Auch wenns nur teilweise zum Thema passt, hier eine Erklärung des Bitcoin.de-Supports zu dieser Angelegenheit:
Sehr geehrter Herr ...,
im Zuge der alternativen Verifikation, wie sie früher von uns auch per Default angeboten wurde, können auf Umwegen auch Konten verifiziert werden, auf die seitens des Verifizierenden kein (berechtigter) Zugriff besteht.
Die Entscheidung für die Verifikation über SOFORT fiel zugunsten der Integrität unseres Marktplatzes. Dass die Verifikation zudem über SOFORT innerhalb weniger Minuten statt mehrerer Tage erfolgt, kommt unseren Nutzern ebenfalls zugute.
Da seitens SOFORT (zumindest über den sehr kurzen Zeitraum der Durchführung der Überweisung hinaus) keine Speicherung der Login-Daten erfolgt, halten wir das Risiko für minimal. Eine zusätzliche Änderung des Online-Banking-Passworts nach Durchführung der Überweisung kann dabei letzte Zweifel aus dem Weg räumen.
Bei weiteren Fragen stehen wir Ihnen gerne jederzeit zur Verfügung.
Mit freundlichen Grüßen
Ihr bitcoin.de Support-Team
06.02.2015 13:30 - Klaus Kinski schrieb:
> Danke für die Antwort und die Möglichkeit, trotzdem eine alternative
> Verifikation zu benutzen.
>
> Ich möchte trotzdem noch anmerken, dass das Geschäftskonzept von SOFORT aus
> sicherheitstechnischen Erwägungen grundsätzlich vertrauensunwürdig ist.
>
> Es basiert darauf, die Passworteingabe von unzähligen Drittanbietern
> (=Bankportalen) über SOFORT-Server zu leiten - es spielt daher keine Rolle
> welche TÜV-Zertifizierungen oder freiwilligen Verpflichtungen dieser Anbieter
> aufweist.
>
> Die Architektur dieser "Checkout-Pipe" entspricht bereits konzeptionell nicht
> aktuellen Standards über Data Security geschweige denn Datensparsamkeit. Das
> Bitcoin.de diese Möglichkeit anbietet ist die eine (merkwürdige) Sache. Dass
> allerdings die unbedarfteren Benutzer in diesen Datenumweg "hineingetrickt"
> werden, indem Bitcon.de keine Alternative promotet (bzw. dies als Default
> anbietet) finde ich gelinde gesagt "shady".
>
> Ich wäre - wenn es Ihre Zeit nicht unnötig beansprucht - auch aus technischer
> Sicht wirklich interessiert an den Details, die diese Verifikation gegenüber
> einer einfachen Überweisung sicherer machen sollen.
>
> Letztlich ist doch der SOFORT-Server DER eine Single Point, an dem sich ein
> Angreifer die Logindaten ALLER User ALLER Banken abschnorcheln kann (excl. der
> User die SOFORT nicht benutzen).
>
> Wie das in irgendeiner Weise sicherer als irgendetwas sein soll ist mir
> schleierhaft. Man muss auch kein Informatiker sein, um da ein schlechtes
> Gefühl zu bekommen.
>
> Schade -
>
> MfG ...
>
> Gesendet: Dienstag, 20. Januar 2015 um 11:00 Uhr
> Von: "Team Bitcoin.de" <
support2015@bitcoin.de>
> An: ...
> Betreff: Re: [Ticket#9960239] Testüberweisung etc..
> Sehr geehrter Herr ...,
>
> der Hintergrund der Entscheidung für die Verifikation über SOFORT statt einer
> herkömmlichen Überweisung liegt in sicherheitstechnischen Erwägungen. Eine
> Verifikation über SOFORT bietet eine weitaus höhere Sicherheit, dass das Konto
> nicht für betrügerische Zwecke verifiziert wurde. Alle Banken, über die eine
> Zahlung mit SOFORT möglich ist, haben diese Zahlungsmethode ausdrücklich
> zugelassen. Es steht den Banken frei, Ihren Kunden eine Zahlung über SOFORT zu
> ermöglichen. Die Einhaltung der Datenschutzrichtlinien werden u.a. vom TÜV
> kontrolliert. Passwörter werden nur zur Durchführung der Überweisung
> übermittelt und von der SOFORT AG nicht gespeichert.
>
> Wir haben soeben unser alternatives Verifikationsverfahren für Ihre
> Bankverbindung eingeleitet. Innerhalb der nächsten 2-3 Bankarbeitstage sollten
> Sie eine Testüberweisung auf Ihrem hinterlegten Konto erhalten.
>
> Diese Überweisung enthält einen 8-stelligen Code (beginnend auf A und endend
> auf Z) im Verwendungszweck, den Sie in den Einstellungen Ihres Accounts (unter
> 'mein Bitcoin.de' → 'Einstellungen' → 'Bankkonto') eingeben können, um die
> Verifikation Ihrer Bankverbindung abzuschließen.
>
> Bei weiteren Fragen stehen wir Ihnen gerne jederzeit zur Verfügung.
>
> Mit freundlichen Grüßen
> Ihr bitcoin.de Support-Team
>
>
> 20.01.2015 10:40 - Klaus Kinski schrieb:
>
> > Sehr geehrte Damen und Herren,
> >
> > bitte verifizieren Sie mein Fidor-Bankkonto für die Benutzung bei
> Bitcoin.de.
> >
> > Ich habe soeben bei der Umstellung meines Kontos schockiert festgestellt,
> > dass Sie neuerdings verlangen, IHRE Testüberweisung mit Zugriff auf MEIN
> Konto
> > SELBST zu initiieren (oder so..) - dies mit Hilfe eines höchst zweifelhaften
> > Drittanbieters (wie umständlich und unnötig unseriös?).
> >
> > Ich gehe davon aus, dass Sie eine Möglichkeit vorhalten, diese gegen die
> AGBs
> > der meisten Banken verstoßende Praxis zu umgehen und bitte Sie, die
> > Verifikation aufgrund meiner bereits eingereichten Daten (Fidor PostIdent,
> > etc.) zeitnah durchzuführen.
> >
> > Überdies wäre es sinnvoll in Zukunft diese Möglichkeit entsprechend zu
> > promoten und nicht Ihre User - gerade von dem Hintergrund der aktuellen
> > Datensicherheitslage - unwillentlich und meist auch unwissentlich in eine
> > prekäre Sicherheitssituation zu drängen.
> >
> > Ich verstehe wirklich nicht wie dieser "Fauxpas" gemessen an meinen
> > bisherigen - in der Tag großartigen - Erfahrungen mit Bitcoin.de zu bewerten
> > ist und überhaupt passieren kann (haben Ihre Sicherheitsberater
> geschlafen?).
> >
> > Mit freundlichen Grüßen
