So funktioniert Sofortüberweisung.de

9
59

Nach div. Gespräche und Abklärungen glaube ich nun zu wissen, wie Sofortüberweisung.de funktioniert; nach der Methode des „Screen Scraping„.

Das ganze Verfahren angewandt auf die 6 Schritte im Beitrag zu Sofortüberweisung.de von letzter Woche:

  1. Wahl der eigenen Bankverbindung -> Sofortüberweisung.de weiss, welches „Template“ für die Onlinebank des Kunden zu verwenden ist und wo welche Informationen zu finden sind.
  2. Eingabe von Name und Kontonummer -> Sofortüberweisung.de kann den „Zahlungsbeleg“ vorbereiten.
  3. Eingabe von Vertragsnummer und Passwort -> Sofortüberweisung.de übernimmt für den Kunden das Login in seinem Namen bei seiner Onlinebank.
  4. Eingabe der nächsten Streichlisten-Nummer (TAN) -> Sofortüberweisung.de kennt die Position der nächsten TAN – nicht jedoch deren Inhalt.  Diese Information zeigt auch die Onlinebank und wird durch das Screen-Scraping von Sofortüberweisung im gleichzeitig simulierten Login übernommen und dem Kunden im Checkout angezeigt. Der Kunde muss demnach nur noch die entsprechende TAN eintippen, worauf Sofortüberweisung.de diese ebenfalls an die Onlinebank übermittelt.
  5. Konto-Auswahl -> Wenn das Konto unter 2) nicht gleich identifiziert werden kann,  präsentiert Sofortüberweisung.de die Kontoauswahl, die sie zeitgleich mit dem für den Kunden simulierten Login in der Onlinebank extrahiert hat.
  6. Transaktion bestätigt -> Sofortüberweisung.de hat für den Kunden in dessen Onlinebank eine Überweisung vorgenommen zu Lasten des ausgewählten Kontos (Schritte 2 rsp. 5), zu Gunsten des Shopbetreibers und über den Betrag des Warenkorbes.

Da es sich um ein Screen-Scrapping handelt, muss/kann die Bank des Kunden auch nichts davon wissen, da hier Sofortüberweisung.de das Login für den Kunden simuliert. Notabene mit dem Einverständnis des Kunden und allen relevanten Zugangsinformationen wie Vertrags-Nummer, User, Passwort und ggf. TAN.

Nach meinen Informationen wehren sich einige Banken in der Schweiz gegen dieses Verfahren, sind jedoch relativ machtlos, da Sofortüberweisung.de eine ganz normale Transaktion mit verifiziertem Login simuliert. Nach Auskunft einer Bank probiert man sich mit dem Sperren der IP-Adressen von Sofortüberweisung.de gegen dieses Verfahren zu schützen, jedoch erfolglos, da Sofortüberweisung.de mit dynamischen IPs arbeitet und regulären Bank-Traffic simuliert.

Rein theoretisch wäre Sofortüberweisung.de auch in der Lage, während dem verdeckten Login die Passwörter auszutauschen und den Zugriff für den Kunden auf seine Onlinebanking-Applikation zu sperren.

Stimmt diese Hypothese rsp. das hier vorgestellte Verfahren, dann verwendet Sofortüberweisung.de keine Schnittstellen, speziellen Protokolle oder Services der Bank, sondern übernimmt treuhänderisch für den Kunden das Login bei seiner Bank und füllt für ihn den Überweisungsbeleg aus. Nahtlos implementiert im Checkout-Prozess des Onlineshops. Die Überweisung findet umgehend statt, der Anbieter ist im Besitz der Zahlung und kann die Lieferung auslösen.

Auch für mich als Kunden ist dieses Verfahren natürlich sehr bequem, da Sofortüberweisung.de die sofortige Banküberweisung für mich übernimmt. Es erfordert aber m.E. ein sehr grosses Mass an Vertrauen, dass mit dem simulierten Login nicht noch zusätzliche Transaktionen stattfinden, die nicht im Interesse des Kunden liegen. Etwas bösartig könnte man auch von „Phishing im Interesse des Bankkunden“ sprechen.

Oder in anderen Worten: Es ist wie, wenn Sie im Laden an der Kasse stehen und eine Ihnen unbekannte Person bitten, doch für Sie mal kurz bei der Bank Geld zu holen. Sie geben dieser unbekannten, jedoch vertrauenswürdig aussehenden Person, Bankkarte und Passwort dazu mit.

Sofortüberweisung.de sagt denn auch auf ihrer Website:

Hinweise zur Haftung bei Missbrauchsfällen
Bei dem Dienst „sofortüberweisung.de“ ist es bisher zu keinen Missbräuchen gekommen (TÜV-zertifiziertes Online-Zahlungssystem). Vorsorglich weisen wir dennoch darauf hin, dass es viele Banken und Sparkassen gibt, die davon ausgehen, dass die Nutzung des Dienstes „sofortüberweisung.de“ wegen der Verwendung Ihrer PIN und TAN zu einer Haftungsverlagerung bei etwaigen Missbrauchsfällen durch Dritte führt. Dies kann dazu führen, dass im Missbrauchsfall Ihre Bank sich weigert, den Schaden zu übernehmen und im Ergebnis Sie den Schaden zu tragen haben.

Vorsorglich hat daher der Betreiber des Dienstes „sofortüberweisung.de“ eine Versicherung abgeschlossen, die in Höhe von bis EUR 5.000,– je Schadensfall bei PIN- und TAN- Missbrauch die Payment Network AG für Haftungsfälle rückversichert.


Nichts mehr verpassen! Dann machen Sie es wie bereits aktuell 3047 andere Leser. Verpassen Sie keinen Beitrag mehr und erhalten Sie jeden Sonntag ab 16 Uhr alle Artikel der aktuellen Woche per E-Mail bequem in Ihre Inbox geliefert.

E-Mail Adresse erfassen genügt.

9 COMMENTS

  1. Die Banken werden korrekterweise jedwelche Verantwortung ablehnen, zumal sie beim E-Banking Vertragsabschluss in ihren AGB (min. dort wo mir bekannt) ausschliesslich darauf hiweisen, dass die Login-Daten nicht an Dritte weitergegeben werden dürfen.

    Mit anderen Worten: Mit der Benützung von sofortueberweisung.de wird der Bankkunde streng genommen vertragsbrüchig.

    Nebenbei: Was nützt die 5k Garantie, wenn im Schadfall das gesamtes Konto leergeräumt werden kann?

  2. Grundsätzlich und rechtlich absolut korrekt. Nur ist die Implementierung so gemacht, dass sich ein gutgläubiger User gar keines Fehlverhaltens bewusst wird, da sich die Bank, z.B. mittels Information der nächsten TAN-Nr-Position, quasi „identifiziert“.

  3. Zum Risiko für den Kunden:
    Mit den Identifikationsmerkmalen gibt der Kunde der Payment Network AG einmalig vollen Zugriff auf seine Internetbank. Sie gibt dort die gewünschte Überweisung in Auftrag. Was sie sonst noch machen, weiss der Kunde nicht! Im Gegensatz zu Deutschland (Transaktionsnummer) ist der Streichlisten-Code nicht nur für einen Auftrag gut, sondern während einer ganzen Session bis zum Logoff (ausgenommen MTAN-Verfahren, die eine Transaktion sichern).
    Zu der Versicherung:
    Die Versicherung ist nur eine Rückversicherung für die Payment Network AG, also nicht eine Versicherung für den Kunden, der ja einen allfälligen Schaden hat, wenn sein Konto missbraucht wurde. Wenn die Payment Network AG einen allfälligen Schaden nicht anerkennt, muss der Kunde von einem Gericht klären lassen, ob eine Haftung der Payment Network AG besteht.
    Zum Risiko für den Händler:
    Der Händler kann nicht sicher sein, dass er das Geld tatsächlich erhält, denn der Auftrag wird zwar sofort aufgegeben, aber in den meisten Systemen nicht sofort ausgeführt. Der Kunde kann innerhalb einer gewissen Zeit selbst im Internetbanking den Auftrag vor der Ausführung löschen.
    Fazit: Payment Network AG verspricht Sachen, die sie nicht sicherstellen können und kassiert dafür eine Provision. Wenn’s nicht klappt, bleibt der Schaden beim beim Händler oder beim Kunden hängen.

  4. Ich nutze als Kunde zum Eigenschutz weder Sofortüberweisung noch „Pain“Pal, wenn man innerhalb Europas doch ganz bequem per online-Banking bezahlen kann.

    Oder habe ich einen herausragenden Nutzen dieser Systeme übersehen?

  5. @Jan

    Der eigentliche Nutzen dieser Systeme für den Käufer ist, dass beim Abschluss des Checkouts die Bezahlung bereits erfolgte.

    D.h. analog zu Kreditkarten hat der Verkäufer kein Debitorenrisiko per-se und kann mit der Lieferung sogleich beginnen. Mit (späterer) Überweisung per Onlinebanking wird dieser Checkout-Prozess unterbrochen – die Lieferung verzögert sich ggf.

  6. Der angebotene Zahlungsdienst „Sofortüberweisung“ basiert einzig und allein auf dem Vertragsbruch eines Kunden gegenüber seiner Bank, weil der Kunde seine Login-Daten an einen Dritten weiterreichen MUSS, um die Zahlung (und vielleicht auch andere Vorgänge?) vorzunehmen. Jedes seriöse Geldinstitut untersagt es seinen Kunden in den Vertragsbedinungen, das Login und das Passwort weiterzureichen. Die vermeintlichen Vorteile, die Zahlungsdaten nicht von Hand in die Online-Oberflächen der eigenen Bank übertragen zu müssen, wird durch den Aufwand wieder getilgt, den man hat, weil man nach jeder Nutzung von „Sofortüberweisung“ sein Online-Banking-Passwort ändern muss. Nullsummenspiel ohne Vorteile. Dann (aus Sicht des Kunden) lieber klassisch per Vorkasse. Selbst die ebenso unsichere Zahlung über Kreditkarten (die Daten können nach Preisgabe für beliebige weitere unautorisierte Buchungen genutzt werden) hat gegenüber „Sofortüberweisung“ den Vorteil, dass man diese Abbuchungen regress buchen kann. Die mit „Sofortüberweisung“ getätigten Buchungen sind eben mit den (geheimzuhaltenden) Legitimationsdaten des Kunden autorisierte Überweisungen und als solche nicht regress zu buchen.

LEAVE A REPLY