Giropay vs. Sofortüberweisung – Interview mit SÜ-Vorstand Dr. Lütcke
Im Folgenden nimmt Herr Dr. Lütcke Stellung zu den Vorwürfen seitens giropay und beantwortet die wichtigsten Fragen in Zusammenhang mit Datenschutz und Sicherheit des Bezahldienstes.
eCommerce Lounge: Was wirft Ihnen giropay im Detail vor?
Dr. Jens Lütcke: Die Giropay GmbH hat Klage gegen die Payment Network AG wegen unlauteren Wettbewerbs eingereicht. Giropay wirf der Payment Network AG im Ergebnis vor, dass diese durch ihr bankenunabhängiges System einen monetären Wettbewerbsvorteil habe. Wir sehen der Klage von Giropay aber gelassen entgegen. Ein profitableres und erfolgreicheres Geschäftsmodell als unlauteren Wettbewerb darzustellen, zeigt, dass Giropay nun auf juristischem Wege versucht, sich am Markt zu etablieren. Dieser Versuch wird aber nicht gelingen. sofortüberweisung.de und Giropay basieren zwar beide auf Online-Banking. Jedoch agiert die Payment Network mit sofortüberweisung.de bankenunabhängig. Dies bedeutet, dass in Deutschland Endverbraucher mit Online-Banking von fast allen Banken mit sofortüberweisung.de bezahlen können. Gerade diese hohe Abdeckung ist, neben den niedrigen Transaktionskosten, der Vermeidung von Forderungsausfällen und der Internationalität, das stärkste Argument für Händler sofortüberweisung.de in ihren Shop zu integrieren, um so dem Endverbraucher ein einfaches, sicheres und schnelles Online-Payment-System anzubieten.
Was geschieht bei sofortüberweisung.de mit den PIN und dem TAN nach der Weitergabe durch den Kunden?
Dr. Jens Lütcke: Während des Überweisungsvorgangs sind sämtliche sensible Daten verschlüsselt. Die Kommunikation zwischen Kunde, unseren Servern und der Bank entspricht banküblichen, bis zu AES-256-Bit starken Verschlüsselungsstandards (SSL). PIN und TAN Daten werden nicht gespeichert. Mitarbeiter haben keinen Zugriff auf diese Daten und können diese auch nicht auslesen.
Rein theoretisch könnte sofortüberweisung.de auch weitere Daten der Kontoinhaber abrufen? Für viele ein Grund zur Sorge…
Dr. Jens Lütcke: Datenschutz und Datensicherheit sind die Basis unseres Geschäftsmodells. Im Gegensatz zu E-Wallets eröffnen wir keinen Account und speichern damit das Kaufverhalten eines Kunden ab. Was wir machen legen wir im Rahmen des Überweisungsvorgangs offen. Angesichts der technischen Ausgestaltung muss kein Kunde Angst um seine Daten haben. Erst Recht muss kein Kunde Angst haben, es würde irgendwelche Daten von ihm für andere Zwecke verwendet. Außerdem überprüft der TÜV Saarland regelmäßig unsere Systeme auf den Datenschutz.
Welche Maßnahmen ergreifen Sie, um hier Zweifel aus dem Weg zu räumen?
Dr. Jens Lütcke: Wir investieren sehr viel Geld in die Sicherheit unserer Systeme, forschen und entwickeln auch weiter neue Produkte, um Händlern und deren Endkunden neben sofortüberweisung.de weitere Optionen anzubieten, Betrugsrisiken in deren Onlinegeschäft zu minimieren. Die Systeme der Payment Network werden regelmäßig durch den TÜV Saarland und die Sicherheitsfirma Cirosec überprüft. Über sofortüberweisung.de wurden bereits mehrere Millionen Transaktionen getätigt, ohne dass ein Endkunde durch PIN- und TAN-Missbrauch zu Schaden gekommen wäre. Vergleicht man dies mit anderen Zahlungssystemen wie Kreditkarte oder e-Wallets wird die überlegene Sicherheit deutlich. Gerade die Berichte über die Sicherheitslücken bei traditionellen Zahlungssystemen wie Kreditkarten haben in den letzten Monaten sofortüberweisung.de neue Nutzer zugeführt. Der Handel braucht ein sicheres, günstiges und internationales Zahlungssystem. sofortüberweisung.de befriedigt dieses Bedürfnis.
Viele Banken untersagen die Weitergabe sensibler Legitimationsdaten an Dritte, was raten Sie Ihren Kunden in diesem Fall?
Dr. Jens Lütcke: Wir verstoßen nicht gegen die AGB der Kreditinstitute. Die Payment Network AG ist nichts anderes als ein Briefträger, der einen Brief mit PIN- und TAN- Daten übermittelt. Der Kunde gibt seine PIN und TAN nicht an uns bekannt, sondern wir leiten diese verschlüsselt an sein Kreditinstitut weiter („Tunnellösung“). Wir sind kein Dritter im Sinne der AGB-rechtlichen Regelungen. Dies ist übrigens auch die Rechtsauffassung der Deutschen Telekom, die seit 2002 das System Online-Überweisung (t-pay) betreibt, das ebenfalls bankenunabhängig ist und im Wesentlichen wie unser System funktioniert.
Auch andere Zahlungssysteme (z.B. ec-Karte, POS-System oder Kreditkarte) wären gar nicht mehr möglich, wenn man ein solch enges Verständnis eines Dritten vertreten würde. Eine solche Auffassung wäre auch technisch antiquiert und würde den heutigen modernen Kommunikationssystemen nicht gerecht. Auch andere Produkte (wie z.B. Quicken von Microsoft oder StarMoney, die sogar von den meisten Banken empfohlen werden) hätten ein Problem, wenn man uns als Dritten ansehen würde. Auch die Banken gehen ganz offensichtlich selbst davon aus, dass ein technischer Mittler nicht als Dritter angesehen werden kann. So übermitteln viele Banken inzwischen die TAN als mobile TAN über Mobilfunkanbieter.
Welche Sicherheit bietet Ihr Unternehmen den Nutzern im Schadensfall?
Dr. Jens Lütcke: Es haben bereits viele Millionen Kunden mit sofortüberweisung.de bezahlt. Es ist zu keinem einzigen Fall gekommen, in dem ein Endverbrauchern durch PIN und TAN- Missbrauch geschädigt worden wäre. Statistisch und faktisch gesehen, gehört sofortüberweisung.de so zu den sichersten Bezahlverfahren im Internet.
Der wichtigste Merkmal für die hohe Sicherheit von sofortüberweisung.de, ist unserer Meinung nach, die Sicherheitsmerkmale der Online-Banking-Systeme selbst: Insbesondere die Transaktionsnummer (TAN) bietet gegenüber anderen Online-Payment- Systemen wie Kreditkarten oder eWallets einen besonderen Schutz vor Missbrauch. Denn die TAN wird durch zwei entscheidende Merkmale charakterisiert:
(a) Die TAN ist nur offline auf Papier, einem Gerät (TAN-Generator) oder einem mobilen Endgerät verfügbar. Damit kann die TAN generell nicht durch einen Angriff auf den Kunden-Rechner erlangt werden – im Gegensatz etwa zu Kreditkartendaten und Passwörter.
(b) Die TAN ist jeweils nur ein einziges Mal einsetzbar und wird beim Einsatz sofort entwertet. Somit könnte selbst dann kein Missbrauch betrieben werden, wenn eine TAN durch unbefugte Dritte gespeichert werden würde.
Auch schützt sofortüberweisung.de vor den üblichen Manipulationsversuchen, die über Schadprogramme auf den Endkundenrechner gesteuert werden. Von unseren Servern aus wird der Betrag und Betreff in das Online-Banking des Endkunden eingestellt. Eine Manipulation durch eine auf dem Endkundenrechner befindliche Schadsoftware ist daher nicht möglich. Die übermittelte TAN ist nur für die eingestellte Transaktion gültig.
Auch wenn es noch nie zu einem Schadensfall gekommen ist, verfügt die Payment Network AG vorsorglich über eine Versicherung, die in Höhe von bis EUR 5.000,– je Schadensfall bei PIN- und TAN-Missbrauch (zu Lasten eines Endkunden, der seine PIN und TAN über unser System eingibt) die Payment Network AG gegen Haftungsfälle versichert. Hierdurch sollen der Endkunde sicher sein können, dass in dem unwahrscheinlichen Fall eines Schadens auch eine Rückdeckung für etwaige Haftungsansprüche gegen die Payment Network AG besteht.
Wird es in naher Zukunft Änderungen oder Verbesserungen an der genutzten Technik geben?
Dr. Jens Lütcke: Wir halten unser System für das derzeit beste und sicherste Online-Zahlungsmittel, das am Markt ist. Dennoch wäre es töricht gerade in einem so schnelllebigen Bereich wie dem Internet nicht an Weiterentwicklungen zu arbeiten. Wir haben einige Projekte in der Pipeline, mit denen wir Online-Händlern und Onlinenutzern das Einkaufen und Bezahlen im Internet noch angenehmer machen wollen. Details werden wir zum jeweiligen Zeitpunkt bekannt geben.
Zum 1.12.2009 ist in unserem Unternehmensverbund eine Bank dazugekommen. Wir werden in enger Zusammenarbeit mit dieser Bank demnächst weitere Produkte anbieten.
Herr Dr. Lütcke, wir danken Ihnen für das Gespräch.
ist Geschäftsführer der Agentur Conpark. Er beschäftigt sich vorrangig mit Trends aus dem Bereich eCommerce, Social Commerce, Social Media und Corporate Blogs. Als Mitherausgeber der eCommerce Lounge ist er zuständig für Presse- & Marketingangelegenheiten sowie der Betreuung des Autoren-Teams. Weitere Infos via XING, Twitter oder Google+.
Weiterlesen
-
13. Oktober 2010
Giropay vs. Sofortüberweisung – Wie g...
Als wir das erste Mal ausführlicher über den Online-Bazahldienst sofortüberweisung.de berichteten, verklagte Konkurrent...
-
10. Januar 2010
Giropay verklagt Sofortüberweisung.de
Der Onlinebezahldienst giropay macht Druck gegen seinen Mitbewerber Sofortüberweisung.de und reicht nun Klage...
-
9. März 2011
Giropay vs. Sofortüberweisung – Bunde...
Wie bereits im Oktober des vergangenen Jahres bekannt wurde, hat sich das Bundeskartellamt...
-
21. Januar 2010
Giropay vs. Sofortüberweisung – I...
Nach bekanntwerden rechtlicher Schritte seitens giropay gegen Mitbewerber Sofortüberweisung.de, wurden, neben diversen Gerüchten...
-
11. Januar 2012
Marktstudie zu Zahlungsgarantien beim Ka...
Der Rechnungskauf gehört zu den ältesten Zahlungsverfahren...
-
13. Oktober 2011
Umfrage: Bezahlen im Internet aus Anbiet...
Auf dem Markt für Online-Bezahlverfahren gab es...
-
1. August 2011
Rechnungskauf – nur für alte Leute? 5...
Das Thema Bezahlverfahren ist seit Jahren eines...
-
1. Juni 2011
Datenschutz: Sofortüberweisung.de in de...
Seit Anfang der Woche steht der Online-Bezahldienst...
-
»Founders at Work« Die Anfänge erfolgreicher IT-Startups – 33 Pioniere im Gespräch
mitp -
Prozess: giropay vs. sofortüberweisung.de/Bundeskartellamt nimmt Stellung: AGB der Banken kartellrechtswidrig
Payment Network AG -
Payment Network AG und EHI schließen Partnerschaft
Payment Network AG -
Personalie: Dirk Rudolf steigt bei der Payment Network AG zum CIO auf
Payment Network AG
#Giropay vs. #Sofortüberweisung.de. Interview mit SÜ-Vorstand Dr. Lütcke auf ecommerce-lounge.de: http://tinyurl.com/ycg843q
Interview mit sofortüberweisung.de-Vorstand Dr. Lütcke: http://bit.ly/895jr2 via @ecommercelounge
@PaymentNetwork Dass die PIN/TAN bei Ihnen unverschlüsselt ankommt vergessen? http://bit.ly/895jr2
Sofortüberweisung meldet sich zu Wort und labert eigentlich nur: http://www.ecommerce-lounge.de/giropay-sofortueberweisung-interview-429/
Das Interview bringt ja schoneinmal etwas mehr Licht ins Dunkle, für mich ist der Punkt der Weitergabe an Dritte noch nicht ganz klar.. Wie soll das denn definiert werden?? Ich kann meine Daten doch auch nicht dem angesprochenen Postboten geben und sagen er sei nur ein “Dienst”.
Bitte um Aufklärung.
VG,
Thiel
Lieber Herr Thiel,
wir möchten nur bildhaft verdeutlichen, dass wir eben kein Dritter sind, sondern ein technischer Mittler. Daten wie PIN und TAN sind für uns nicht einsehbar, sondern wir leiten diese verschlüsselt an das Kreditinstitut weiter. sofortüberweisung.de beschleunigt so den Vorgang des E-Commerces, da der Endverbaucher seine Ware in vielen Fällen schneller geliefert bekommt.
sofortüberweisung.de ist ein am Markt etabliertes System. Kürzlich veröffentlichte der ECC Handel in Kooperation mit der fiveforces GmbH die Ergebnisse einer Studie namens Der Internet-Zahlungsverkehr aus Sicht der Händler 5 (IZH5). Besonders sofortüberweisung.de schnitt bei den Direktüberweisungsverfahren im direkten Vergleich mit der Konkurrenz besonders gut ab. 27,6 Prozent der befragten Online-Shops bieten schon heute sofortüberweisung.de an – weitere 20 Prozent planen sofortüberweisung.de bis Ende 2010 zu integrieren. Damit ist sofortüberweisung.de Marktführer bei den Direktüberweisungssystemen und das zweitbeliebteste E-Payment-System in Deutschland. Zu unseren Kunden zählen Unternehmen wie DELL, Conrad, KLM, Rossmann, etc. Der TÜV überprüft und zertifiziert regelmäßig unsere Systeme bezüglich des Datenschutzes.
Wenn noch Fragen offen seinen sollten, können Sie sich gerne jederzeit an mich wenden: 089 20 20 889 53 oder lt@payment-network.com
Mit besten Grüßen
Lilian Thau
Marketingleitung/Pressesprecherin
fon +49 89 20 20 889-53
fax +49 89 20 20 889-39
mail lt@payment-network.com
Payment Network AG
Fußbergstr. 1
82131 Gauting / Germany
http://www.payment-network.com
>Daten wie PIN und TAN sind für uns nicht einsehbar, sondern wir leiten diese verschlüsselt an das Kreditinstitut weiter.
Tut mir leid, aber als technisch versierter Mensch würde mich doch interessieren, wie Sie das sicherstellen wollen. Soweit ich das sehe habe ich nämlich ein SSL Zertifikat zu Direktüberweisung und nicht zu meiner Bank. Damit schicke ich die Daten NICHT verschlüsselt zu meiner Bank sondern erstmal verschlüsselt an Direktüberweisung. Es mag sein, dass Direktüberweisung diese Daten dann programmseitig direkt an die Bank weitergibt und das hoffentlich auch wieder verschlüsselt. Das ändert aber nichts daran, dass dazwischen eben Ihr Server und Ihr Programm ist. Praktisch eine Man-In-The-Middle-Attack mit Ankündigung.
Ich glaube gern, dass Sie das Programm so geschrieben haben, dass die Daten nicht gespeichert werden. Aber wer garantiert mir, dass das so bleibt? Was passiert, wenn jemand in Ihr System eindringt und die Daten doch herausholt. Bei Giropay ist das das Problem der Bank.
Tut mir leid, aber so gern ich Ihr Bezahlverfahren in meinem Shop anbieten möchte, so stark misstraue ich dem Service. Bisher konnten Sie meine Bedenken bisher auf jeden Fall nicht widerlegen – sie reden vielmehr drum rum. Denn Fakt bleibt, dass Ihr Server dazwischen steht.
Zur Ergänzung:
nochmal um das klar zu stellen. Auch als Shop-Anbieter darf ich nicht nur aus Händler-Sicht denken. Vielmehr muss ich auch aus Kundensicht denken: und wenn die Bank zu meinen Kunden sagt, dass die TAN und die PIN nur auf Bank-Seiten eingegeben werden darf und ich dann auf eine andere Seite leite, die zur Eingabe eben dieser Daten auffordert, dann ist das sehr unseriös. Und das ist nicht meine Meinung, sondern die Meinung meiner Kunden.
Es interessiert also nicht, ob sofortüberweisung zu den besten Bezahldiensten aus Händlersicht zählt. Das können Sie noch so sehr in jeder Antwort anführen. Es interessiert, wie Sie sicherstellen, dass die Daten eben NICHT durch Ihre Hände / Ihren Server / Ihr Programm gehen. Dass Sie “Dritte Person” so definieren ist schön und gut. Interessant ist aber, wie die Banken das definieren. Und nach dieser Klage von Giropay habe ich so meine Zweifel.
Ich habe sofortüberweisung seit Herbst im shop integriert und war von der Bedienerfreundlichkeit angenehm überrascht. Ich würde mir allerdings ein aggresiveres Marketing von payment Network wünschen, damit gerade auch beim eher “unbedarften” Endkunden Zweifel geklärt und sofortüberweisung als sicheres Zahlungsmittel angenommen wird. Dieser Baknntheitsgrad trifft aber auf giropay genau so zu. Für beide Möglichkeiten sollte mehr Öffentlichkeitsarbeit seitens der Anbieter getätigt werden.
@ Mathias Bank:
Wir haben jetzt einige Kunden-Shops an Sofortüberweisung.de angebunden und es sind seitdem über 17.000 Transaktionen damit durchgeführt worden. Im Ergebnis gab es bei einem Auftrag ein Problem, was allerdings innerhalb kürzester Zeit mit Payment Network geregelt war. Die Nachfragen der Kunden wegen Bedenken und/oder Befürchtungen zur Datensicherheit bei Sofortüberweisung.de sind minimal – ganz im Gegensatz zur Abwicklung per Kreditkarte.
Aber ich muss zugeben, anfangs war auch ich sehr skeptisch, als ich das System nur aus dem Fernsehen (RTL Spendenmarathon?) kannte. Aber durch die Integration zeigte sich, dass zum einen die Firma Payment Network ein guter und zuverlässiger Dienstleister ist und zum anderen die Abwicklung auch aus Kundensicht sehr gut gelöst ist.
Kurz: Es ist einfach ein tolles System – im Gegensatz zu giropay, das leider verpennt hat etwas aus sich zu machen. Sie waren eigentlich die ersten am Markt, aber das hat nicht immer etwas zu sagen.
Noch Fragen? Jederzeit gerne.
P.S.: Nein, ich bin nicht mit der Payment Network AG verbunden und bekomme auch kein Geld für die Lobesworte.
@PaymentNetwork Selbst ein Interview auf http://bit.ly/895jr2 ist anscheinend nicht ausreichen, um exakt auf Fragen einzugehen ;)
Ich habe etwas Bauchschmerzen mit dieser Äußerung von Herrn Dr. Lütcke :
“Was wir machen legen wir im Rahmen des Überweisungsvorgangs offen”
Soweit mir bekannt ist, ist der erste Call von Sofortüberweisung mit nichten die Überweisung, sondern der Abruf der Transaktionshistorie des Kunden (sprich je nach Gateway die Kontobewegungen der letzten 90-120 Tage).
Ob jetzt damit etwas passiert oder nicht, sei mal dahin gestellt. Vielleicht soll ja auch nur sichergestellt werden, dass es ein Konto gibt.
Definitiv kann mein Briefträger dies nicht, die Analogie hinkt eh, siehe Kommentar bzgl. MiTM. Da müsste der Briefträger schon jemand sein, der den Brief aufmacht und neu verpackt…
Herr Zierhut, das bestätigt doch nur, dass Ihre Kunden sich nicht um die Sicherheit Ihrer Daten kümmern und sogar die Sicherheit anderer gefährden, denn welches Unternehmen kann solch ausgefeilte Statistiken über PIN/TAN Kombinationen erstellen und auswerten!?
Ich will gar nicht wissen, wieviele Kunden Ihre PIN nach einer SÜ nicht ändern und somit einfach mal Vollzugriff auf die meisten Daten dauerhaft gewähren.
Ich kann da nur ungläubig mit dem Kopf schütteln.
Lieber Appler,
sicherheitsbewusst und paranoid ist nicht das gleiche. Und ganz ehrlich, Ihre Ansicht ist schon teilweise paranoid. Worin sollte der Sinn bestehen, Statistiken über PIN/TAN-Kombinationen zu erstellen? Haben die Banken wohl ein schlaues System, das diese Daten jeweils berechnet und nicht gespeichert vorhält? Wenn dem so wäre, ist PIN/TAN von Prinzip aus unsicher und somit wäre das Online-Banking an sich hinfällig.
Fakt ist, wenn Sofortüberweisung irgendetwas anstellen würde, dass das Ende der Firma besiegelt wäre. Daran dürften die wenig Interesse haben.
Bei den Kunden, für die wir tätig sind, steht Sofortüberweisung übrigens immer zusammen mit der normalen Vorkasse zur Auswahl. Gezwungen wird also niemand.
Fakt ist: wenn ich eine Bank ausraube, komme ich in den Knast. Also kann ich sie gar nicht ausrauben…
Bestechende Logik. Respekt!
“Fakt ist, wenn Sofortüberweisung irgendetwas anstellen würde, dass das Ende der Firma besiegelt wäre. Daran dürften die wenig Interesse haben.”
Man könnte auch sagen:
Fakt ist: wenn ich eine Bank ausraube, komme ich in den Knast. Also kann ich sie gar nicht ausrauben…
*ironie_on*
Überzeugt!
*ironie_off*
Ich ordne mich mal auch zu den technisch halbwegs Versierten ein, und daher kann ich den Gedanken von Mathias bzgl. man-in-the-middle durchaus nachvollziehen. Es wäre für SÜ ohne weiteres möglich, die eingegebenen Daten “abzufangen” und zu manipulieren. Schließlich läuft das Eingabeformular auf den Servern von SÜ, die Eingaben werden dort “verarbeitet” bzw. eben dann direkt an die Bank weitergeleitet. Alles was dazu nötig wäre, ist eine serverseitige Sprache die zunächst die vom Formular emfpangenen Daten (Kto, BLZ, TAN aber auch den Betrag) manipuliert und diese manipulierten Daten dann weiter an die Bank gibt. So könnte sich SÜ also theoretisch munter selbst bereichern, indem sie einfach die Überweisung auf ein anderes Konto umleiten. Als solides Geschäftsmodell wird man das aber wohl nicht betreiben können, da die Sache innerhalb weniger Stunden auffliegen würde.
Es ist halt die Frage, in wie weit man SÜ vertrauen darf, dass sie tatsächlich so programmiert haben, dass die ankommenden Daten direkt an die Bank weitergegeben werden. Nur ist genau das ein Punkt, der sich ab erfolgreichem Booten des Betriebssystems stellt. Wer garantiert mir denn, dass z.B. Microsoft nicht einen Keylogger eingebaut hat, der munter Daten überträgt? Für all jene, die mal einen netten Versuch machen wollen: Installiert ein frisches Windows, hängt den PC ohne weiteres zutun ans Netz (am besten mit DHCP Router) und schon werdet ihr sehen, dass die ersten Daten durchs Netz wandern … wie von Geisterhand.
Als spontane Idee würde ich eher bei den Banken ansetzen. Deren API müsste zunächst eine Verbindung bereit stellen, in der vom Kunden aus mitgeteilt wird, welcher Betrag auf welches Konto soll. Aufgrund dieser Zahlenkombi (kann man ja einen schönen Hash draus basteln) würde dann eine TAN gewählt werden, z.B. Nr 43. Nun übergibt die API dann die TAN-Abfrage an die externe Software (SÜ, Starmoney, Mein Geld usw. usw.). Der Kunde gibt TAN 43 ein und der Datensatz wird via API zurück an die Bank übermittelt. Dort wird dann nochmal überprüft, ob 1. TAN richtig und 2. die Kombination aus Empfängerkonto und Betrag noch passen.
Man müsste über sowas natürlich noch sehr detailliert nachdenken, aber das scheint mir zunächst eine Möglichkeit, mit wenig Aufwand eine ziemlich hohe Sicherheit zu bekommen, trotz zwischengeschalteten “Mittlern”.
PS: bin ebenfalls _nicht_ von SÜ, nutze das aber immer wieder gerne weils schnell geht und noch nie Probleme gab.
Naja, ich mach mir da jetzt weniger Gedanken darüber, ob Sofortüberweisung oder – vielmehr – potentielle Hacker den Betrag manipulieren und mehr abzweigen. Dafür gibt es ja zumindest für einen begrenzten Betrag (den man dank Überweisungsgrenzen eh oft nicht überschreiten kann) ja ein Limit. Dank TAN/PIN Kombination sollte das also recht sicher sein.
Vernachlässige ich auch einfach mal, dass ich für meine Kunden durch die Aufforderung zur TAN/PIN-Eingabe unseriös wirken mag (das kommt definitiv auf die Zielgruppe an). So bleibt eben immer noch eine Befürchtung: Ein Hacker / Sofortüberweisung hat theoretisch die Möglichkeit, die Transaktionen auf meinem Konto zu betrachten – und das langfristig.
Jetzt mag der ein oder andere vielleicht sagen, dass das ja nicht kritisch ist. Genau das ist aber der Fehlgedanke. Mit ein bisschen DataMining kommen da nämlich interessante Punkte heraus:
* wieviel verdient der Kunde durchschnittlich
* welchen Geldbetrag hat er üblicherweise übrig
* wo kauft er in der Regel ein
* kann man Rückschlüsse auf die gekauften Artikel machen (z.B. über die Identifikation des Shops)
* Bei wem wird Urlaub gebucht
* Gibt der Kunde viel Geld für Getränke aus -> Säufer? -> Ungeeignet für Beruf?
* …
All diese Informationen können Gold wert sein, weil man extrem zielgerichtet Werbung an den Kunden leiten kann. Die Möglichkeiten sind hier wirklich nicht zu unterschätzen! Es mangelt höchstens an Kreativität.
Sofortüberweisung konnte bisher nicht aufweisen, wie sie genau diesen Punkt verhindern kann. Es entsteht nicht nur ein Schaden, indem mehr Geld abgebucht werden kann. Es kann vielmehr auch ein extremer Schaden entstehen, wenn man die Kontodaten verfolgen kann.
@Markus Zierhut:
> Fakt ist, wenn Sofortüberweisung irgendetwas anstellen würde, dass das Ende der Firma besiegelt wäre. Daran dürften die wenig Interesse haben.
Das ist gerade auch ein großes Problem an Sofortüberweisung: wenn ein Hacker in das System eindringt und die Daten abfängt, dann würde eine entsprechende Pressemitteilung dazu führen, dass das Kerngeschäft – das Anbieten einer sicheren Zahlungsmethode – angegriffen wäre. Ergo Moral gegen Gewinn. Ergo fraglich.
Wenn hingegen bei der Bank ein entsprechender Hackerangriff stattgefunden hat, dann traue ich der Bank hier mehr zu, dies auch entsprechend Public zu machen, evtl. sofort die PIN zu sperren. Denn das Kerngeschäft wird dadurch nicht gefärdet, höchstens angekratzt.
“…bis zu AES-256-Bit starken Verschlüsselungsstandards (SSL)”
Moment? “Bis zu”?
Also im Fall der Fälle auch mal AES-128? Oder AES-192? Oder gar keine Verschlüsselung?
Das große Problem ist aber nach wie vor die Haftung. Spätestens nach der letzten AGB-Anpassung der meisten Banken Ende 2009 ist der Kunde voll verantwortlich für PIN/TAN Daten. Soltle als sofortüberweisung.de morgen gehackt werden, dann gehen sämtliche Vermögensschäden der Banken zu Lasten des Kunden.
Dass die Banken gerne einen Mitbewerber loswerden wollen ist verständlich. Wenn sie selbst ein vergleichbares, günstiges Bezahlsystem anbieten würden, gäbe es jagar keinen Bedarf an Sofortüberweisung.
Sofortüberweisung beweist ja, dass es möglich ist ein solches System aufzubauen UND vernünftige Gebühren zu verlangen. Also müssen irgendwie alle anderen System, die höhere Gebühren verlangen entweder vollkommen unfähig sein ein solches System effizient zu betreiben oder absichtlich überhöhte Gebühren verlangen. Für beides habe ich eigentlich kein Verständnis. Ich finde SÜ ist ein legitimer Anbieter am Markt.
Und wer den Banken von Haus aus einen Vertrauensvorschuss gibt, der hat irgendwie die Entwicklung des letzten Jahres verschlafen…
Eine ganz andere Sache ist Sofortabo oder Sofortlastschrift, dort soll die “Zahlungsmoral” des Kunden per Zugriff auf das Kundenkonto überprüft werden. Und das ohne Wissen des Kunden. Das wäre wirklich extrem spannend. Oder ist das nur ein Gerücht?
NEF
Hallo an alle,
egal welche Produkte wir anbieten. In den Zahlungsformularen der jeweiligen Produkte, egal ob Sofortüberweisung, Sofortabo, Sofortlastschrift wird den Kunden immer erklärt, was unsere Software macht.
Gruß
Christoph
[...] zuständigen Vorstand des Sofortüberweisung.de-Anbieters Payment Network für ein Interview gewinnen, um zum aktuellen Verfahren sowie den bestehenden Anschuldigungen Stellung zu nehmen. Auch [...]
oh, der Chef persönlich schaltet sich ein! Habe mal einen TV-Beitrag (glaube es war auf VOX) gesehen ;-)
Also man kann denke ich definitiv nicht abstreiten, dass externe Möglichkeiten der Überweisung (sei es nun SÜ oder irgendwelche Desktop-Anwendungen) immer ein erhöhtes Sicherheitsrisiko darstellen. Ich muss allerdings auch sagen, dass allein schon die Benutzung von Online Banking eine nicht zu unterschätzende Gefahr darstellt; ich hatte schon einige Kunden, wo sich Keylogger speziell zum Belauschen von Online-Banking-Eingaben auf dem Rechner befanden, glücklicherweise hat das iTAN-Verfahren Schlimmeres verhindert.
Aber nach wie vor bin ich der Überzeugung, dass eigentlich die Banken am Zug sind und bessere/flexiblere Sicherheitsmöglichkeiten einbauen sollten. So könnten externe Anwendungen mit innovativen Ideen trotzdem entstehen, ohne dass deswegen größere Sicherheitsrisiken entstehen.
Und bezüglich der “Kategorisierungsdaten” zur Erstellung individueller User-Profile mit entsprechender Werbung sollten die Banken einfach entsprechende Einstellungs-Menüs anbieten, was alles über die API raus gegeben wird, ähnlich zu Facebook.
Auch giropay äußert sich zur Sachlage, das Interview ist hier zu finden:
http://www.ecommerce-lounge.de/giropay-sofortueberweisung-interview-2-515/
@Felix: sehe ich genau so. Prinzipiell sollten Banken gezwungen werden, eine entsprechende API zur Verfügung zu stellen. Ähnlich zu OpenID könnte man dadurch die TAN / PIN – Problematik lösen.
Ich bezweifel leider, dass das freiwillig gemacht werden würde.
@Mathias: da hast Du wohl leider Recht, von alleine wird sich da nichts bewegen. Das wär doch eigentlich ein prima Job für die EU, im Konventionalstrafen vergeben (z.B. gegen Microsoft) sind die Leute in Brüssel ja ohnehin schon große Meister. Da wäre doch eine EU-Richtlinie zum wirkungsvollen Kunden/Kontodatenschutz verbunden mit passenden Strafen bei Nicht-Umsetzung ein guter Versuch :-)
Interessanter Artikel bei der Financel Times Deutschland:
http://www.ftd.de/it-medien/it-telekommunikation/:agenda-tag-der-onlineabrechnung/50065421.html
[...] Interview mit SÜ-Vorstand Dr. Lütcke Interview mit giropay-Geschäftsführer Schlüter [...]
[...] Links zum Rechtstreit : Interview mit giropay-Geschäftsführer Schlüter Interview mit SÜ-Vorstand Dr. Lütcke Keine Tags zu diesem [...]
[...] Network AG, so jedenfalls die Auffassung seitens Giropay. Diese sieht das naturgemäß etwas anders und wirft dem Frankfurter Unternehmen vor, sich durch einen Rechtsstreit im Markt stärken zu [...]