich mit Sofortüberweisung.de bzw. der Payment Network AG in einem laufendem Rechtsstreit.

     http://www.wiwo.de/unternehmen-maerkte/internet-bezahldienst-giropay-verklagt-sofortueberweisung-de-418646/

102. diddeldum meint: (31.5.2010 um 13:00) Antworten

     Ich würde sofortüberweiung ähnlich wie ein Zahlungsterminal in einem Supermarkt bewerten. Da gebe ich auch dem Supermarktbetreiber meine PIN bekannt, bzw dessen System und muss darauf Vertrauen daß dieser diese tatsächlich nur weiterleitet um die Zahlung durchzuführen und nicht speichert.

     Würde man jeden am Zahlungsvorgang mitwirkenden als Dritten einstufen, sobald die theoretische Möglichkeit besteht, daß die Daten abgegriffen werden, dann würden wir wohl ab morgen nur noch Bargeld benutzen.

103. Dirk B. meint: (31.5.2010 um 13:06) Antworten

     Oh mein Gott, es gibt tatsächlich Menschen die hier lesen und sowas wie Sofortüberweisung nutzen und die Nutzung verteidigen.

     Mit der Weitergabe der Pin gibt der Normalo dem Unternehmen nicht nur die Möglichkeit einmalig Geld zu "überweisen", sondern dauerhaft die Möglichkeit der Einsichtnahme. Und natürlich hat jede Bank das Recht jemanden wegen solcher Sachen sofort das Konto zu kündigen. Es gibt keine Verteidigung für ein solches Handeln.

     Und da redet unsere Bundesregierung von Internet-Sicherheit und werden ständig kritisiert. Die gleichen Leute benutzen aber SÜ. Der Internetführerschein scheint doch notwendig zu sein …

104. diddeldum meint: (31.5.2010 um 13:17) Antworten

     @Dirk B.:
     Na, da bin ich doch mal auf die handfeste juristische Begründung gespannt die sicherlich gleich nachkommt.

     Insbesondere würde mich interessieren wo du die Insiderinformation her hast, daß anders als vom TÜV geprüft und von sofortüberweisung behauptet, daß System technisch so eingerichtet ist, daß die PIN von sofortüberweisung tatsächlich eingesehen werden kann und nicht nur durchgeleitet wird?

105. Agent Smith meint: (31.5.2010 um 13:21) Antworten

     > daß die PIN von sofortüberweisung tatsächlich
     > eingesehen werden kann und nicht nur durchgeleitet wird?

     Durchleiten würde nur gehen wenn die Bank das unterstützt und sie noch im Browser verschlüsselt wird um dann bei der Bank entschlüßelt zu werden. Ist natürlich nicht der Fall, SÜ braucht die PIN und TAN im klartext, und damit ist auch eine Abgreifen und speichern problemlos möglich.
     Dass sie das nicht vor dem TÜV demonstriert haben ist ja nun klar, aber technisch können sie es trotzdem jederzeit tun wenn sie denn wollten.

106. christian meint: (31.5.2010 um 13:22) Antworten

     @hiro:
     Kommt darauf an wo man sein Konto hat.. bei der örtlichen Sparkasse.. ok .. bei Postbank vielleicht auch noch.. bei reinen Internetbanken (DKB, SKG Bank) gibt es kein Limit.. wäre ja auch blöd.. wenn man ein Auto für 20000 Euro bezahlen will…

107. Mellow meint: (31.5.2010 um 13:25) Antworten

     @diddeldum:

     Bei dem vielseitigen Aufbau der Onlinebanking Portale……wie denkst denn dass SÜ das macht? Natürlich können die Daten eingesehen werden, du gibst sie ja schliesslich in das System von SÜ ein. Ob das auch passiert kann keiner sagen aber es ist möglich und nichtmal schwer.

108. Abmahner meint: (31.5.2010 um 13:26) Antworten

     Ich sehe es halt so, wie es in Deutschland schon oft abgelaufen ist:
     Es geht um ein etwas strittiges Internet-Thema, wo Rechtsgrundlagen schwammig sind. Zuerst wird auf zivilrechtlicher Basis geklagt und abgemahnt wo es nur geht. Dann kommt der Gesetzgeber, und reguliert hinten und vorne rum, um die ganze sache "Rechtsicher" zu machen.
     Endeffekt: Alle wandern aus, und bieten ihren Service von einem anderen Ort der Erde in Deutschland an. Das ist ja das tolle am Internet.
     Im Endeffekt hat man dann WENIGER Rechtsicherheit als vorher. Denn von Panama aus kann man über die deutschen noch viel besser lachen als vorher.
     Das ganze geht also mal wieder nach hinten los.

109. jotano meint: (31.5.2010 um 13:33) Antworten

     Derzeit ist meine Banking-PIN nirgends gespeichert. Auch nicht bei der Bank. Dort liegt sie in Form eines Hashcodes vor.
     Beim Einloggen ins Banking-Portal wird aus meiner PIN ein Hashcode gebildet, der an die Bank übertragen wird. Stimmt dieser mit dem dort hinterlegten überein, ist der Loginvorgang erfolgreich.

     Würde ich bei Sorofortüberweisung.de eine Zahlung tätigen, würde ich meine PIN im Klartext übermitteln. Sie wäre dann bei jemandem (Dem Zahlungsdienstleister) gespeichert.

     Im Übrigen erkenne ich den Mehrwert nicht wirklich. Was soll so konfortabel an einem Bezahldienst sein, dass es mir wert wäre, meine PIN einem Dritten zu übermitteln?

110. Mellow meint: (31.5.2010 um 13:40) Antworten

     @Abmahner:

     Das mag durchaus sein. Ich finde nur den Hinweis lustig, dass die Postbank dies nur aus wirtschaftlichem Eigeninteresse tut. Schliesslich weist sie den Kunden den Weg, etwas ähnliches zu erreichen über die Alternative "Giropay", welche keine Weitergabe an dritte Personen darstellt.

     Auf die Aussage, dass SÜ keine "dritte Person" sei, geh ich jetzt mal nicht ein, weil ich diese Aussage lächerlich finde. Nur weil ich selbst finde, dass ich was nicht bin, bin ich es auch nicht? witzig :)

     Ich hab mir mal die AGB von ein paar Banken angesehen: alle haben das drin, und das auch mit Recht. Als der Kunde noch an den Schalter ging wusste man, wen man vor sich hatte. In kleinen Zweigstellen brauchte es da nicthmal der Prüfung der Unterschrift. Im Internet Bedarf es gesonderten Zugängen für jede Person um die erforderliche Transparenz zu gewährleisten.

     Beispiel:
     Eine Firma, 5 Personen und ein Zugang. Alle 5 arbeiten mit diesem Zugang. Wenn jetzt eine Person der Ansicht ist, dass sích ein paar Tauscend EUR auf seinem schweizer Konto ganz gut machen würden, wie soll die Bank rausfinden wer der Übeltäter ist? Für die Bank ist es dann natürlich der Inhaber des Zugangs.
     Genauso wäre es hier. Ich gehe mal nicht davon aus, dass SÜ so dumm wäre, direkt Transaktionen auszuführen, aber wenn ich aus den Umsätzen lesen kann, dass jemand sehr viele Technologieartikel kauft, was wäre denn naheliegender, als ihn mit Werbung zu bombardieren, die in diese Richtung geht? Kein Mensch würde doch mitkriegen, dass der Grund hierfür die Informationsweitergabe von SÜ wäre…..

111. Mellow meint: (31.5.2010 um 13:43) Antworten

     Ach ja zu diesem VErgleich mit dem Bezahldienst von der Telekom……Soweit ich in der Aussage der Postbank lese steht da nicht drin, dass vor SÜ zwar gewarnt wird, T-Pay aber empfohlen wird ;)

112. Einzelhandelsdetektiv meint: (31.5.2010 um 13:50) Antworten

     ich nutze Sofortüberweisungen circa schon gut 50 Mal. keinerlei Problem.

     - Man sollte aber paar dinge beachten:

     Ich bin bei der Sparda-Bank dort kann man Überweisungen einige Minuten wieder zurückholen.

     - Sofortüberweisung mit Pass und Tan ausführen.
     - Kontrolle der Überweisung (internet Banking)
     - Passwort ändern.

     Hab selber mal einen Vorgang von meiner Seite falsch ausgeführt. wollte 100 Euro auf meine Prepais-Kreditkarte überweisen, hab mich aber vertippt, und nach dem ausführen von Sofortüberweisung sofort alles gecancelt. Was auch ging. hatte das Geld sofort wieder. Nur das System von Sofortüberweisung hat paar Tage gebraucht um den Vorfall intern vor und zurück zubuchen. War paar ca. 4 Tage vom Dienst ausgeschlossen.

     Grüsse

113. legens meint: (31.5.2010 um 13:53) Antworten

     lurchi/21, diddeldum/101: Die EC-Karten-PIN, die man in Geldautomaten und EC-Terminals in Tankstellen und anderen Läden eingibt, ist was anderes als die Onlinebanking-PIN.

114. klarmi meint: (31.5.2010 um 14:05) Antworten

     @legens
     Richtig, die EC-PIN ist etwas anderes, denn mit der kann man WIRKLICH viel Schaden anrichten, der nur durch massiven Aufwand wieder erstattet wird (wenn überhaupt). Einfach so ein Gerät manipulieren (oder den GA, nennt sich Skimming) und Zack hat man die Infos auf dem Magnetstreifen und die PIN. Dann kann man richtig schön shoppen gehen und nicht "nur" wie bei der Online-PIN schauen was jemand auf dem Konto hat. Insofern gehe ich davon aus, dass die ganzen Kritiker keine EC-Karte haben, denn das RISIKO ist deutlich höher.

115. klarmi meint: (31.5.2010 um 14:09) Antworten

     @jotano: Wie kommst du zu der VERMUTUNG, dass SÜ deine Daten im Klartext übermittelt und diese dann auch noch speichert?

116. legens meint: (31.5.2010 um 14:13) Antworten

     @klarmi:

     jaja, "einfach" so ein versiegeltes Gerät manipulieren, "einfach" so einen GAA mit 'nem Skimmer ausstatten… get real.

     Mit der Online-PIN kann man mehr als nur kucken, was auf dem Konto ist, nämlich mehrere Monate an Kontobewegungen nachvollziehen – das ist IMO ein größerer Daten-GAU als Skimming, vor allem weil Skimming regelmäßig auffällt.

117. klarmi meint: (31.5.2010 um 14:25) Antworten

     @legens: Du hast schlicht keine Ahnung wie viel Skimming Fälle es gibt. Letztes Jahr warne 120.000 !! Kunden betroffen. (http://www.dradio.de/dlf/sendungen/umwelt/1190656/) Also … get real! Und beim Skimming kannst du ebenfalls "gucken" aber eben auch ordentlich abheben.

     Aber wieder die Frage: Wie kommst du zu der VERMUTUNG, dass SÜ deine Daten speichert?

118. Mellow meint: (31.5.2010 um 14:49) Antworten

     @klarmi:

     nunja klarmi. Denk den Vorgang doch mal durch:
     Du übermittelst die PIN an SÜ, und zwar im Klartext (der Hashwert bringt ja SÜ nichts). Somit muss die PIN, wenn auch nur kurzzeitig für den Übergang vom einen ins andere System, gespeichert sein.
     Im Prinzip ist das aber doch schon Schritt 2. Das was wir hier diskutieren ist, ob es anzuraten ist, die PIN überhaupt zu übermitteln.

119. legens meint: (31.5.2010 um 14:50) Antworten

     @klarmi: Du musst da was verwechseln, eine solche Vermutung habe ich nie geäußert.

120. Mellow meint: (31.5.2010 um 14:53) Antworten

     jop. das war jotano oben

121. mark2 meint: (31.5.2010 um 15:01) Antworten

     @klarmi: Der Unterschied ist aber das bei EC/Kreditkarte Gebühren anfallen, beim Onlinebanking meistens nicht. Und mit den Gebühren kann die Bank dann auch den Ausfall durch eine Versicherung absichern.

122. klarmi meint: (31.5.2010 um 15:02) Antworten

     @Mellow: Natürlich muss man mit der PIN vorsichtig sein. Ganz klar. Es ist wie schon mehrfach gesagt eine Risikoabwägung. Es ist für mich nur nicht nachzuvollziehen, wieso man der Bankingsoftware seinen PIN & TAN bedenkenlos anvertraut (ein Drittanbieter und somit verstösst man ja auch gegen die AGBs lt. Postbank), aber dem Drittanbieter T-Online mit etra nicht. (Wobei man denen ggf. als Provider sowieso alles!!! anvertraut, was übers Internet geht.) Von den ganzen trojaner verseuchten PCs will ich garnicht erst sprechen. Ausserdem kein grosses Sicherheitstamtam kommt, bei der EC-Karten-PIN kommt die VIEL anfälliger ist (siehe 120.000 Fälle oben, gegen 0 Fälle bei ETRA/SÜ) und da auch noch wirklicher Schaden entsteht, da jemand Geld abheben kann. Es wird schlicht mit zweierlei Mass gemessen. Von daher ist die Hysterie für mich ziemlich übertrieben. Wenn jemand tatsächlich konsequent ist und komplett auf die "neumodischen" Möglichkeiten verzichtet (Kreditkarte/EC-Karte/Homebanking/etc.) dann okay und den Standpunkt könnte ich auch verstehen, aber so sehe ich nur Panikmache.

123. jotano meint: (31.5.2010 um 15:05) Antworten

     Wenn ich ein Datum an jemanden übermittle, gehe ich auch davon aus, dass er es speichert, zumindest zum Zwecke der Datenverarbeitung (Weiterleitung an die Bank zwecks Login usw.).
     Damit hat der Kunde jedoch sein Passwort einer dritten Person gegeben und damit keinen Einfluss mehr darauf, wo und wie das eventuell persistiert wird.
     Es kommt nicht darauf an, ob die es tatsächlich bei sich persistieren – sondern es geht darum, dass der Kunde genau das nicht weiß.
     Aus meiner Berufserfahrung in der IT-Branche weiß ich: Was technisch geht, wird auch gemacht.
     Was man machen könnte wäre – nach der Transaktion das Passwort ändern – aber dann kann man die ganze Transaktion auch gleich selbst ausführen.

124. f.f. meint: (31.5.2010 um 15:05) Antworten

     Zierke ist unzuverlässig. Er sollte zurücktreten.

     Polizeiliche Kriminalstatistik 2009
     Zugenommen hat der Betrug mittels rechtswidrig erlangter Daten von Zahlungskarten auf
     17.072 Fälle (+68,6 Prozent). (Skimming).
     http://www.bka.de/pks/pks2009/download/pks2009_imk_kurzbericht.pdf

125. RCB meint: (31.5.2010 um 15:53) Antworten

     Kurzer Hinweis nebenbei für alle, denen es nicht bewusst ist: Onlinebanking-PINs kann man i.d.R. problemlos und schnell online ändern – kostet nur eine TAN und wirkt sofort.

     Regelmäßiges Ändern der Online-PIN ist auch ohne Nutzung von SU u.ä. keine schlechte Idee …

     Außerdem, ich hatte es selber fast verdrängt – Postbank, da war doch was … achja: http://www.lawblog.de/index.php/archives/2009/11/16/postbank-mit-ansatzen-zur-selbstkritik/ Da mahnen ja die Richtigen zur Sorgfalt.

126. Mellow meint: (31.5.2010 um 15:59) Antworten

     @klarmi:

     Also Klarmi,

     Wenn du z.B. SFirm als Zahlungsverkehrs-Software benutzt, dann ist das von den Sparkassen. Profi cash, VR-Networld u.ä. ist von den Genossenschaftsbanken, usw.
     Es gibt genügend sehr fähige Softwareprogramme, welche auch direkt von den Banken programmiert und gepflegt werden.

     Zudem: Weit unter 10% der Onlinebanking-Kunden in Deutschland arbeiten mit einer Software, und dann auch noch mit zig verschiedenen Programmen. Wäre ich einer, der Onlinebanking Kunden was Böses will…..ich würde auf die 90% losgehen, die Onlinebanking über nen Browser und PIN/TAN machen.

127. klarmi meint: (31.5.2010 um 16:06) Antworten

     @Mellow: Aendert aber nichts daran das lt. der Postbanktheorie ein (grosser) Anbieter wie Starfinanz mit Starmoney gegen deren AGBs verstösst. Insofern bleibt das AGB-Argument hanebüchend – egal wie man es dreht oder wendet.

128. Mellow meint: (31.5.2010 um 16:50) Antworten

     @klarmi:

     Das ist so nicht ganz wahr klarmi. Du gibts ja in diesem Fall deine Daten nicht an Starfinanz, sondern du hinterlegst sie nur in der Software.
     Das wäre ja als wenn du sagen würdest, dass du eine, in einer Word-Datei gespeicherte, Telefonnummer damit gleichzeitig an Microsoft geben würdest.

     Der Dialog, den diese Software dann aufbaut läuft direkt zur Bank und nicht über einen Server von Starfinanz. Es gibt aber (leider) auch Sofwtare, wo der Verbindungsaufbau so weit ich weiss über Server des HErstellers gehen. Ich glaube bei WISO is das so.

129. mark2 meint: (31.5.2010 um 17:30) Antworten

     @Mellow: An klarmis Argumentation ist aber schon was dran. Die AGB geben ja eigentlich nicht her, ob man jetzt nen Browser auf dem eigenen Rechner nimmt. Oder sich verschlüßelt auf einen Server eines Bezahldiensteanbieters einwählt und deren "Browser" benutzt. Die könnten ja sogar Firefox als Remotegesteuerten Browser anbieten. Dann wäre nur noch die Argumentation das die Hardware einem ja nicht gehört. Aber dann müßten Überweisungen aus Internetcafes heraus ja auch "illegal" sein.

     Allerdings muß jeder selber wissen ob er das Risiko eingehen will.

130. Dexter meint: (31.5.2010 um 19:09) Antworten

     Man muss sich ernsthaft fragen, wo "klarmi" das Gehirn gewaschen wurde. Die Verfechter dieser SÜ-Grütze folgen alle exakt dem gleichen Argumentationsschema. Ist eine Vertrauensfrage, PIN/TAN auch in Bankingprogramme, Paypal wird doch auch vertraut … blah … blah.

     Dabei ist es doch ganz einfach: Die Weitergabe der PIN/TAN ist (ganz klar!) ein Vertragsbruch. Fertig. Und das unabhängig davon, ob ich diesem windigen Zahlungsanbietern traue, oder nicht.

     BTW: Diese Sofortüberweisungstypen haben in den letzten paar Jahren einen enormen PR-Aufwand getrieben, Shopbetreiber für ihr System zu gewinnen. Ich kenne keinen anderen Dienstleistungsanbieter, der ähnlich penetrant geworben hat. Sehr hartnäckig diese Firma. Aber wohl mit Erfolg. Die handeln anscheinend nach der Maxime: Wenn wir einmal im Markt etabliert sind, dann sind wir nicht mehr wegzubekommen. Halt Tatsachen schaffen …

     Und "klarmi" hat da mit Sicherheit die ein oder andere "Schulung" abbekommen (falls er nicht gleich für deren PR-Abteilung im Netz unterwegs ist …)

131. Sonstwer meint: (31.5.2010 um 21:08) Antworten

     @diddeldum: Die Zahlterminals im Supermarkt funktionieren völlig anders. Deine PIN verlässt bei diesen Geräten niemals das Terminal, die Prüfung erfolgt anhand von Kontonummer und Schlüsselkomponenten, die die Bank übermittelt im Terminal, das dann gegenüber der Kasse die Zahlung als erfolgt bestätigt. Die Terminals sind auch keine Peripheriegeräte der Kasse sondern kommunizieren selbstständig über das Zahlungsunternehmen mit der Bank.

     Desdewesche, wie der Hesse sagt, sind diese Dinger vergleichsweise sicher.

132. Ben meint: (31.5.2010 um 22:28) Antworten

     Ich weiß nicht, wie oft es schon geschrieben wurde, aber: Fast keine (oder sogar gar keine) Bank erlaubt es, PIN und TAN(s) an Dritte zu geben. Das sind auch Webseiten. Punkt. Nix uneigennützig und so. Vollkommen richtig. Weg mit Sofortüberweisung.de, her mit Giropay. Auf mehr Institute ausgeweitet.

133. Christian meint: (1.6.2010 um 01:26) Antworten

     Wer es noch nicht gemerkt hat: Karmi wurde nicht nur von SÜ beeinflusst, er arbeitet dort. Das exakt gleiche Muster an Sockenpuppen fand sich auch neulich bei Golem, als es um SÜ ging.

     Ich würde sagen: in jedem Forum oder Blog, wo es um SÜ geht, kommen exakt die gleichen Argumente von diesen Leuten wie in 10.

     Würde lawblog jetzt die IPs speichern und loggen, könnte man da sicher etwas netten entdecken…

134. Dirk B. meint: (1.6.2010 um 08:49) Antworten

     @klarmi (Post 121): Wieso vertraue ich dem Provider beim Online-Banking alles (also auch meine Pin) an? Würde mich jetzt überraschen, wenn die https knacken könnten. Deine Aussage zeigt nur, dass du von der technischen Seite sehr wenig Ahnung hast und daher hier sehr ruhig sein solltest.

     Oder wie "Christian" vermutet: Du bist SÜ.

135. Ali meint: (1.6.2010 um 09:28) Antworten

     @fh: Ein Monsterthread ist aber nicht komplett ohne eine Anspielung auf Hitler/Nazis/[Platzhalter für irgendwas]-Keule… xD

136. Ali meint: (1.6.2010 um 09:33) Antworten

     @hiro: Es gibt nicht wenige Kunden, die wider besseres Wissen unbegrenzte Beträge eingestellt haben.

137. Mellow meint: (1.6.2010 um 10:08) Antworten

     @mark2:

     Nein Mark2, das find ich nicht.

     Zitat klarmi:
     Aendert aber nichts daran das lt. der Postbanktheorie ein (grosser) Anbieter wie Starfinanz mit Starmoney gegen deren AGBs verstösst. Insofern bleibt das AGB-Argument hanebüchend – egal wie man es dreht oder wendet.

     Starfinanz verstösst deswegen nicht gegen die AGB, weil man Daten wie PIN nicht Starfinanz anvertraut (und damit dritten Personen), sondern Sie nur in einem von Starfinanz programmierten Programm auf der eigenen Festplatte speichert.
     Hier verweise ich auch auf mein Microsoft Beispiel von oben.

     Also: keine dritte Person im Spiel und damit auch kein agieren gegen die unterschriebenen AGB der Banken.

138. klarmi meint: (1.6.2010 um 16:37) Antworten

     @Mellow: Man vertraut bei ETRA die Daten auch nicht T-online an, sonderm dem von T-online progammierten Programm. Selbe Argumentation. Den einzigen Unterschied den du machst ist, dass einmal die Daten lokal auf der Festplatte gespeichert sind auf der anderen Seite T-online die Daten temporär zwischenspeichert (im Cache?!) und weiterreicht (und eben nicht permanent speichert). Wie gesagt halte ich persönlich eine Bankingsoftware auf dem PC bei den meisten PC-User für deutlich sicherheitskritischer als ETRA, da dort tatsächlich der PIN (und sogar die Möglichkeit alle TANs!) zu speichern gegeben wird. Und wir wissen ja alle wie ein 0815-Privat-PC verseucht ist.

     Christian/Dexter/Dirk B. ihr seid cool ;) Passt aber sogar zum Thema Paranoia … wer überall Gespenster und PR-Agenten sieht der vertraut natürlich keinem seine PIN/TAN (mein Schaaatz) nicht, mal seiner Bank, wa *lach*
     Ich schliesse mich daher lurchs Post 71 an.

139. klarmi meint: (1.6.2010 um 16:47) Antworten

     @Mellow: Und noch eine Frage. Ich hab mir meine PIN in ein Textfile geschrieben und meine TAN-Liste eingescannt. Das dann in ein Truecrypt-container gepackt mit 30stelligen Passwort, dazu noch ein key. Das TC-file hab ich dann auf meinen FTP bei Provider 1&1 gelegt, so dass ich immer an meine TAN-Liste rankomme, egal wo ich auf der Welt gerade bin.
     Quizfrage: Verstosse ich gegen die AGBs? Nach deiner Argumentation ja – denn die Daten habe ich ja Dritten anvertraut, nämlich 1&1 (ob verschlüsselt oder unverschlüsselt spielt ja keine Rolle).

140. noamik meint: (1.6.2010 um 20:49) Antworten

     @klarmi: Aber selbstverständlich kann ich sehen, wohin das Onlinebankingprogramm eine Netzwerkverbindung aufbaut und ich kann auch steuern, wohin es ausschließlich verbinden darf. Prinzipiell hast du aber recht, Otto-Normalbürger kann das nicht, allerdings kann das Programm auch nicht ahnen, wann es mit Otto-Normalbürger und wann es mit jemanden mit mehr Ahnung zu tun hat, so dass Betrug hier schnell auffliegen würde.

141. Joe meint: (1.6.2010 um 23:02) Antworten

     Was ist denn das für ein Wusche-Wusche von der Postbank? "Sollte Ihnen bei missbräuchlicher Verwendung Ihrer PIN und TAN ein Schaden entstehen, haften Sie selbst."

     Sobald dem Finanzinstitut eine Kompromittierung der Zugangsdaten bekannt wird (das heißt ein Zugriff von sofortueberweisung und Co. erfolgt), hat folgendes zu passieren:

     - Nichtausführung der mißbräuchlichen Transaktionen
     - Sofortsperre des mißbrauchten Online-Banking-Zugangs
     - Sperre der zugehörigen TAN-Liste
     - Zusendung neuer Zugangsdaten an den Kunden auf dem Postweg (neue PIN, neue TAN-Liste)
     - Inrechnungsstellung eines angemessenen Betrages dafür (Vorschlag: 15,00 EUR)
     - Bei Wiederholung Kontokündigung wegen Geldwäsche

     Aber an echtem Schutz vor Mißbrauch sind die Bankster kein bißchen interessiert, wie man an den EC-Karten sieht…

142. clearme meint: (1.6.2010 um 23:11) Antworten

     klarmi: Völliger Schwachsinn. Sichere verschlüsselung z.B. per AES ist in etwa so, als würde man die Daten ausdrucken, das Papier aufessen und den Kot im Klo herunterspülen. Das Klärwerk kommt bestenfalls an das Papier, aber nicht an die Daten.

     Übrigens werden PIN und TAN sogar völlig unverschlüsselt durch die Banken per Post verschickt. Außerdem würden die Banken wohl kaum Online-Banking per WWW anbieten, wenn das gegen ihre eigenen AGB verstöße.

     Es heißt übrigens immer noch AGB. Das ist schon der Plural. Wieso benutzen so wenige Leute ihr Hirn? Hilft das gegen Global Warming?

143. Mellow meint: (2.6.2010 um 15:09) Antworten

     @Joe:

     Hallo Joe,

     ich gebe Dir vollkommen Recht. Das was du fett geschrieben hast wäre m.E. das Beste Vorgehen.

     Aber….ich zitiere mal aus den Sonderbedingungen fürs Onlinebanking einer Bank:

     Sorgfaltspflichten des Teilnehmers [...] sein Authentifizierungsinstrument vor dem Zugriff anderer Personen sicher zu verwahren [...]

     Das heisst es ist kein Verbot der Banken, sondern fällt unter die Sorgfaltspflicht des Users.
     Sollte man dieser Pflicht nicht nachkommen, ist die Konsequenz dann auch in diesen Sonderbedingungen geregelt, und zwar i.d.R. mit einem Haftungsausschluss. So 100%-ig glaub ich kann die Bank das auch nicht nachvollziehen, wenn man es jetzt nicht nur auf die IP-Adressen von SÜ bezieht (gibt ja noch mehr).
     Als man als Kunde noch an den Schalter ging war es klar, dass wenn ein Mann mit Jaqueline Obermaier unterschrieben hat da swas nciht stimmt (wobei hier die Kunden denk ich auch oft noch persönlich bekannt waren). Wenn aber heute eine elektronische Überweiung bei der Bank ankommt bleibt ja nichts anderes, als darauf zu vetrauen, dass der Zugang auch von derselben Person genutzt wurde.

     @klarmi: Zu deinen Ausführungen nehm ich mal keine Stellung mehr. Ich schätze dich als intelligent genug ein, dass du weisst was ich meine……willst nur immer weiter ins Detail um einfach Recht zu haben ;)

144. Dennis meint: (10.6.2010 um 10:00) Antworten

     Voraussetzung für eine Einsichtnahme auf das Bankkonti des Kunden wäre, dass die PIN und TAN Nummer gespeichert wird. Gerade das ist eben nicht der Fall, siehe https://www.payment-network.com/sue_de/kaeuferbereich/sicherheit. Ferner springt sofortüberweisung im Falle eines Schadens mit 5.000 EUR ein.

Kommentar schreiben