Sofortüberweisung: Vorkasse nochmal anders

Sofortueberweisung.de ist ein neuer Service der PayNet AG, der es ähnlich wie das kommende Giropay ermöglicht, Zahlungen an Shops über das normale Onlinebanking sofort vorzunehmen. Anders als bei Giropay werden dabei bereits alle Banken mit Online-Banking unterstützt und das System steht interessierten Shopbetreibern schon jetzt zur Verfügung.

Der Ablauf einer Zahlung entspricht in etwa dem von Giropay, mit dem wichtigen sicherheitskritischen Unterschied, dass die Überweisungsdaten (PIN und TAN) nicht auf den Seiten der beteiligten Banken eingegeben werden, sondern auf einer Seite der PayNet AG. Diese Daten werden dann von PayNet an die Bank übermittelt. Eine Transaktion kostet den Händler 0,99 EUR.

PayNet versichert zwar, dass PIN und TAN nicht dauerhaft gespeichert werden, äussert sich allerdings in den FAQ nur ausweichend zur Frage, ob der Kunde durch die Übermittlung von PIN und TAN über einen Dritten nicht gegen die Onlinebanking-Bedingungen der Bank verstösst:

"In den Bedingungen von meiner Bank steht, dass keine andere Person Kenntnis von der PIN und der TAN erlangen darf. Verstoße ich gegen diese Bedingungen, wenn ich Ihr System nutze?
Diese Frage lässt sich leider nicht so einfach beantworten. Es kommt darauf an, was genau mit einer anderen Person gemeint ist. … " (hier zur ganzen Antwort ->)

PayNets spitzfindige Antwort auf diese Frage ist für mich das eindeutige Argument gegen den Service: es kann doch nicht sein, dass einem "normalen Kunden" diese selbst für Juristen schwierige Entscheidung auferlegt werden soll!
PayNet entzieht sich der Verantwortung, das Verfahren selbst rechtlich abzusichern oder bei den Banken zertifizieren zu lassen.

Fazit: So bequem die Zahlungsart für Händler und Kunden auch sein mag, die rechtlichen und sicherheitstechnischen Unklarheiten sollte PayNet gegenüber Händlern und Shopkunden klar ausräumen, bevor Sie Ihren Kunden guten Gewissens die Zahlung per Sofortueberweisung.de anbieten können.

Update:
Die Paynet AG hat mit Sicherheitsmassnahmen und Zertifizierungen auf die Bedenken reagiert. Mehr dazu in einem aktuelleren Artikel.

Trackback URI Trackback URI — Keine Kommentare möglich

XML RSS 2.0 feed zu diesen Kommentaren

Dieser Beitrag (permalink) wurde geschrieben am 16. Februar 2006 um 13:00 Uhr von OnlineShopBerater und gespeichert unter Zahlungsabwicklung.

Kommentare (14) zu “Sofortüberweisung: Vorkasse nochmal anders”

  1. Christoph Klein schrieb:

    Best�tigung der PAYNET AG

    Hiermit best�tigt die Paynet AG, dass es erlaubt ist, Daten wie PIN und TAN in unser System einzutippen. Die Banken d�rfen den freien Wettbewerb nicht verhindern. Eine Best�tigung der Deutschen Bundesbank liegt ebenfalls vor.
    Bei weiteren Fragen, k�nnen Sie sich gerne an uns wenden.

    Geschrieben am 8. März 2006 um 09:08Uhr | Permalink

  2. Christoph Klein schrieb:

    Endlich ist es amtlich!

    Sofortueberweisung.de ist einfach, sicher und schnell.
    Dies bestätigt der TÜV und verleiht dafür sein Zertifikat:

    TÜV geprüfte Transaktionssicherheit

    mehr Infos unter:

    https://www.sofort-ueberweisung.de/paynetag/anbieter/index.php

    schöne Grüße

    Christoph Klein

    Geschrieben am 27. September 2006 um 17:54Uhr | Permalink

  3. Net-Publics - Der Blog - Wir lieben Hosting schrieb:

    Sofortüberweisung.de - Was können wir unseren Kunden zumuten?…

    Hallo,
    Derzeit planen wir unter nepupay.de ein Zahlungsportal für unsere Kunden. Es soll an nichts fehlen, alle Arten der Zahlungen sollen abgedeckt werden. Logisch, dass ein klingender Name wie sofortüberweisung.de in unsere Augen fäl…

    Geschrieben am 21. November 2006 um 16:07Uhr | Permalink

  4. webby schrieb:

    Ein TÜV Zertifikat kann sich jeder drucken. Zumal der TÜV von Internet keine Ahnung hat. Sollte lieber bei seinen Schrauben bleiben.
    Wenn jede beteiligte Bank die Sicherheit an ihre Kunden bestätigt ist es ok, aber nie von einem Aussenstehenden und sei es der TÜV, denn der gibt ja nicht mal bei Fahrzeugen eine Haftung für seinen Mist sondern kassiert nur für Papier.

    Geschrieben am 19. Januar 2007 um 21:03Uhr | Permalink

  5. webby schrieb:

    Der TÜV zertifiziert lediglich die sichere Übertragung. Er sagt NICHT das der Bankkunde die Daten an Dritte weitergeben darf. Jeder Https verbindung ist nach dem TÜV sicher und könnte ein Zertifikat erhalten sofern jemand die Gebühr bezahlt. TÜV ist in diesem Falle in keinster Weise ausschlaggebend sondern lediglich eine Freigabe der Banken selber.

    Geschrieben am 19. Januar 2007 um 21:08Uhr | Permalink

  6. webby schrieb:

    Da wird mit Conrad geworben, nur diese nutzen paynet nicht.
    Siehe hier http://www1.conrad.de/infocenter/datenschutz.php

    Geschrieben am 19. Januar 2007 um 21:27Uhr | Permalink

  7. Andrea Anderheggen schrieb:

    Die Sofortüberweisung-Seite verfügt, wie die einer Online-Bank, über ein gültiges SSL Zertifikat, das von der PayNet notariell beglaubigt wurde. SSL-zertifizierte Seiten sind bisher unseres Wissens noch nie geknackt worden. Der SSL-Standard ist deshalb nach Ansicht der PayNet - und übrigens auch der Banken - sicher.

    Bevor der Kunde eine Sofortüberweisung tätigt, kann er wie bei seinem Online-Konto vor der Eingabe des PINs (und natürlich auch vor Eingabe des TANs) das fälschungssichere SSL Zertifikat, das eingeblendet wird, prüfen. Wir möchten unseren Kunden bei Verdacht auf Phishing raten, diese Möglichkeit wahrzunehmen, und allenfalls uns zu melden.

    Wohlgemerkt: hier geht es nicht um die – für uns selbstverständliche SSL Verbindungen, die Sie im Zusammenhang mit dem TÜV Zertifikat erwähnen– sondern um die Sofortüberweisung Seite selbst!

    Geschrieben am 2. Februar 2007 um 17:31Uhr | Permalink

  8. Andrea Anderheggen schrieb:

    über Conrad sprechen wir in 10 Tagen wieder… :)

    Geschrieben am 2. Februar 2007 um 17:31Uhr | Permalink

  9. Net-Publics - Der Blog - Wir lieben Hosting » Bloggen - Wenn der Blog zur Diskussionsplattform wird schrieb:

    [...] Wir haben das System von Sofortueberweisung kritisch unter die Lupe genommen. Ein Paar Tage später meldete sich Christoph Klein, einer der Inhaber des Systems zu Wort. Nicht nur hier, seine Streifzüge umfassten einige Foren und Blog, z.B. hier. Derzeit ist dieses System für uns kein Thema, gerade auch in Bezug auf die neulich bekannt gewordene Sicherheitslücke. Nach dem Bekanntwerden hat sich wohl eine neue Person auf die Reise gemacht, Frau Andrea Anderheggen. Die Fahnen des Systems hochhaltend streift sie derzeit durch die Blogs und stellt einige Dinge über Sofortüberweisung.de klar. Möchte es nicht lamentieren nennen Ist ja auch legitim, wenn auch eine grosse Arbeit. Mal sehen, welche Kommentare hier noch von interessierten Usern hinterlassen werden, mal sehen wie schnell die Paynet AG reagiert [...]

    Geschrieben am 7. Februar 2007 um 16:50Uhr | Permalink

  10. pleito schrieb:

    Nochmal ein bißchen zur Sicherheit von sofortüberweisung ;-)

    Schön, dass ein SSL-Zertifikat existiert, das auf Promido ausgestellt ist und so nicht aussagekräftig ist. Da keinem User ein Fingerprint bekannt ist, kann man diesen auch nicht abgleichen. Dank OpenSSL ist es also eine Leichtigkeit eine Fake Sofortüberweisungseite zu erstellen. Allein ein SSL-Zertifikat ist nunmal wertlos bei der Prüfung der Authentizität, wenn es nicht an die Nutzer kommuniziert wird.

    Allerdings kann man am Beispiel conrad.de sehen, dass man sich das sofortüberweisung.de-Zertifikat noch nicht einmal anzeigen lassen kann ;-)

    Bei Banken ist SSL sicherer, denn dort werden die Zertifikatsdaten kommunziert und der Inhaber hat einen logischen bzw. bekannten Bezug zur Seite.

    Die von C. Klein so gern erwähnte Genehmigung der Deutschen Bundesbank ist ein absoluter Witz, denn die Bundesbank ist lediglich für Preisniveaustabilität, Verwaltung der Währungsreserven und Abwicklung des Zahlungsverkehrs im In- und Ausland zuständig. Also ist die Existenz dieser Genehmigung mehr als Zweifelhaft, da sie ja auch nirgends öffentlich einsehbar ist ;-)

    Wenn man nun noch die Bankingbedingungen der Banken bedenkt, die ja schon von beginn an eine Weitergabe an 3. untersagen, befindet sich ein Nutzer nicht auf dünnem Eis, sondern direkt im Wasser. Ja, ich weiß Paynet vergleicht sich gerne mit Bankingprogramme, die laufen allerdings lokal und PIN + TAN gelangen zu keiner Zeit in den Machtbereich eines Bankingprogrammherstellers.

    Geschrieben am 7. Februar 2007 um 20:15Uhr | Permalink

  11. Christoph Klein schrieb:

    Hallo Pleito,
    da ich es wirklich nicht schaffe, Dich mit meinen Argumenten zu überzeugen - natürlich sind TÜV Zertifikate online - einfach auf der Homepage nachschauen, lade ich Dich gerne nach Gauting in die Deutschland Niederlassung der Paynet AG ein.

    Dort kann ich Dir gerne Einblick verschaffen und Dich überzeugen, dass wir ein seriöses Unternehmen sind und nicht sinnlose Millionen in die Europaexpansion investieren.

    Außerdem ist Sofortueberweisung in Kürze bei 5 TOP Paymentanbietern in Europa als White-Label-Lösung integriert.

    Jetzt bin ich ja mal gespannt, ob Du Interesse zeigst und ich Dir Einblick verschaffen kann, oder ob Du weiter negative Berichte schreibst (vielleicht arbeitest Du ja für die Konkurrenz… oder nennen wir die lieber Mitbewerber :-).

    schöne Grüße

    Christoph Klein

    Geschrieben am 7. Februar 2007 um 21:23Uhr | Permalink

  12. pleito schrieb:

    Es ging nicht um das TÜV-Zertifikat, sondern um die ominöse Police der Bundesbank… Wo ist diese zu finden auf der Internetseite zu finden??? Bin mal gespannt wie die Bundesbank auf meine Anfrage reagiert.

    Seriösität liegt immer im Auge des Betrachters, mMn ist es nicht seriös zum Verstoß gegen bestehende Onlinebankingbedingungen aufzufordern, an fremden Dienstleistungen zu partizipieren und dann noch nicht einmal entsprechende Authentizität beim Zahlungsvorgang zu gewährleisten.

    Im Fall der Fälle ist nunmal der Käufer der Dumme, der auf seinem Schaden sitzen bleibt.

    Vertrauen wird nicht durch Besichtigungen geschaffen, sondern durch ein durchweg für alle Seiten sicheres und nachvollziehbares System und das ist bei Sofortueberweisung nunmal (noch) nicht gegeben.

    Ich frage mich woher immer diese Vermutung des Mitbewerbers kommt, wo es doch gar nicht so ist ;-) Scheint wohl daran zu liegen, dass ich mehr hinterfrage als der Otto-Normal-Surfer…Aber kenne diese Vermutung ja auch schon zu genüge aus Diskussionen zu anderen Themen…

    Geschrieben am 7. Februar 2007 um 22:47Uhr | Permalink

  13. OnlineShopBerater schrieb:

    Eine weitere “Diskussion” zu diesem (alten) Artikel scheint mir nun bestenfalls fruchtlos zu verlaufen. Daher schalte ich die Kommentarfunktion hiermit ab.
    Das Thema Sofortüberweisung werden wir aber neu aufnehmen, sobald es hier im OnlineShopBerater wieder aktiv weitergeht…

    Geschrieben am 7. Februar 2007 um 23:52Uhr | Permalink

  14. Sofortüberweisung - schnelle Alternative zur herkömmlichen Vorkasse » OnlineShopBerater.de schrieb:

    [...] Die Paynet AG, Anbieter des Zahlungssystems Sofortüberweisung.de, hat in den letzten Monaten einiges getan, um Sicherheitsbedenken von Händlern und Kunden aus dem Wege zu räumen. Das Resultat ist ein alternativer Zahlungsweg, der für Onlinehändler nach allen Bedenken der Vergangenheit mehr als nur einen Blick wert ist. [...]

    Geschrieben am 2. April 2007 um 12:16Uhr | Permalink

« Peinliche Darstellungsfehler entdecken
Stating the Obvious [Update] »
Home