Was ich gerade im Netz entdeckt habe hat mir den Atem verschlagen. Ein neuer Dienst “Sofortueberweisung.de” bietet die Möglichkeit (ähnlich Paypal und Co) Geldbeträge im Netz schneller als per herkömmlicher Überweisung hin und her zu schicken. Das fand ich ganz nett und habe deswegen interessehalber die Demo ausgeführt, um zu schauen, wie der Bezahlprozess abläuft. Bei folgendem Screen bin ich hängen geblieben:
Die guten Leute möchten allen Ernstes meine Onlinebanking-Pin haben. Super Idee! Nicht nur, dass sie damit meinen Kontoverkehr komplett überwachen könnten, sie könnten auch meine Daten speichern, verlieren, weitergeben… whatever. Ein Argument wäre “Aber die schreiben in ihren AGBs, dass sie das nie tun würden!” Stimmt, und Schweitzer Banken geben auch keine Kontodaten weiter.
Und der Kracher schlechthin ist: Der TÜV gibt das ganze sogar noch als geprüftes Zahlungssystem frei wobei Banken dringend davon abraten die Online-Banking Pins weiter zu geben. Damit schafft man natürlich ein super Sicherheitsbewusstsein bei den Verbrauchern! “Wenn ich meine Pin auf dieser Seite eingebe kann ich es doch auch auf einer anderen machen! Schließlich haben die ein Bild vom TÜV auf ihrer Seite!”. Ich werde auch mal ein TÜV Zeichen auf meine Seite klatschen. Copy&Paste dauert das ganze vielleicht 2 Minuten. Mal gucken wieviele Leute mir ihre Kontodaten überlassen. Vorallem weil der TÜV sich ja auf Online-Sicherheit spezialisiert hat! Das mit den Führerscheinen macht der nur nebenbei 😉 Für mich heißt das: Ein Unternehmen, dass sich auf ALLES spezialisiert kann vieles, aber nichts richtig.
Das VerySign-Zertifikat, das für den schönen grünen Balken in unserem Browser sorgt, sagt übrigens nur aus, dass die Seite auf der wir uns befinden auch die Identität hat, die sie vorgibt zu haben und, dass der Verkehr zwischen dem Browser und dem Server der Seite verschlüsselt ist (Immerhin!). Über die Sicherheit der Dienstleistung sagt das Zertifikat allerdings nichts aus.
Der Vergleich zwischen dem Service von Sofortueberweisung.de und dem Kauf per Kreditkarte ist in meinen Augen nicht logisch. Nutzt man seine Kreditkartendaten, kann man erstens noch die Zahlung eines bestimmten Postens am Ausgleichsdatum verweigern und zweitens kann niemand mit meiner Kreditkartennummer meinen Zahlungsverkehr ansehen.
Zum Glück bin ich nicht der einzige der sich über solche Seiten und Zertifikate Sorgen macht:
Leider nutzen viel zu viele Leute den Service. Hier ein Blogkommentar eines Mitarbeiters vom Sofortueberweisung.de:
Aufgrund der erfreulichen Entwicklung wird Sofortüberweisung bis Mitte Jahr in die Schweiz und Östterreich expandieren. Bis Mitte 2008 wird Sofortüberweisung voraussichtlich in den meisten Europäischen Ländern angeboten.
Ironischerweise sitze ich gerade auf einer Security-Schulung (Es ist Pause 😉 ). Für alle die glauben, dass ich vielleicht etwas überreagiere, die sollten sich mal für 1-2 Stunden mit in die Vorträge reinsetzen. Hier ein schönes abschließendes Zitat zu diesem Beitrag des Speakers:
It is not the question if your web servers get hacked, the question is WHEN.
P.S. Natürlich muss jeder für sich selber entscheiden ob er solche Dienste nutzen will oder nicht. Eine böse Absicht haben die Betreiber bestimmt nicht, aber da im Bundestag schon diskutiert wird wenn man nur Bilder ins Facebook stellt, dann sollte man sich mal Gedanken machen wo und wann man noch viel sensitivere Daten z.B. seine Pins angibt.
Das geilste hast du scheinbar noch gar nicht gesehen: Nachdem man da seine Pin eingegeben hat, wird man als nächstes zur Eingabe einer gültigen TAN aufgefordert! Und da Überweisungen im Gegensatz zu zB Bankeinzug nicht rückbuchbar sind, hat man einfach gelitten, wenn die mehr oder woanders hinbuchen.. ^^
Ne Freundin war da letztens auch ganz begeistert von nachdem sie das das erste mal ausprobiert hat und hat mir davon erzählt.. Mir ist dabei nur die Kinnlade runtergefallen und auf meine Frage “Du hast also grad einer Webseite die du nicht kennst deine Kontonummer, Pin und Tan gegeben?” kam nur ein unschuldiges “Ja? und?”..
Ich hab des öfteren den Eindruck, viele Menschen sind nicht im mindesten auf das Internet vorbereitet 🙁
Als ich letztens etwas bestelle wollte, hatte ich die Wahl zwischen Sofortueberweisung.de und Kreditkartenzahlung. Habe erstmal auf Sofortueberweisung.de geklickt, ohne zu wissen, worum es sich handelt. Als ich mir das ganze durchgelesen habe, habe ich gaaanz schnell den Bezahlvorgang abgebrochen und meine Kreditkarte aus der Brieftasche gekramt.
Mal ein kleines Update zu Sofortueberweisung.de: http://www.heise.de/newsticker/meldung/Daten-und-Verbraucherschuetzer-kritisieren-sofortueberweisung-de-1252044.html