Sicherheitslücke beim Bezahlen mit Sofort Überweisung und Online PIN

Immer wieder versuchen Service Anbieter neue Zahlungssysteme auf dem Markt zu etablieren. Beim  Aufladen einer Telekom XTRA Card fiel mir das neue Bezahlsystem Sofort Überweisen auf, das u.a. auch von Conrad verwendet wird. Zunächst ist es ja eine gute Idee direkt mit Onlinebanking zu bezahlen ohne Umweg über Kreditkarten, Paypal usw. Die Website ist professionell gemacht und bietet eine Demo für eine typische Überweisung an. Stutzig wird man aber,  wenn man aufgefordert wird die Bankleitzahl, die Kontonummer und den Online PIN einzugeben.

Sofort_Überweisung

Gemäß Geschäftsbedingungen meiner Bank (LBBW) darf ich den Online PIN nicht an Dritte, speziell nicht an Bezahldienste weitergeben. Sicherheitsregeln der LBBW Bank:LBBW Sicherheitsregeln

Mit Kontonummer und Online PIN kann man tatsächlich keine Überweisung ausführen  So gesehen ist Sofort Überweisung recht sicher, da immer eine TAN für Überweisung benötigt wird. Allerdings kann jeder, der meine Kontonummer und meinen Onlinebanking PIN kennt, meine gesamten Bankdaten einsehen, das Profil ändern z.B. die Adresse, eMail Adresse für Benachrichtigungen, usw. Das haben auch die Verbraucher- und Datenschützer nicht bemerkt. Es hat also seinen guten Grund, dass die Bank die Weitergabe des Online PINs nicht erlaubt. Es ist unverständlich, dass die Bank überhaupt mit dem Bezahldienst Sofort Überweisung zusammenarbeitet. Da weiß die linke Hand offensichtlich nicht was die rechte Hand tut. Selbst wenn der Bezahldienst den Online PIN nicht speichert, ist damit ein Tor für Phishing Angriffe geöffnet.

Trotz dieser Sicherheitslücke hat der TÜV Saarland sowohl das System als auch das Bezahlsystem Sofort Überweisung  als sichere Systeme zertifiziert. Das ist typisch für die Zertifizierschwemme, bei der natürlich keine Garantie oder Ausfallversicherung im Falle eines Falles angeboten wird. Es werden Teilaspekte des Systems zertifiziert . Ob das Ganze aber Sinn macht wurde ja nicht untersucht, da der Auftraggeber j nicht danach gefragt und auch nicht dafür bezahlt hat. Es ist auch nicht ganz verständlich, daß ein Unternehmen, das in München ansässig ist, die Sicherheitszertifizierung vom TÜV Saarland vornehmen läßt.

Hat man diesen Bezahldienst bereits benutzt, empfiehlt es sich, den Online PIN sofort zu ändern, um Ärger mit der Bank bei Streitfällen zu vermeiden.

PS Die Behauptung, dass man bisher nicht direkt mit Überweisung bezahlen konnte,ist nicht korrekt. Bei dem von VISA propagierten 3D-Secure Verfahren kann man auch direkt mit Überweisung bezahlen. Der Kunde gibt dabei auf einem von seiner Bank verwalteten und angezeigten Formular sein Passwort ein. Auch dieses Bezahlsystem ist nach Aussagen von Experten anfällig für Phishing Attacken (wie jedes System bei dem der Kunde einen PIN oder ein Passwort eingeben muss!)

Eine Antwort zu “Sicherheitslücke beim Bezahlen mit Sofort Überweisung und Online PIN

  1. Pingback: Sicherheitslücke beim Bezahlen mit Sofort Überweisung und Online PIN - SharePoint Blogs in German - Bamboo Nation

Kommentare wieder erlaubt

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s