Sofortüberweisung – also ich weiß nicht!

Vor kurzem wurde ich von einem Kunden auf den Dienstleister Sofortüberweisung angesprochen, da er für sein Shop-System ein passendes Modul haben möchte. Das sollte kein Problem darstellen, also hab ich mir mal die Seite angeschaut. Programmiertechnisch ist das alles kein Problem, es existieren schöne Schnittstellen.

Aber halte ich den Service für gut? Aus Sicht des Shopbetreibers ist er natürlich super! Das Konzept hinter dem Angebot besteht darin, dass der Kunde direkt nach der Bestellung eine Überweisung tätigt und der Shopbetreiber anschließend sofort über die Überweisung informiert werden soll. Dadurch ist eine äußerst schnelle Lieferung möglich. Im Gegensatz zu Lastschriftverfahren ist das Geld auch relativ sicher da. Also super!

Das Problem ist jedoch, dass die Überweisung auf einer fremden Seite stattfindet, nämlich auf den Seiten von Sofortüberweisung. Nur so ist eine Benachrichtigung des Shopbetreibers möglich. Um jedoch eine Überweisung online tätigen zu können, bedarf es einer PIN und einer TAN. Und die soll man nun auf Sofortüberweisung angeben.

Klar, ganz kritisch gesehen könnte man jetzt sagen, wer verspricht mir, dass da nicht mehr überwiesen wird. Dafür gibt es extra eine Versicherung. Das wollen wir einfach nun mal so akzeptieren. ABER: Wer verspricht mir, dass die PIN nicht gespeichert wurde? Wer verspricht mir, dass niemand meinen Konto-Status abrufen kann? Das sind für Marketing-Leute sicher äußerst interessante Informationen! Auch wenn das Verfahren TÜV-geprüft wurde, wer verspricht mir, dass an der Software nichts geändert wird? Reichen hier Stichpunktproben des TÜVs aus? Zumal auch Lücken in entsprechenden Shop-Systemen existieren könnten, die auf gefakte Seiten weiterleiten. Welchem Benutzer fällt das auf? Ich sehe das sehr kritisch! Und deshalb find ich das Angebot für Shops auch für recht ungeeignet.

Gehen wir mal davon aus, dass das System perfekt ist und ein Missbrauch absolut ausgeschlossen ist. Was soll denn bitte ein Kunde von meinem Shop halten, wenn er da seine PIN und TAN angeben soll, obwohl von Banken immer geraten wird, dass man das wegen Phishing-Betrug eben nicht machen soll. Wird mein Shop damit nicht in gewisser Weise unseriös?

Mit Phishing-Problemen im Hinterkopf ist dieses Verfahren einfach ungeeignet.

  • Man soll PIN und TAN nur bei Bank-Seiten angeben
  • Man soll die Adresse der Bank immer nur selber eingeben. Weiterleitung nicht trauen!

Also ist auch ein entsprechendes System von Banken ungeeignet (aufgrund der Weiterleitung). Seh ich das zu kritisch?

Ich werde meine Kunden zukünftig zumindest auf das Angebot aufmerksam machen, da es für Shopbetreiber aufgrund der der Zahlungssicherheit ein sehr interessantes Angebot ist. Abwägen müssen sie selber.

11 Gedanken zu „Sofortüberweisung – also ich weiß nicht!

  1. Wäre für mich (als Kunden) schon mal völlig nutzlos. Meine Bank fragt mich bei jeder Online-Überweisung nicht einfach nach der nächsten TAN, sondern nach einer zufällig aus der Liste der noch verfügbaren Nummern ausgewählten TAN. Damit wüsste ich gar nicht welche TAN ich angeben sollte.
    (Ja, dieses Verfahren kann man abschalten. Will ich aber nicht. Es ist eine zusätzliche Sicherheit und die nutze ich gerne)

    Als schnelle Zahlungsmethode würde ich eher PayPal ins Auge fassen. Das schließt zwar einen gewissen Kundenkreis aus der kein PayPal hat, das dürften aber auch nicht mehr sein als diejenigen die unwillig sind irgendwo PIN+TAN abzuliefern um einen Artikel schneller zu bekommen. Diejenigen die recht häufig im Internet bestellen, dürften i.d.R. einen Account bei PayPal haben. Oder würden eher bereit sein mit der Kreditkarte zu bezahlen.

    Es gibt also neben den Bedenken zur Sicherheit noch ausreichend Alternativen. Zumal es auch fraglich ist ob die Kunden wirklich diese “Schnelligkeit” wollen. Wenn ich etwas sofort benötige, gehe ich in ein Geschäft und kaufe es mir dort. Gibt es den Artikel in keinem Geschäft zu kaufen, muss ich damit leben das ich ein paar Tage auf die Lieferung warten muss.

    Im Fazit würde ich solch ein System als Kunde nicht nutzen. Ich würde mich eher wundern warum PayPal oder Kreditkartenzahlung nicht möglich sind.
    Als Shop-Betreiber (wenn ich einen hätte) würde ich auch darauf verzichten. Es gibt einfachere Alternativen die meistens ausreichend genutzt werden. Zudem würde ein Missbrauch der Daten sofort auf meinen Shop zurück fallen. Egal ob die Daten bei Sofortüberweisung geklaut wurden, unterwegs (wie auch immer) abgefangen wurden oder es an einem Fehler in meinem Shopsystem lag. Einmal ein Kunde dessen Konto um mehrer tausend Euro erleichtert wurde kann am Ende einige hundert verlorene andere Kunden bedeuten. Der finanzielle Verlust und der Imageverlust sind kaum abzusehen.

  2. Das große Problem, das Shopbetreiber haben, ist nicht nur die Geschwindigkeit, das muss man berücksichtigen. Das Ausfallsrisiko ist leider recht hoch. Das betrifft sowohl Lastschrift als auch Kreditkarte. Da gibt es nur Nachnahme (zusätzliche Kosten) oder Vorabüberweisung (verlängert Lieferdauer oft um ne gute Woche). Deshalb sind oft alternative Ansätze gefragt. Wobei ich auch schon öfters hatte, dass Kunden Paypal nicht wollten (der Grund ist auch nachvollziehbar).

  3. Ich arbeite bei einer Bank. Wollte etwas bezahlen und habe mir gedacht Sofortüberweiung hört sich gut an. Als ich dann aufgefordert wurde meine Teilnehmernummer und PIN einzugeben, dachte ich mir ich sehe nicht richtig. Soetwas ist mehr als unseriös, die Macht ist einfach zu groß, die man durch solche Daten erlangt. Ich kann es wirklich immer noch nicht fassen, wie man auf so eine Idee kommen kann. Dieses System wird sich nicht durchsetzen. Immerhin versucht man Kunden zu erziehen, dass sie diese Info´s in keinem Fall weitergeben. Wenn sie jetzt nicht mehr Verdacht schöpfen würden, wenn sie danach gefragt werden, wie sollen sie dann zwischen Betrügerseiten und “Normalen” unterscheiden.

  4. Richtig stutzig wurde ich auch, als ich bei einem sehr seriösen Anbieter auf Sofortüberweisung aufmerksam wurde. Jedenfalls gabs da erstmal einen InfoLink, der aber nicht verriet, dass ich mein Banking-Pin sowie eine Tan übergeben sollte.

    Nun las ich was von “TÜV” und dann sollte es doch schon OK sein, oder nicht?

    Kurzerhand markierte ich SOFORTÜBERWEISUNG und drückte auf Weiter, im nachfolgenden Dialog forderte mich eine bis dato unbekannte Seite auf, Banking-Pin sowie eine TAN einzugeben?

    Wie bitte? Das sage ich nicht mal meiner Freundin – was will dann ein völlig Fremder damit. Ich glaube, den TÜV kann man verarschen, in meinen Unterlagen zur Sparkasse gekramt: “ICH DARF MEINE PIN NICHT DRITTEN ZUGÄNGLICH MACHEN”.

    Passt doch, also ist das ganze Verfahren von Sofortüberweisung schon ein Vorbetrug, damit andere später das Gleiche machen – und zwar ganz offiziell – da kreiere ich mir irgendeine Inet-Seite und schreibe oben drüber SOFORTÜBERWEISUNG (das kennen die Leute ja jetzt?), bitte hier PIN & TAN eingeben – voila, ein allseits beliebtes Phishing ist etabliert.

    (Anmerk. Phishing wird durch Sofortüberweisung “salonfähig” gemacht)

    Apopos, da war noch eine Mitteilungsmöglichkeit bei Sofortüberweisung.de als ich den Vorgang abgebrochen habe: ich habe nur den lapidaren Hinweis hinterlassen “Netter Versuch!”.

    Ich bin doch nicht blööööd, bei jedem sollten da die Alarmglocken 3x schellen, wenn er seine TAN Liste in die Hand nimmt und nicht bei seiner Bank eingeloggt ist – L E U T E, hört auf, euch verscheissern zu lassen – und laut Bankvertrag seid Ihr a) die Gelackmeierten wenn was schief geht, und b) handelt Ihr eh gegen den Bankvertrag!

    Pfui, sowas macht man einfach nicht -> Sofortüberweisung.de

  5. Sehr geehrte Damen und Herren,

    der Blog-Beitrag ist Anfang 2008 geschrieben worden, daher möchten wir gar nicht darauf im Detail eingehen. Gerne würden wir allerdings ein paar Fakten zu sofortüberweisung.de weiter geben:

    sofortüberweisung.de ist im Prinzip ein mutibankfähiges Tool, mit dem Sie Ihr Online-Konto – egal von welcher Bank – direkt aus dem Webshop ansteuern können. Wir sind nichts anderes als ein Mittler – wie viele andere multibankfähige Tools heute auch. Wir waren nur in Deutschland unter den Ersten, die ein multibankfähiges Internettool erfolgreich am Markt etabliert haben.

    Heute gibt es viele ähnliche Tools, wie beispielsweise Online-Banking-Home-Software oder verschiedene iPhone-Apps, mit denen Sie verschiedene Konten bei verschiedenen Banken ansteuern können (Homebanking-Software: Microsoft Money, Lexware Quicken, Buhl Data/ZDF Wiso, T-Online Webbanking. Smartphone-Apps: iControl, iOut-Bank, T-Banking).

    Wir werden weit über eine Milliarde Euro 2010 über unsere Systeme transferieren. Zu unseren Kunden gehören Big Player wie Conrad, Plus, Schlecker, KLM, Dell, Axel Springer Verlag, Notebooksbilliger.de, Mindfactory, Redcoon. Wir haben uns am Markt durchgesetzt.

    Wir sind ein technischer Dienstleister, der diese Daten an die jeweilige Bank verschlüsselt weiter übermittelt. Die gleiche Auffassung wird übrigens auch von der Deutschen Telekom vertreten, die ein gleichartiges System unter dem Namen „t-pay Online-Überweisung“ betreibt.

    Unsere Sicherheitsvorkehrungen sind äußerst vielseitig, weshalb ich Sie für meine stichwortartige Auflistung um Verständnis bitte:

    • Datentransfers erfolgen ausschließlich über gesicherte AES-256-Bit verschlüsselte SSL Verbindungen.
    • Die Payment Network AG besitzt die TÜV-Siegel „Geprüfter Datenschutz“ und “Geprüftes Zahlungssystem”
    • PIN und TAN sind zu keinem Zeitpunkt für Händler, Mitarbeiter oder Dritte Personen sichtbar und werden auch nicht gespeichert.
    • Im Gegensatz zu Kreditkartenzahlungen oder Zahlungen über eWallets bietet insbesondere die Online-Banking TAN einen hohen Schutz vor Hackerangriffen. Denn die TAN ist nur einmal verwertbar und nur offline verfügbar.

    Zudem können wir darauf verweisen, dass es nach weit über 10 Millionen Transaktionen seit dem going-live von sofortüberweisung.de zu keinem einzigen PIN- und TAN-Betrugsfall gegenüber Endkunden, die ihre PIN und TAN in die Systeme der Payment Network AG eingegeben haben, gekommen ist. Somit hat kein einziger Endkunde, der das System genutzt hat, einen Schaden durch auf unseren Systemen abhandengekommene PIN- und TAN-Daten erlitten.

    Vorsorglich weisen wir dennoch darauf hin, dass es in Deutschland Banken und Sparkassen gibt, die davon ausgehen, dass die Nutzung von sofortüberweisung.de wegen der Verwendung von PIN und TAN außerhalb der eigenen Online-Banking-Systeme bei etwaigen Missbrauchsfällen zu einer Haftungsverlagerung führen kann.

    Dies kann bedeuten, dass im Missbrauchsfall die Bank sich weigert, den Schaden für den Endkunden zu übernehmen. Es ist noch zu keinem einzigen Betrugsfall gegenüber Endverbrauchern gekommen. Die Payment Network AG stellt jeden Kunden von etwaigen Schadensfällen gemäß den auf unserer Webseite bekanntgegebenen Grundsätzen frei (vgl. hierzu https://payment-network.com/sue_de/kaeuferbereich/sicherheit/ihre_rechte) und verfügt vorsorglich über eine Versicherung, die in Höhe von bis EUR 5.000,– je Schadensfall bei PIN- und TAN-Missbrauch (zu Lasten eines Endkunden, der seine PIN und TAN in die Systeme der Payment Network AG eingibt) die Payment Network AG gegen Haftungsfälle versichert.
    Hierdurch sollen Sie als Endkunde sicher sein können, dass in dem unwahrscheinlichen Fall eines Schadens auch eine Rückdeckung für etwaige Haftungsansprüche gegen die Payment Network AG besteht.
    Versicherungsnehmer der Versicherung ist die Payment Network AG.

    Wir bieten unseren Kunden – Online-Shops und Endverbrauchern – die höchst mögliche Sicherheit. sofortüberweisung.de gehört zu den sichersten E-Payment-Systemen im Internet!

    Gerne stehe ich für Rückfragen zur Verfügung.

    Mit den besten Grüßen

    Lilian Gwendolyn Thau
    Pressesprecherin

    Fon +49 (0)89/20 20 889-322
    Mobile +49 (0)160/90 60 78 13
    Fax +49 (0)89/20 20 889-399
    Mail l.thau@payment-network.com

    Web http://www.payment-network.com

    Payment Network AG
    Fußbergstr. 1
    82131 Gauting
    Deutschland

    PS: 29. bis 30. September: Treffen Sie die Payment Network AG auf der Mail Order World (Halle 9, Stand 931)

  6. Sehr geehrte Frau Thau,

    vielen Dank für Ihre Antwort. Traurigerweise bekommt man von Sofortüberweisung immer dieselbe Informationen. Ich bin überzeugt, dass Sie ein inzwischen recht sicheres System aufgebaut haben, das auch gut funktioniert. Ich bin auch überzeugt, dass das System von vielen Kunden gerne angenommen wird. Ich weiß auch, dass meine Kunden Ihr System ernsthaft abwägen. All das ändert aber nichts daran, dass man durch die Nutzung Ihres Systems (oder des äquivalenten Systems von der Telekom) gegen die Bank-AGBs verstoßen könnte – man also zu einem Vertragsbruch aufgefordert wird. Ich hatte schon Kunden, die genau damit ein Problem haben. Nicht mehr und nicht weniger wird hier kritisiert. Da kann Sofortüberweisung natürlich recht wenig ändern, das ist mir klar. Die Banken müssten hier ihre AGB anpassen.

    Der Vergleich mit Online-Banking-Systemen wie Microsoft Money und Co. hinkt im Übrigen gewaltig! Hier ist nämlich kein weiteres System zwischen mir und der Bank.

    Lange Rede kurzer Sinn: ich freue mich sehr, dass die Software inzwischen TÜV geprüft ist. Das ist ein richtiger und wichtiger Schritt gewesen, der ein Großteil meiner Sicherheitsbedenken reduziert (aber nicht auflöst).

    Auch Giropay ist meiner Meinung nach kritisch zu bewerten, schließlich gibt man die Bank-Adresse nicht selber in den Browser ein. In Zeiten zunehmender Phishing-Attacken ein immer ernster werdendes Problem.

  7. Hallo,

    Ich bin ebenfalls über sofortüberweisung gestolpert. Wenn die Firma derart hohe Umsätze macht dann wundert es mich überhaupt nicht das sich soviel Betrüger im Internet tummeln… Es ist scheinbar extrem einfach den Standarduser in eine Falle zu locken und ihn in irgendeiner Art und Weise zu “erleichtern”.

    Für jemand der sich mit dem Internet, WWW etc auskennt ist es einfach EXTREMST unseriös solch einen Service zu benutzen bzw sogar zu empfehlen. Wenn es zum Tagesgeschäft wird das man seine Logindaten vom Internetbanking auf irgendwelchen Webseiten angibt na dann Gute Nacht!!!

    TUV Logo hin oder her – ich kann mir auch eine Plakette auf meine Webseite setzen bzw sogar eine Zertifizierung in einem Bereich erlangen – allerdings istnder Datenschutz hier wohl nur ein Teilbereich!!!

    Liebe Frau Thau – bitte besorgen Sie sich von den Banken die erforderlichen “Empfehlungsschreiben” die dann auch beinhalten das die Banken einverstanden sind und die Kunden aus der Haftung entlassen – 5000eur Versicherung – das ich nicht lache!

    Und an die lieben Banken der Hinweis – eigentlich gehört den IPs der Firma der Zugriff auf die Bankrechner verweigert. Die pure Gier nach Profit auch auf Kosten der Kunden verhindert die Sperre scheinbar noch – oder was spricht sonst dafür solche Dienste zu fördern?
    Hier in Österreich sind es die Banken selbst die derartige Bezahlsysteme aufbauen und meiner Meinung nach kann das auch ausschließlich so laufen!

    Sobald der Roboter in mein Netbanking einloggt bekommt er zwangsläufig sämtliche Kontostände gezeigt egal ob Girokonto, Sparkonto, Versicherungen, Kreditkarten, Bankomatkarten, Bausparverträge, Kreditverträge, Aktiendepots usw alles was so auf der Startseite eingeblendet wird. dazu gehören auch die letzten Umsätze etc… Das aus diesen Infos überhaupt keine Rückschlüsse, Querverbindungen, Statistiken etc generiert werden soll ich einfach so glauben – ich bin selbst ein Fachmann und kann Ihnen sagen das es wohl nur eine winzige Änderung braucht und schon werden die Daten mitprotokolliert!

    Wo sind die User die solche Dienste verwenden – bitte meldet euch? Versteht ihr überhaupt wie die Sache funktioniert? Die Leute haben zwar keinen TAN könnten technisch aber jederzeit einloggen und nachschauen was so läuft…

    Und wer war das der gegen Google Streetview protestiert hat – sicher die die mit derartigen Bezahldiensten bezahlen 🙂

  8. Ich bin bei Redcoon über “Sofortüberweisung” gestolpert und dachte auch, ich sehe nicht richtig was man da eingeben soll – PIN/TAN??? Also sowas Hochheiliges würde ich nie auf ner fremden Webseite eingeben, nur unter Folter! Da würde ich mich ja selbst und meine Prinzipien als IT-Spezialist verraten.

    Raiffeisen ist zwar nicht meine Bank, aber da musste ich schmunzeln – trifft genau den Kern der Sache:

    http://www.raiffeisen.at/eBusiness/services/resources/media/15752112992436962-580769275027790860_580773320886985849-249974296246466128-1-25-NA.pdf

    Ich bin zwar sehr für Fortschritt und Moderne, aber das geht zu weit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.