Hi,
mir geistert schon seit längerem eine Idee im Kopf herum, die das Online-Bezahlen deutlich bequemer machen dürfte. Damit es funktioniert, müssten aber möglichst viele Hersteller von Onlinebankingsoftware mitmachen.

Die meisten Betriebssysteme unterstützen beliebige URL-Handler, d.h. man kann ein eigenes Protokoll für Links definieren (das Protokoll ist das vor dem ersten Doppelpunkt). Bei normalen Links ist das immer "http" oder "https", aber einige Programme wie z. B. Internettelefoniesoftware unterstützen andere Protokolle, z. B. "callto" für Anrufe. Klickt man einen solchen Link an, wird das dazugehörige Programm gestartet und bekommt den Link übergeben.

Analog zum callto-Protokoll könnte man, gerade jetzt wo wir europaweit gültige Bankverbindungen (IBAN/BIC) haben, ein payto-Protokoll einführen. Die payto-URLs würden Empfänger (zwingend, IBAN/BIC), Empfängername (optional), Betrag und Währung (optional) und Betreff enthalten.

Wenn sagen wir mal ein Onlineshop nun eine Überweisung von mir will, würde er mir einen Link schicken, z. B. "payto:?iban=DE12345678901234&amount=EUR49.99&subject=Bestellung+1111111". Ich würde ihn anklicken, mein Onlinebanking-Programm würde gestartet, und ich bekäme automatisch einen Entwurf für eine Überweisung mit den entsprechenden Daten angezeigt. Diesen müsste ich ggf. vervollständigen (wenn z. B. bei einem Spendenaufruf kein Betrag angegeben ist) und ganz normal bestätigen und abschicken.

Da es sich um gültige URLs handelt, könnten auch mobile Bankingprogramme, ggf. auch über QR-Codes, über den Standard angesprochen werden.

Leute, die ihre Überweisungen per Webinterface machen, könnten die Daten natürlich weiter manuell eingeben.

Was haltet ihr von der Idee? Lesen hier Entwickler kommerzieller Onlinebankingprogramme mit, die sich vorstellen könnten, so einen Standard gemeinsam zu erarbeiten und umzusetzen?


Gruß
Jan
PS: Wenn man die Idee richtig weit treiben wollte, könnte ein optionaler Parameter eine Ziel-URL für eine Bestätigung sein. Die Bank würde dem Bankingprogramm nach Eingang der Überweisung dann eine digital signierte Bestätigung ausstellen, dass die Überweisung akzeptiert wurde und das Konto gedeckt ist (der Händler also mit seinem Geld rechnen kann), und das Bankingprogramm würde die Bestätigung an die Ziel-URL schicken. Dadurch könnte der Händler direkt sehen, dass das Geld auf dem Weg ist, ähnlich wie bei Giropay.

Eine gute Idee wie ich finde.
Aber entscheidend ist doch, dass das Programm welches den Link anzeigt diesen so darstellen muss, dass es das richtige mit payto verknüpfte Programm startet, wenn man den Link anklickt. Also alle E-Mail Reader, Browser, Betriebssysteme und sonstige Software die anklickbare Links darstellen kann.
Denn den Aufruf macht ja nicht das Zielprogramm sondern das den Link anzeigende Programm.

Und jetzt wird es erst richtig spannend. Mindestens 90 % aller deutschen Privatnutzer machen Onlinebanking im Browser. Und da ist es so, dass man garkeine Überweisungsmaske aufbauen kann, ohne sich vorher anzumelden. Ein solcher Link würde also allerhöchstens den Browser öffnen können, dann wäre schon Ende.
Die restlichen 10 % nutzen die obstrusesten Kombinationen aus Software, Betriebssystem, Medien usw.

Und dann kommt noch das Ausland: Abgesehen davon, dass jedes Land dieser Erde andere Standards hat gibt es ja für den internat. ZV auch noch soetwas wie SWIFT Code und BIC. Das wäre per heute aus deutscher Sicht ganz klar ein Auslandszahlungsauftrag. Der wiederum hat weitergehende Felder z.B. für die Gebührenregelung und die Ausführungsfristen usw.

Hast du für all diese Dinge eine Lösung?

Das ist kein Problem: (non-standard)-URL-Handler werden (zumindest unter Windows, ich denke aber, andere Betriebssysteme werden das ähnlich handhaben) zentral im Betriebssystem registriert. D.h. das Onlinebankingprogramm, egal welches es ist, setzt einen Eintrag "payto wird von mir behandelt", und jeder Browser/Mailclient/... wird beim Klick auf einen solchen Link das Programm finden.




Die müssten leider weiter abtippen. Technisch wäre es zwar denkbar, dass sie den Link in ein Textfeld auf der Onlinebanking-Website kopieren - das wäre aber aus Sicherheitsaspekten ziemlich schlecht, denn wenn ein Bösewicht den Nutzer überredet, irgendwas in die Adressleiste des Bankingfensters zu kopieren, dann gute Nacht...

Ich denke, das größte Potential für die Mainstreamkunden ergibt sich aus der Möglichkeit, die Payto-URLs als QR-Code an Smartphones zu übergeben. Denn darüber werden immer mehr DAUs ihren Bankverkehr abwickeln, und vermutlich oft auch über entsprechende Apps.



Das ist das praktische an URL-Handlern: Jede Software, die sowas kann, kann sich dafür im System eintragen. Der Browser muss sich nicht drum kümmern, ob ein Hibiscus, StarMoney oder sonstwas am anderen Ende wartet, während das Bankingprogramm nicht wissen muss, woher der Link kommt.




Ja, zusätzliche Felder im URL-String. Wenn du dir das Beispiel anschaust, hast du jetzt schon immer name=wert, getrennt durch "&". Das ist erweiterbar.

Gruß
Jan

Wie genau ginge das vonstatten?

Unter Windows schreibt das Programm, welches das Protokoll behandeln will, einen Eintrag in die Registry. Siehe: http://msdn.microsoft.com/en-u…85%29.aspx

Da IE vor Version 9 scheinbar hirntot ist und die URLs kaputtdekodiert, müsste man die Spezifikation des URL-Formats entweder daran anpassen oder man würde die Nutzer defekter Browser ausschließen (das erklärt so einige hässliche Konstrukte die mich verwundert haben). Ist aber auch kein Beinbruch. Im Worstcase kodiert man die Links halt wirklich in b64.

Klingt für mich so ähnlich wie das Prinzip von sofortüberweisung.de, nur halt für Software-Programme.

Wenn ich per Überweisung irgendetwas zahle, kopiere ich aktuell die Überweisungsdaten in den Zwischenspeicher, mein Bankprogramm macht mir daraus einen Vorschlag der richtigen "Feldbelegung" und ich übernehme dies Daten dann nur noch. Mehr Automatisierung würde ich da nicht haben wollen, denn dieses Handling verstehe ich, kann es nachvollziehen und gibt mir ein nicht zu unterschätzendes Gefühl an Sicherheit. In Zeiten, wo wir mit Phishing-Mails überschwemmt werden, werde ich bestimmt keinem Kunden empfehlen, seinen Zahlungsverkehr über welche Links auch immer abzuwickeln.


Kaufen die meisten Leute denn auch über ihr Smartphone im Onlineshop?


Gleiches gilt auch für alle Bankingprogramme (,die ich kenne).

Tschau
Majo

Daraus ergibt sich natürlich das Problem, dass die Mail abgefangen und die Zahlungsdaten manipuliert sein könnten.

Es gibt übrigens einen Hersteller, der deine Idee in Kooperation mit einem Rechnungskauf-Anbieter vor fast einem Jahr realisiert hat. Keine Ahnung, ob ich die Software hier nennen oder für Demonstrationszwecke einen funktionierenden payto-Link posten darf. Damit der Empfänger manipulierte Auftragsdaten erkennen kann, enthält der Link einen Hashwert. Wenn die Prüfsumme nicht stimmt, gibt das Programm eine Warnmeldung aus.

Vom Ablauf her funktioniert das Ganze prima, entbindet den Zahlungspflichtigen trotz allem aber nicht von seiner Aufgabe, die Auftragsdaten zu kontrollieren.

Gruß
Jürgen

Bei sofortüberweisung.de gibst du deine Zugangsdaten einem Fremden, damit er von deinem Konto aus Überweisungen macht. Hier nutzt du wie gewohnt deine Bankingsoftware, der DU vertraust, nur dass du die Daten nicht abtippen musst.



Hm, die Dummheit der Nutzer könnte in der Tat zum Problem werden. Ich denke aber, wenn man den "Payto"-Link ohne viel Erklärung klein einbaut, werden ihn nur diejenigen nutzen, die damit umgehen können.




Und? Dann wird das Programm gestartet, du bestätigst erstmal, dass dir die Daten gefallen, dann meldest du dich an und dann wird die Vorlage erstellt.




Da sehe ich kein Problem. Der Link ist ja nur die maschinenlesbare Darstellung der Bankverbindung. Der Angreifer könnte genauso das (immer noch darüber stehende) "Bitte überweisen Sie den Betrag auf Konto 12345 bei der Blahbank, BLZ 12345678" manipulieren.

Den Link zusätzlich digital zu signieren halte ich daher auch für unnötig (und schwierig, weil man dafür ein Zertifikat mit mehreren KB einbetten müsste). Wenn, dann müsste die Mail signiert werden oder der Link auf einer HTTPS-Seite eingeblendet werden. Ein Hash bringt nix, weil ein Angreifer den Hash mitverändern (bzw. den ganzen Link gegen seinen eigenen austauschen) kann.

Gruß
Jan

Richtig. Zur Kontrolle der Auftragsdaten braucht der Zahlungspflichtige ein Beleg, dem er vertrauen kann. Am besten einen aus Papier. Ich befürchte, ein payto-Link wird den unerfahrenen Nutzer aber eher dazu verleiten, die Auftragsdaten nicht zu kontrollieren. Selbst wenn er einen Papierbeleg hätte. Ist ja alles sicher und so schön bequem. Und genau hier sehe ich das eigentliche Problem. Wenn er die Daten selbst eingeben muss, hat er die erste Kontrolle schon mal hinter sich.

Gruß
Jürgen