Konto Sofortüberweisung

[Chefin]

Es ist sinnlos mit Mezzomix zu diskuttieren. Alles was er nicht kapiert existiert einfach nicht und damit sind seine Auslegungen grundsätzlich korrekt. Auch wenn sie auf minimalsten Informationen beruhen. Wenns nötig ist muss man bweisen das die Sonne morgens aufgeht. Spätestens dann lässt man es.

Zu Sofort.com:

Man gibt lediglich das Passwort weiter, bzgl TAN darf man wohl der Sofortüberweisung soweit vertrauen. was sie recht sicher ausschliessen: Man in the Middle. Daher sind sie prinzipiell nicht unsicherer als direktes Onlinebanking. Auch das ist nur bedingt sicher.

Ich habe jetzt bei Sofort direkt keine Bedenken das sie betrügen. Aber es ist halt eine weitere Stelle an der Daten liegen. Siehe Ebay, auch die waren nicht in der Lage ihre Daten zu schützen. Und Ebay ist zwangsläufig mit einem geschulten Auge für Gaunereien unterwegs. In wie weit die Banken bei der Weitergabe von PIN an Sofort nun bedenken haben wird man wohl erst im Ernstfall sehen. Wenn da 50 Euro flöten gehen oder auch 500 wird man vermutlich keine Probleme haben. Das ist im Rahmen des Betriebsrisikos einer Bank und sowas schlucken die ohne viel Aufhebens.

Aber wenns dann mal um 5 stellige Beträge geht sind die Karten anders gemischt. Dann sucht die Bank den Strohhalm um sich rauszuwinden. Und dann kommt die AGB in der steht: Weitergabe nicht erlaubt. Wie das dann in zivilrechtlichen Verfahren so ist, man ist nun im Beweis-Ping-Pong. Und in Zivilverfahren gibts keine Unschuldsvermutung, da gibt eine Abwägung. Plötzlich schlägt das Zünglein der Waage zur Bank aus, jetzt muss man sich verteidigen. Dann kommt ein geändertes Passwort natürlich immer gut. Jetzt hat die Bank wieder den Ball und muss versuchen einen Punkt zu machen.

Deswegen bemerkt man viele Fallstricke in den AGBs erst dann wenn man drüber gestolpert ist. Vorher meint man noch: die machen doch nichts, sonst hätten sie schon längst dagegen gearbeitet. Aber glaubt mir, die wissen genau wann ihr über die Sofort API bucht und wann direkt. Diese Firma tritt ja als eine art proxy auf und ist folglich schon an der IP erkennbar, selbst wenn sie ansonsten alles direkt in die Webside einträgt. Wobei die allerdings eine API nutzen die für Überweisungsprogramme wie Sfirm oder Lexware oder so gedacht ist. Die haben aber bekannte IPs und sind daher leicht zu identifizieren für die Bank. Und wäre auch leicht zu sperren, was aber wohl vor Gericht als Wettbewerbsbehinderung gekippt werden würde. Deswegen ist es wie oben schon erwähnt wurde: die Bank freut sich wenn man denen Argumente liefert die sie im Schadensfall benutzen können. Selbst wenn Sofort alles dran setzt ihren Dienst als Bombensicher darzustellen, wird vor Gericht immer noch der Punkt stehen bleiben, das man relativ leichtfertig mit den Daten umgeht und wenn man Sofort benutzt auch ähnliche Dienste nutzt die vieleicht nicht dieses hohe Sicherheitslevel haben.

Wie gesagt...die Banken suchen Ausreden erst dann wenn sie zahlen müssen. Vorher ist es ihnen relativ schnurtz.

[turvarya]

Ich weiß nach wie vor nicht, was mit "im Schadensfall" gemeint ist. Von welchem Szenario reden wir hier eigentlich?
Es bleibt dabei, dass jemand mit einem gestohlenem TAN nichts anfangen kann, weil ein TAN an eine spezifische Transaktion gebunden ist und ansonsten wertlos ist.
Sollte "ein Schadensfall" eintreten, muss die Bank zeigen, dass es die Schuld des Kunden war. "Der hat mal SOFORT benutzt", ist kein Beweis für irgendwas.
Davon, dass AGBs oft rechtlich absoluter Unsinn sind und überhaupt keine Gültigkeit haben, will ich jetzt erst gar nicht anfangen.

[cagrund]

Zum Thema eine TAN ist an genau einen (den aktuellen) Auftrag gekoppelt sagt meine Sparkasse:

Sicheres Online-Banking

Nach Abschluss der Dateneingabe fordern Sie eine TAN für Ihren TAN-Generator bzw. für Ihr Mobiltelefon an. Neben der TAN werden Ihnen die wichtigsten Auftragsdaten im Display angezeigt. Stimmen diese Daten mit dem Originalauftrag überein, dann geben Sie die TAN ein, um Ihren Auftrag zu unterschreiben. Stimmt etwas nicht, brechen Sie den Vorgang sofort ab. Sperren Sie Ihr Konto und nehmen Sie Kontakt mit Ihrer Sparkasse auf.

Es gibt durchaus Szenarien, wo ein legitimer Ü-Auftrag des Kunden auf dem Weg zum Server der Bank unautorisiert geändert wird. Gibt man diesen modifizierten Auftrag mit der TAN frei, so wird die Überweisung ausgeführt und man bleibt auf dem Schaden sitzen, da man nicht sorgfältig die Anzeige im TAN-Gen. bzw. dem Telefon geprüft hat.

Oftmals erstatten Sparkassen den Schaden aus Kulanz und um neg. Presse zu vermeiden, aber es gab Fälle wo der Kunde im Regen stand.

Somit ist eine TAN also zumindestens nicht zwingend an einen Auftrag bzw. den von mir eigtl. eingestellten Auftrag gebunden.

[mezzomix]

Richtig. Und für diejenigen, denen Sicherheit sowieso am Allerwertesten vorbei geht (solange sie damit nicht selbst auf die Nase gefallen sind) - also die Sofort-Kunden - ist dann ein Abgleich der TAN sowieso eine völlig unnötige Schikane. 

Egal (Augen und Ohren zu *lalala*), im Zusammenhang mit Banken ist den Kunden ja noch nie etwas passiert und es ist auch kein einziger Kunden bisher auf seinem Schaden sitzen geblieben... oder so ähnlich. Schön das wir drüber gesprochen haben, jetzt noch schnell eine Sofortüberweisung tätigen.