Banken starten neues Bezahlverfahren für den I-net-Einkauf

www.giropay.de ist jetzt online - da steht auf jeden Fall schon etwas mehr wie´s laufen soll ...

Habt ihr mal einen blick ins heiseforum geworfen ? Abgesehen vom üblichen Müll hat der Trollzoo das Hauptproblem von giropay erkannt:
Wir haben dem Kunden immer erklärt, nur über unsere Homepage ins banking zu gehen und jetzt lassen wir irgendwelche Ebayhändler direkt dahin ... (*ganztiefduck*). Klar ist das nicht so, aber ich sehe auch die größere gefahr von gefakten Bankseiten.
Vor allem: Wie wollen wir das dem Kunden verkaufen ??

Ich denke & hoffe, der Kunde wird schlussendlich NICHT vom Shop zur Bank geleitet. Er muss sich ganz normal manuell im Internetbanking der Bank anmelden und bekommt dann erst Zugriff auf seine wartende Giropay-Buchung. Damit wäre das Phishing-Problem auch nicht existent.

Hoffen kann man ja, allerdings sagen die da was anderes:

"Folgende Merkmale zeichnen giropay aus:

1. giropay verwendet die bekannte URL aus dem Online-Banking, beispielweise https://giropay.mein-kreditinstitut.de.

2. Die URL beim Bezahlvorgang mit giropay beginnt immer mit „https://giropay. ...“

3. Diese URL ist nur aus einem Online-Shop oder aus einem Zahlungsservice wie PayPal heraus erreichbar. Ein Bezahlvorgang mit giropay kann nicht durch Eingabe der URL der giropay-Anwendung im Browser gestartet werden.

4. Das Logo des Online-Verkäufers bzw. des Zahlungsservices PayPal wird während des Bezahlvorgangs auf allen Seiten angezeigt.

5. Die Legitimationsdaten wie PIN und TAN werden auf verschiedenen Seiten abgefragt und eingegeben.

6. Wenn ein Kreditinstitut weitere Sicherheitsmerkmale verwendet wie die Anzeige der letzten verbrauchten TAN oder des Kundennamens, werden diese auch von giropay eingesetzt.

7. Die Kaufdetails wie Empfänger, Betrag oder Verwendungszweck werden automatisch und unveränderbar im Überweisungsträger vorgegeben.

8. giropay verwendet eine SSL-128-Bit-Verschlüsselung für die gesicherte Datenübertragung. Das ausgestellte Online-Zertifikat garantiert dem Kunden, dass er ausschließlich mit dem Kreditinstitut kommuniziert. Sichtbar wird diese sichere Verbindung durch ein kleines Schloss-Symbol, welches das Zertifikat und den „Fingerabdruck“ des Instituts oder Unternehmens enthält. Fehlende Zertifikate sind bereits erste Indikatoren für gefälschte Webseiten."

http://www.ffpress.net/Kunde/GIR/ATL/33724/

Ich finde diese Erklärungen zur besonderen Sicherheit des System regelrecht grandios...

Hallo,

Technik und Sicherheit gut und schön, aber was ist mit der vertraglichen Seite?
Gem. 'Vereinbarung über die Nutzung des Online-Banking - PIN-/TAN-Verfahren' (Homebanking-Vertrag) verpflichtet sich der Nutzer "...die technische Verbindung zum ...-Angebot der Bank nur über folgende Zugangskanäle herzustellen:" - und hier wird i.d.R. die normale HomePage der Bank genannt.
Entweder müssen dann alle HomeBanking-Verträge entsprechend geändert werden oder alle Nutzer verhalten sich vertragswiedrig (und die Banken brauchen bei eventuellem Missbrauch nicht zu haften ???) ?

- Ich weiß: Theorie und Praxis - viele Nutzer halten sich doch nicht an diesen Passus und steigen über irgendeine andere Seite ein (u.a. auch über Google und so). Auch hätten die Banken trotz Vertrag wohl schlechte Karten wenn es hart auf hart kommen würde.

Aber dennoch bleibt die rechtliche Frage !!!

Gruß Winnetou

"Große Internet-Händler äußerten sich aber noch skeptisch. Der Versandhändler Otto verwies auf frühere Bemühungen von Banken, ähnliche Bezahlsysteme zu etablieren. „Wir sind bei unseren Prüfungen stets zu dem Ergebnis gekommen, dass das Verfahren sich nicht für unser Online-Geschäft empfiehlt“, sagte ein Konzernsprecher. Otto erwarte erst dann eine Zahlung, wenn der Käufer mit der Ware zufrieden sei. Dieses Vorgehen sei bei Giropay nicht möglich."

aus der Kölnischen Rundschau vom 14.02.2006

Hallo,

ob das Zertifikat prüfen immer hilft? Nach Lesen diesen Beitrag habe ich da so meine Bedenken:

https://www.a-i3.org/content/view/537/28/

Viele Grüße
Ogri

Stimmt schon, aber wieviel Prozent aller User ist dazu in der Lage? Diese Befürchtung steht auch im letzten Satz der News.

Viele Grüße
Ogris

Apropos Zertifikate prüfen. Fragt mal die Kollegen einiger sächsischen Spardosen. Die lassen die Kunden sogar unterschreiben, dass sie vor jedem Login den Fingerprint prüfen. So ist man als Bank auch gleich aus dem Schneider, wenn einer auf Pharming reinfällt.

Hier mal ein Beispiel der Sparkasse Erzgebirge: Sicherheitshinweise (siehe 4.)

Schon klar, ich will ja auch keine Phishing-Seite anbeiten sondern nur demonstrieren, dass es Schwachstellen gibt...

Und in irgendwelchen "bösen" Ländern mit laschen Zertifizierungsstellen gibt es (wahrscheinlich gegen gute Bezahlung) auch ein passendes Zertifikat zur Seite

Ich wollte damit nur sagen, dass die Hinweise bzgl. der Sicherheit von giropay mit den Hinweisen auf HTTPS und dass immer giropay am Anfang der URL steht eigentlich ziemlich einfach ins Leere laufen. Denn keiner wird auf die Idee kommen, die gesamte URL zu prüfen.

Stefan Balk