Diskussionsforum
  • 13.10.2014 10:20
    fanlog schreibt

    Sofortüberweisung - ein legaler Trojaner?

    Hallo,
    auch die Bahn bietet die Sofortüberweisung an. Man gibt die PIN(!) und die TAN an und im Hintergrund läuft der Service. Die meisten Banken haben das Verbot der Weitergabe inzwischen angeblich gestrichen, trotzdem werde ich doch nicht meine PIN rausrücken, dann können die ja meine ganzen Kontobewegungen einsehen.
    Trotzdem scheint es genügend Kunden zu geben. Leider hat die Bahn das Lastschriftverfahren deutlich erschwert (elektronischer Ausweis oder PIN zuschicken).
  • 13.10.2014 18:05
    mikiscom antwortet auf fanlog
    Benutzer fanlog schrieb:
    > Hallo,
    >
    auch die Bahn bietet die Sofortüberweisung an. Man gibt die
    >
    PIN(!) und die TAN an und im Hintergrund läuft der Service. Die
    >
    meisten Banken haben das Verbot der Weitergabe inzwischen
    >
    angeblich gestrichen, trotzdem werde ich doch nicht meine PIN
    >
    rausrücken, dann können die ja meine ganzen Kontobewegungen
    >
    einsehen.

    Das mit dem legalen Trojaner ist eine gute Beschreibung. Hab da früher in den AGBs mal sowas gefunden wie der Händler darf das Verfahren nicht schlecht / unsicher reden. Na warum wohl? Jetzt zeigen die auf ihrer Homepage gar keine AGBs mehr für die Öffentlichkeit. Die kommt dann wohl erst bei Vertragsabschluss mit einem Händler.
  • 14.10.2014 10:12
    SOFORT AG antwortet auf mikiscom
    Benutzer mikiscom schrieb:
    > Benutzer fanlog schrieb:
    > > Hallo,
    > >
    auch die Bahn bietet die Sofortüberweisung an. Man gibt die
    > >
    PIN(!) und die TAN an und im Hintergrund läuft der Service. Die
    > >
    meisten Banken haben das Verbot der Weitergabe inzwischen
    > >
    angeblich gestrichen, trotzdem werde ich doch nicht meine PIN
    > >
    rausrücken, dann können die ja meine ganzen Kontobewegungen
    > >
    einsehen.
    >
    > Das mit dem legalen Trojaner ist eine gute Beschreibung. Hab da
    >
    früher in den AGBs mal sowas gefunden wie der Händler darf das
    >
    Verfahren nicht schlecht / unsicher reden. Na warum wohl? Jetzt
    >
    zeigen die auf ihrer Homepage gar keine AGBs mehr für die
    >
    Öffentlichkeit. Die kommt dann wohl erst bei Vertragsabschluss
    >
    mit einem Händler.


    Hallo,

    als Mitarbeiterin der SOFORT AG möchte ich Stefanie Milcke auf Ihre Bedenken eingehen.

    Richtig: Die Bahn, und übrigens auch mehr als 30.000 andere Online Händler, bietet SOFORT Überweisung an. Unsere Partner vertrauen auf unser Zahlverfahren, welches durch das Zwei-Schritt-Authentifizierungsverfahren und der einmaligen Verwendbarkeit der TAN hohe Sicherheitsansprüche erfüllt.

    Wenn Sie mit SOFORT Überweisung bezahlen, beauftragen Sie uns automatisiert mit unserer Software zu prüfen, ob Ihr Konto den zu überweisenden Betrag abdeckt (Kontodeckungsprüfung) und sofern Sie in den letzten 30 Tagen mit SOFORT Überweisung gezahlt haben ob vorausgegangene SOFORT Überweisungen im Konto verbucht wurden oder nicht. Hierbei wird nur das für die SOFORT Überweisung gewählte Konto in diese Prüfung miteinbezogen.

    Ihre Online-Banking Zugangsdaten und TAN werden von uns selbstverständlich nicht gespeichert und sind auch zu keinem Zeitpunkt von den Mitarbeitern der SOFORT AG oder von außen einsehbar.

    Falls Sie hierzu mehr Infos wünschen, melden Sie sich gerne direkt bei uns.


    Viele Grüße
    S. Milcke

  • 16.10.2014 16:01
    einmal geändert am 16.10.2014 16:06
    Christian_Wien antwortet auf SOFORT AG
    Benutzer SOFORT AG schrieb:
    > Benutzer mikiscom schrieb:
    > > Benutzer fanlog schrieb:
    > > > Hallo,
    > > >
    auch die Bahn bietet die Sofortüberweisung an. Man gibt die
    > > >
    PIN(!) und die TAN an und im Hintergrund läuft der Service. Die
    > > >
    meisten Banken haben das Verbot der Weitergabe inzwischen
    > > >
    angeblich gestrichen, trotzdem werde ich doch nicht meine PIN
    > > >
    rausrücken, dann können die ja meine ganzen Kontobewegungen
    > > >
    einsehen.
    > >
    > > Das mit dem legalen Trojaner ist eine gute Beschreibung. ...

    >
    > Hallo,
    >
    > als Mitarbeiterin der SOFORT AG möchte ich Stefanie Milcke
    >
    auf Ihre Bedenken eingehen.
    >
    > ... Unsere Partner
    > vertrauen auf unser Zahlverfahren, welches durch das
    >
    Zwei-Schritt-Authentifizierungsverfahren und der einmaligen
    >
    Verwendbarkeit der TAN hohe Sicherheitsansprüche erfüllt.
    >
    > Wenn Sie mit SOFORT Überweisung bezahlen, beauftragen Sie uns
    >
    automatisiert mit unserer Software zu prüfen, ob Ihr Konto den
    >
    zu überweisenden Betrag abdeckt (Kontodeckungsprüfung) und
    >
    sofern Sie in den letzten 30 Tagen mit SOFORT Überweisung
    >
    gezahlt haben ob vorausgegangene SOFORT Überweisungen im Konto
    >
    verbucht wurden oder nicht. Hierbei wird nur das für die SOFORT
    >
    Überweisung gewählte Konto in diese Prüfung miteinbezogen.
    >
    > Ihre Online-Banking Zugangsdaten und TAN werden von uns
    >
    selbstverständlich nicht gespeichert und sind auch zu keinem
    >
    Zeitpunkt von den Mitarbeitern der SOFORT AG oder von außen
    >
    einsehbar.
    >
    > Falls Sie hierzu mehr Infos wünschen, melden Sie sich gerne
    >
    direkt bei uns.
    >
    >
    > Viele Grüße
    > S. Milcke
    >


    Ich sehe die Funktionsweise des Zahlungsdienstes "Sofortüberweisung" ebenfalls sehr kritisch und bedenklich.

    Schließlich baut der Dienst darauf, mit den Logindaten des Kunden und einer angeforderten TAN im Hintergrund eine beliebige Überweisung im Namen des Kunden durchführen zu können.
    Falls der Kunde kein mTAN bzw. Chip-TAN Verfahren nutzt, wo der Überweisungsbetrag mit angezeigt wird, beauftragt er mit der TAN quasi eine Blanko-Überweisung.

    Die AGB der Banken verbieten üblicherweise die Eingabe der persönlichen Logindaten auf einem anderen als dem Onlinebanking-System der Bank.
    Nur die DKB ist meines Wissens nach eine offizielle Kooperation mit "Sofortüberweisung" eingegangen und erlaubt daher ihren Kunden offziell die Nutzung dieses Dienstes.

    Unabhängig von den AGB gibt es aber weitere Problembereiche:

    So wurde in der PC-Welt über einen vom NDR durchgeführten Test berichtet, wo die Kontozugriffe des Zahlungsdienstes detailliert geloggt wurden.
    Dabei wurde festgestellt, daß dabei alle im Onlinebanking verfügbaren Konten (und somit z.B. auch Spar- und Anlagekonten) analysiert worden sind.

    Details zu diesem Test können unter http://www.pcwelt.de/news/Datenschuetzer-alarmiert-Sofortueberweisung-de-spaeht-Kontodaten-aus-1928829.html nachgelesen werden.

    Da die Logindaten von den Kunden auf Servern von "Sofortüberweisung" eingegeben werden, besteht zumindest die theoretische Möglichkeit, die Kontobewegungen von Kunden auch später erneut zu analysieren - wenn dieser sein Zugangspaßwort nicht zwischenzeitlich ändert.
    Eine etwaige Speicherung der durchgeführten Kontoanalysen wäre theoretisch ebenfalls nicht denkunmöglich.


    Aus diesen Gründen habe ich bisher die Nutzung von "Sofortüberweisung" abgelehnt; schließlich gibt es auch genügend andere, weniger bedenkliche Zahlungsverfahren.

    Außerdem kann ich nicht nachvollziehen, warum man mit dem Dienst "Sofortüberweisung" das Rad quasi neu erfindet:
    Für eine dem Händler garantierte Überweisung gibt es schon lange giropay bzw.
    eps, wobei der Händler eine komplett vorbereitete Überweisung über die offiziellen Bankenschnittstellen direkt ins Onlinebanking des Kunden übermittelt.
    Hier wird der Kunde auf die Onlinebanking-Plattform seiner Bank geleitet und bekommt nach dem Login genau die eine komplett vorbereitete Überweisung samt Empfängerdaten und Zahlungsbetrag angezeigt, welche er dann mit einem TAN freigeben kann und danach sofort wieder zum Händler zurückgeleitet wird und dort die dem Händler gegebene Zahlungsbestätigung sehen kann.