PIN und TAN aus der Hand geben

Im Lawblog thematisiert Udo Vetter heute das grob fahrlässige System der Sofortüberweisung. Ich habe schon zwei mal mit größten Bauchschmerzen mit diesem System Bestellungen bezahlt und wollte immer mal was darüber schreiben. So denn.

Worum geht es also bei der Sofortüberweisung? Ähnlich wie bei PayPal wird man aus dem Bestellvorgang beim Online-Shop auf die Seite des Payment-Dienstleisters (sofortueberweisung.de und ich meine irgendwann noch einen weiteren gesehen zu haben) umgeleitet. Dort sieht man Details über die Bestellung im Online-Shop und tätigt dort die Zahlung. Bei der Sofortüberweisung gibt man dazu auf der Seite des Dienstleisters die eigene Kontonummer, die Bankleitzahl, den Kontoinhaber, die PIN und abschließend auch eine TAN ein. Der Dienstleister kontaktiert damit das Online-Banking der Bank und tätigt dort die Überweisung im Namen des Kontoinhabers. Hier stutze ich: Steht in den Nutzungsbedingungen der Banken nicht klipp und klar, dass man weder PIN noch TANs jemals einem Dritten überlasen darf? Sagt einem das nicht auch jeder Sicherheitsexperte? Für solche Vorgänge gibt es auch einen etablierten Namen: Phishing.

Das System ist also by Design ein Unding und läuft allen Bemühungen zur Phishing-Aufklärung zuwider. Warum wird es also von seriösen Online-Shops (mir fallen spontan conrad.de und cyberport.de ein) angeboten? Klar, es erweitert das System Vorkasse um die Möglichkeit der sofortigen Zahlungsbestätigung, das ist bequem für den Nutzer und den Anbieter zugleich. Aber zu welchen Kosten?

Ich rate dringend davon ab. Klar mag man dem Laden vertrauen, der sogar ein TÜV-Siegel trägt. Es ist ja nur ein Dienstleister und damit ist das ganze noch recht überschaubar. Aber was ist, wenn der nächste Laden einen anderen Dienstleister mit dem gleichen oder noch schlimmer einem nur ähnlichen System ins Spiel bringt? Was, wenn unseriöse Phisher sich eine beliebige neue Seite mit gefaketem TÜV-Logo bauen? Wer soll das unterscheiden können? Die Leute fallen ja schon auf schlecht gemachte Nachbauten ihrer eigenen Hausbank herein, die sie ganz gut kennen müssten. Und was, wenn die Daten bei dem Dienstleister nicht sicher sind? Soweit ich weiß, betreiben die kein Hochsicherheits-Rechenzentrum wie die Banken und stehen erst recht nicht für Missbrauch gerade. Ach ja: Für Bankkunden ohne PIN/TAN-Verfahren klappt das System schon mal gar nicht.

Das ist wie wenn man im Laden an der Kasse jemandem mit irgendeiner beliebigen Uniform ("Geldholservice" oder so) seine EC-Karte samt PIN in die Hand drückt, damit dieser beim Geldautomaten schnell Bargeld holen geht: Völlig irre, würde niemand machen (stimmt leider auch nicht). Die Bank kann sich bei solchem Missbrauch übrigens gemütlich zurücklehnen, immerhin hat man glasklar gegen die Nutzungsbedingungen verstoßen.

Eingeschränkt gilt meine Kritik auch PayPal und Co., weil man dort ebenso kaum kontrollierbar auf eine Paypal-Seite weitergeleitet wird, die im Prinzip jeder nachbauen könnte und damit die Paypal Zugangsdaten ergaunern. Wer achtet schon auf Sicherheitszertifikate und eine korrekte URL. Paypal ist Phishing-Risiko pur.

Ach ja, ich habe die Sofortüberweisung schon zwei mal genutzt. Warum tue ich sowas, obwohl ich Kunden und Freunden davon abrate? Beide Male brauchte ich die Ware recht dringend und konnte daher nicht auf Vorkasse zurückgreifen. Nachnahme ist indiskutabel teuer und das Paket kann dabei auch nicht bei den nachbarn abgegeben werden. Und schließlich habe ich für mein Geschäftskonto keine Kreditkarte. Ach ja: Bei Conrad klappte übrigens die Zurückleitung in den Shop nach der Zahlung nicht (ich benutze Opera, da funktionieren die wenigsten Zahlungsdienste sauber), so dass ich die Bestellung nur mit einer erneuten Befüllung eines Warenkorbs mit anschließender Vorkasse-Bestellung und einer Mail an den Support korrekt abschließen konnte. Hölle!

P.S. Klar haben die Shops eine berechtigte Angst vor Rücklastschriften, aber die Sofortüberweisung kann keine Lösung dafür sein.