Durch Nutzer legitimiertes Phishing

Benutzer ronfein schrieb:
Dann sollte giropay sich aber lieber an die eigene Nase fassen, zumindest was die im eigenen Verbund befindliche Postbank angeht.

Raten Sie mal, was Sie immerhin mit einer gefundenen ec-Karte der Postbank machen können!

Stecken Sie die mal in einen Geldautomaten der Postbank und wählen Sie "Kontostand anzeigen" aus:

Überraschung! Der wird Ihnen klaglos präsentiert - ganz ohne Eingabe der PIN. Zumindest vor ein paar Wochen war das noch so.

Benutzer garfield schrieb:
Noch irgendwelchen total sinnlose Vergleiche? Noch viel schlimmer, wenn mir jemand die Wohnungsschlüssel klaut - der kommt ohne PIN-Eingabe einfach so in meine Wohnung. ;)

Benutzer ronfein schrieb:

Pack dir an die eigene Nase. Dein Vergleich war noch sinnloser.

Gruß Marco

Benutzer marco5555 schrieb:
Echt??? Das darfst Du aber doch nicht verraten!

Benutzer marco5555 schrieb:

Immer diese neunmalklugen Antworten ohne Begründung.
Der Vergleich von garfield ist Schwachsinn hoch 10.

Wenn ich Geld verliere oder es mir geklaut wird soll dasselbe sein wie wenn ich es freiwillig jemandem in die Hand drücke?

rofein hat es auf den Punkt gebracht aber wahrscheinlich hast du seinen Vergleich gar nicht verstanden.

Benutzer Tomi33 schrieb:
Kein Mensch spricht von freiwillig. Vielleicht hast DU eher Probleme mit Vergleichen.
Denn WAS hat denn ronfein beim System von sofortüberweisung.de kritisiert? Ich zitiere:
"Weiterhin ist allein mit Kontonummer+PIN eine komplette Kontoeinsicht ... möglich."
Und damit meint er genausowenig den Kontoinhaber wie ich.

Und ich habe ihm daraufhin die Postbank aus dem System giropay entgegengehalten, wo man mit einer fremden Karte am Automaten sogar OHNE PIN Kontoeinsicht bekommt - zumindest den Kontostand.
Sowohl Karte als auch PIN dürfte niemand freiwillig herausrücken.

Und nun erklär nochmal, warum mein Vergleich Schwachsinn hoch 10 sei.

Was hat das ganze mit der Postbank zu tun? Als ich noch Kunde bei einer Filialbank war (zugegeben, das ist 10 Jahre her), gab es Kontoauszüge aus dem Kontoauszugsdrucker. Dazu hat man die EC- oder Bankkarte eingeführt (natürlich ohne PIN). Auf dem Ausug standen neben den Umsatzinformationen, mein Name, die Adresse und die Höhe meines Dipositionskredits. Ist das heute nicht mehr so?

Benutzer garfield schrieb:
>
Das Prinzip sofortüberweisung.de schon.

>
Der Einwurf ist nur dann sinnvoll, wenn Du jemanden _*freiwillig*_ zur Zahlungsabwicklung die ec-Karte bzw. eine Kopie solange überläßt, damit er dazu überhaupt Gelegenheit hat.

>
Beim Prinzip sofortüberweisung.de machst Du das freiwillig.

>
Weil Du den springenden Punkt bei sofortüberweisung.de unterschlägst: die Daten gibst Du freiwillig ab - es wird nichts "verloren" oder "gestohlen".

Benutzer ronfein schrieb:
Och Leute! Ist das denn so schwer zu verstehen? Du kritisiertest doch wohl die MISSBRÄUCHLICHE Kontoeinsicht bei sofortüberweisung mit der PIN,
ich hielt die MISSBRÄUCHLICHE Kontoeinsicht bei der Postbank bei gefundener ec-Karte dagegen. In beiden Fällen ist doch wohl nicht von einerfreiwilligen Überlassung die Rede, oder?
Oder meintest Du, dass Du den Leuten von sofortueberweisung.de nicht über den Weg traust, dass die sich in Deinem Konto umschauen? Na dann...

Hat sich übrigens sowieso erledigt, da inzwischen die schon korrekten Hinweise kamen, dass man die Kontoeinsicht (mit gefundener ec-Karte) auch bei vielen Banken einfach über den Kontoauszugsdrucker (ohne PIN) hinbekommt.

Mann, was hab' ich wieder losgetreten ;-)

Benutzer garfield schrieb:
>
Der Unterschied besteht darin, dass Du die ec-Karte nicht freiwillig verloren hast aber die notwendigen Daten bei sofortüberweisung.de freiwillig jemanden überlässt.

Ansonsten zurück zu:
https://www.teltarif.de/forum/s31298/5-13.html

Benutzer ronfein schrieb:
Ja, ich hab's kapiert. Du meinst also mit mißbräuchlicher Benutzung sofortüberweisung.de selbst, denn andere kommen ja auch nicht freiwillig an Deine PIN.

Dann noch mal 'n anderer Gedanke, der mir bei der Klage komisch aufstieß:
"In der Klage ... wirft Giropay dem Konkurrenten unter anderem vor, Bankkunden zur missbräuchlichen Nutzung ihrer Kennwörter (PIN) sowie Transaktionscodes (TAN) anzustiften und die Sicherheit des Internet-Bankings zu gefährden."

Wieso MISSBRAEUCHLICH? Da sie wohl kaum ernsthaft behaupten wollen, dass sofortueberweisung.de die Daten an andere weitergibt, wäre ein Missbrauch nur der Fall, wenn sofortueberweisung.de selber den Missbrauch betreiben würde. Das kann man zwar unterstellen, aber darauf dürfte ein Richter wohl kaum eingehen, denn bösen Konkurrenten was zu unterstellen regt niemanden auf, solange keine Anhaltspunkte gegeben sind.
Ebenso können sie kaum ein Gefährdung der Sicherheit des Internet-Banking beklagen, da sie dazu beim Konkurrenten sofortueberweisung.de die technische Verarbeitung der Daten, deren Absicherung und deren Art der Übermittlung an die jeweilige Bank erstens kennen müßten und zweitens dies auch wirklich unsicher sein müßte.

Ich nehme doch mal an, dass sofortueberweisung.de für die Abwicklung ebenso Vereinbarungen mit teilnehmenden Banken trifft - schon allein um die Schnittstellen zur Datenübergabe und Auslösung einer Überweisung bei der jeweiligen Bank abzustimmen. Ich glaube kaum dass da jemand sich hinsetzt und mit den erhaltenen Daten die Online-Formulare der Banken füttert.
Bei entsprechenden Vereinbarungen wird die Klage noch sinnloser.
Schließlich auch die Frage, wie sofortueberweisung.de ueberhaupt Geld verdient, denn der Kunde hat ja keine Zusatzkosten. Vermutlich müssen die Empfänger etwas abtreten (wird wohl bei giropay nicht anders sein).

Benutzer garfield schrieb:
>
Deine Annahme stützt sich worauf? Die Annahme ist zudem sicherlich nicht korrekt. sofortüberweisung.de

>
Doch es ist gängige Praxis, dass Software die Online-Seiten der Banken interpretiert und versucht diese dann korrekt auszufüllen.

>

Schonmal was von HBCI gehört? Die Schnittstelle bietet praktisch jede Bank, sie ist für Homebanking-Software gedacht. Genauso wird wohl auch sofortüberweisung.de zugreifen - daher muss da wohl mit den Banken auch nichts abgestimmt werden.

Benutzer shrek81 schrieb:
>
sofortüberweisung.de bietet auch Banken an, welche m.W. ausschließlich Browser-Online-Banking anbieten d.h. kein HBCI/FinTS.

Benutzer ronfein schrieb:


Wow, das war mir nicht bekannt. Ich stell es mir praktisch unmöglich vor, dauerhaft automatisiert Browser-Banking-Masken zu bedienen. Das fängt beim Captcha an und endet nicht zuletzt an Sicherheitsrichtlinien (maximale Anzahl Logins pro IP und Zeitintervall, etc, etc). Updates an der Maske mal noch gar nicht einberechnet.

Benutzer Tomi33 schrieb:

Du musst nicht immer von dir auf andere schliessen!

Marco

Benutzer garfield schrieb:


Mit den Karten der Berliner Sparkasse kann man sich auch ohne PIN die Kontoauszüge ausdrucken lassen, war meines Wissens bei der Postbank und zumindest einer Volksbank auch so.

Coolio

Benutzer coolio01 schrieb:


gibt es eine Bank bei der dies nicht so ist?

Benutzer coolio01 schrieb:
Stimmt! Da haben Sie allerdings recht.

Benutzer garfield schrieb:


Das ist immer noch so!Auch mit der Sparcard.

Benutzer ronfein schrieb:



jede Nutzung von online-Bankdiensten ist so gesehen Vertragsbruch.
die Daten wie PIN udn TAN werden ja auf unlizensioerter Hardware und vor allem unlizensierter Software eingegeben ohne Kontrolle ob alles ohne Trojaner/Viren ist.
es besteht keinerlei Kontrolle in welche Hände die eingegebenen Daten gelangen.


einzige Abhilfe ist wirklich ein von der bank zur Verfügung gestelltes Betreie4bssystem mit Eingabesoftwaer - streng genommen sogar eine von der Bank zur Verfügung gestellte Hardware (Eingabeapparat).







das ist bei jeder online-Bankdienstleistung der Fall.
hat sich inwzisceh so durchgesetzt.

Benutzer spunk_ schrieb:

>

Hast du mit deiner Bank vereinbart, dass du nur "lizensierte" Hard- und Software benutzen darfst (was immer das genau ist)? Bei mir ist das jedenfalls nicht der Fall.


Doch, da gibt es schon eine Reihe von Kontrollmechanismen - z.B. Verschlüsselung und Zertifikate.


Wenn du das für nötig hältst, kannst du auf Online-Banking verzichten und stattdessen SB-Terminals deiner Bank nutzen. Aber wer garantiert dir, dass ein System sicher ist, nur weil es die Bank zur Verfügung stellt?

>

Wenn man Online-Dienste so nutzt wie es vertraglich vereinbart wurde, ist es natürlich kein Vertragsbruch.

Dein Rechner scheint übrigens unkontrollierte Zeichen an teltarif.de zu schicken. Ist das auch Vertragsbruch? :-)

Benutzer Mobilfunk-Experte schrieb:


zumindest steht in irgendwelche AGB die daten nicht in fremde Hände gelangen zu lassen - tja: das Problem ist nun dass eben bei online-bankdienstleistung über Internet die Daten eben gerade an Dritte (den Internetbrowserhersteller) übergeben werden



der browser ist noch immer ein Programm von Dritten.


ich habe damit ja kein Problem.


dann besteht ja keinerlei Problem mit sofortueberweisung - da werden die Daten auch nur an Dritte übergeben.



der Nutzungsvertrag mit teltarif sieht gerade dies ja vor.

Benutzer spunk_ schrieb:


Wenn dein Browser deine Bank-Zugangsdaten an den Hersteller übermittelt, hast du in der Tat ein Problem. Einen solchen Browser solltest du besser nicht verwenden.


Richtig, aber trotzdem gibt es Kontrollmechanismen.


Außer natürlich, dass es in der Regel vertragswidrig ist, Bank-Zugangsdaten an Dritte weiterzugeben.

Benutzer Mobilfunk-Experte schrieb:


funktioniert das be di anders?

wenn das Anzeigeprogramm darstellt "PIN eintippen" tippst du diese doch über den Dritthersteller der Tastatur in den Dritthersteller des Rechners an den Dritthersteler des Browser ein, der diese dann über die von dritten hergestellte Verbindung zur Bank sendet.

und da gerade dieses inzwischen von den Banken akzeptiert ist ist an der Verwendung von sofortueberweisung ja kein Problem - auc da gehen die Daten an Dritte.


mein ich ja: also besteht keinerlei problem mit sofortueberweisung


na eben nicht - das ist sogar die allgemeine Regel.

Benutzer spunk_ schrieb:

>

Ja, mein Browser sendet die Daten nur an die Bank.


Nein, ich tippe die PIN über meine Tastatur, die ein Dritter hergestellt hat, in meinen Rechner, den ein Dritter hergestellt hat, und übermittle sie mit meinem Browser, den ebenfalls ein Dritter hergestellt hat. Du merkst den Unterschied?


Das ist nicht so schlimm, weil die Verbindung authentifiziert und verschlüsselt ist.


Das ist mitnichten dasselbe. Beim normalen Online-Banking werden die Daten nicht an Dritte übermittelt. Es gibt lediglich eine gewisse Gefahr, dass das geschehen *könnte*. Bei "sofortueberweisung.de" werden die Daten dagegen *immer* und mit voller Absicht an einen Dritten übermittelt.


Doch, weil die Zugangsdaten an einen Dritten weitergegeben werden. Das ist auch dann unzulässig, wenn der Dritte vom TÜV oder sonst wem geprüft wurde.


Nein, das ist *nicht* die allgemeine Regel, sondern es gibt allenfalls ein Risiko, dass derartiges *entgegen* der allgemeinen Regel passiert.

Benutzer Mobilfunk-Experte schrieb:



klar - bei dir gehen die Date nicht an einen Dritthersteller sondern an Ding (Hardware/Software) die ein Dritter hergestellt hat.
und so ist es auch bei Sofortueberweisung - auch da gehen die Date an Dinge (Hardware/Software) die ein Dritter hergestellt hat.



sondern an Dinge (Hardware/Software) von Dritten - okay.


nein - an Dinge (Hardware/Software) die ein Dritter hergestellt hat.

du bemerkst keinen Unterschied.


und genauso wäre es auch bei der Software7Hardware direkt beim Anwender.
die Daten gehen an das Ding das von Dritten hergestelt ist.


das Risiko besteht allerdings auch bei sofortueberweisung

Benutzer spunk_ schrieb:


Dabei bleiben die Daten innerhalb meines Machtbereichs.


Dabei gelangen die Daten allerdings immer und absichtlich in den Machtbereich eines Dritten.


Die Daten werden nur an die Bank übermittelt und verlassen meinen Machtbereich ansonsten nicht.


Diese Hard- und Software befindet sich im Machtbereich von "sofortueberweisung.de". Damit habe ich die Daten einem Dritten preisgegeben.


Doch, ich bemerke den Unterschied.


Nein, denn die Verwendung von Hard- und Software beim Kunden selbst ist keine Weitergabe an Dritte.


Es werden immer und überall Dinge verwendet, die von Dritten hergestellt wurden.


Nein, bei "sofortueberweisung.de" ist das kein Risiko, das man in Kauf nimmt, sondern der ganz normale planmäßige Ablauf.

Benutzer Mobilfunk-Experte schrieb:


möge die Macht mit dir sein....
bzw- deine Vorstellung dazu.
(denn dein Machtbereich endet ja schon an der Tastatur)



genauso wie im obigen Fall.
es ist nur eine weitere Zwischenstation - ansonsten besteht keinerlei Unterschied.




keineswegs - die daten verlassen deinen Machtbereich schon an der Tastatur. aber dein Vertrauen ist herzlich.


genauso wie deine Tastatur.
bist du dir denn sicher das der Hersteller in China nicht einen Zwischenspeicher im Tastaturchip hat der die Daten gepackt zentral auswertet?


na siehste.


ausser die Hard/Software ist eben von Dritten. was eigentlich der Normalfall ist.


genau


natürlich - auch dort besteht die Gefahr, dass die Daten an Dritte gelangen.

Benutzer spunk_ schrieb:
Ja und der Richter, welcher das Urteil zur Haftung im Missbrauchsfall spricht ebenfalls.

Benutzer ronfein schrieb:


bisher ist das Urteil ja noch nicht gefallen - mal abwarten.

Benutzer spunk_ schrieb:
>
Ja warum nicht? Warum klärt sofortüberweisung.de die Haftungsfrage im Missbrauchsfall selbst nicht?

Benutzer ronfein schrieb:


ist jetzt ja nicht mehr nötig - es wird ja von der anderen Seite (also vom Wettbewerber aus) geklagt.

und vorher war offensichtlich kein Bedarf.

Benutzer spunk_ schrieb:
>
Ja. Von den gängigen Browsern wird dies nicht gemacht.

Falsch. Es sind keine "Dritte" im Sinne der AGB bzw. im juristischen Sinn.

>
Es ist ein Problem. Da hier ein Dritter - sofortüberweisung.de - die Daten Kontonummer/PIN/TAN direkt benutzt und auswertet.

>
Nur wenn man wie Sie "Dritte" bewußt falsch interpretiert. Weder PC-Hersteller, Browserhersteller noch der Internetprovider erfahren und nutzen i.d.R. die Daten Kontonummer, PIN, TAN im Klartext. Bei sofortüberweisung.de ist dies jedoch der Fall.

Benutzer ronfein schrieb:


na dann passt das doch - ebensop verhält es sich ja mit der software/Hardware bei sofortueberweisung.



das Problem besteht bei der Hardware/software direkt beim Anwender leider auch.
trotzdem ist es gängige Praxis.


was beudetet nun "i.d.R." beim Vergleich und wieso sollte die Hardware/Software bei sofortueberweisung speziell unkorrekter arbeiten als diejenige beim Anwender?

Benutzer spunk_ schrieb:
Eben nicht. Selbst sofortüberweisung.de ist wohl der Meinung, dass der Konteninhaber im Missbrauchsfall voll haftet:
"Vorsorglich weisen wir dennoch darauf hin, dass es Banken und Sparkassen gibt, die davon ausgehen, dass die Nutzung des Dienstes sofortüberweisung.de wegen der Verwendung Ihrer PIN und TAN zu einer Haftungsverlagerung bei etwaigen Missbrauchsfällen durch Dritte führt. Dies kann dazu führen, dass im Missbrauchsfall Ihre Bank sich weigert, den Schaden zu übernehmen und im Ergebnis Sie den Schaden zu tragen haben."

Weiterhin ist nicht klar, warum sofortüberweisung.de nicht gegen solche geschäftsschädigenden Aussagen der Postbank vorgeht:
"Bei den Adressen www.sofortueberweisung.de oder www.payment-network.com sowie https://etra.t-online.de handelt es sich nicht um Postbank Adressen. Auf diesen Seiten dürfen Sie nicht Ihre Online-PIN und Ihre mobileTAN bzw. iTAN eingeben. Andernfalls verstossen Sie gegen die Sorgfaltspflichten, die Sie mit der Postbank in den Besonderen Bedingungen Postbank Online-Banking vereinbart haben."

Auch das lässt vermuten, dass selbst sofortüberweisung.de der Meinung ist, dass im Missbrauchsfall der Konteninhaber voll haftet.

Benutzer ronfein schrieb:


nun - die PIN und TAN wird ja derzeit bei jeder Art von online-Bankdienstleistung in die Software von Dritten eingetragen - es hat sich inzwischen als gewöhnlicher Vorgang durchgesetzt.

ich kenne keine Bank die an diesem System rüttelt.




tja - womöglich möchte die Posbank explizit selbst das Geschäft machen.
das ist ja auch der grund für die Wettbewerbsklage ausgehend von giropay.


tja - und schon darf plötzlich kein Kunde der Postbank mehr online-Bankdienstleistungen nutzen - denn die Postbank stellt keine eigenen Software zur Verfügung sondern erwartet ja dass die Knden die sensiblen daten in Fremdsoftware eingeben.


die Banken wollen eben im Zweifelsfall lieber keine rechtliche Verpflichtung eingehen. es wird ja auch behauptet die PIH der EC-Karte sei sicher und im Zweifel haftet der Kunde.

Bitte beschäftige Dich erst einmal damit, was "Dritte" meint. Und nein, es ist ein absolut ungewöhnlicher Vorgang, dass dabei ein Dritter ins Spiel kommt.

>
Das ist nicht die Frage. Wäre die Behauptung grundsätzlich falsch, hätte jeder erwartete, dass von sofortüberweisung.de dagegen vorgegangen wird. Angesichts dieser Meldung
http://www.internetworld.de/Nachrichten/Backoffice/Sofortueberweisung.de-kaempft-gegen-Giropay
hätte man eher eine einstweilige Verfügung und einen Prozess bis zur höchsten Instanz erwartet.

Wo ist der Dritte dabei im Spiel? Der Softwarehersteller ist kein Dritter in diesem Sinne.
Ansonsten zurück zu:
https://www.teltarif.de/forum/s31298/5-35.html

>
Darum geht es nicht. Warum klärt sofortüberweisung diese grundlegend wichtige Frage nicht abschließend, sondern läßt einen Kunden im Missbrauchsfall ohne Aussage zum Schadensersatz im Regen stehen?
https://www.teltarif.de/forum/s31298/5-50.html

Benutzer ronfein schrieb:


und aktuell sogar passend zum Thema:
http://www.heise.de/newsticker/meldung/Android-App-spionierte-Bank-Logins-aus-901768.html?view=print


ob der Softwarehersteller nun diese für ein Mobiltelefon erstelt oder ganz allgemein fürs Internet ist Nebensache.
Tatsache ist: dass die Daten eben dort eingetragen werden und dies inzwischen von allen banken so akzeptiertist.





es gab ja bisher keinen Grund.

die Klage hat dahingehend zumindest den Vorteil, dass alles mal geklär werden kann.
evtl. sind die banken dann künftig dazu gezwungen mindestens eigene Software vorrauszusetzen (vielleicht sogar innerhlab einesgetrennt gestarteten betriebssystems) und nicht den bislang (ja nach Grad der Paranoia) Unsicheren Weg über Dritthersteller.

Benutzer spunk_ schrieb:
>
Warum Du sofortüberweisung.de mit einem Banking-Trojaner vergleichst, weißt nur Du. Aber in meinen Augen ist der Vergleich nicht unpassend. Allerdings wird nicht von allen Banken akzeptiert, dass von einem bekannt kompromittertem System aus Online-Banking betrieben wird.

Benutzer ronfein schrieb:


ein Banking-Software mit einem Trojaner mit jedem Internetbrowser


weil auch das nur die Software - von Dritten! ist, mit denen die Eingabe der sensiblen Daten erfolgtt.


im Gegenteil: derzeit akzeptiert jede Bank die Eingabe über Internet mit einer beliebigen Software.

Benutzer spunk_ schrieb:
Falls der Kontoinhaber vom Banking-Trojaner weiß, ist er i.d.R. auch für die entstandenen Schäden haftbar. Deiner Logik folgend, ist das bei Nutzung von sofortüberweisung.de dann auch so.

Banken akzeptieren das i.d.R. nur wenn der Kunde selbst von der Sicherheit überzeugt ist, d.h. es ist dann kein "bekannt kompromittiertes System".

Benutzer ronfein schrieb:


genaus - und da es dir weder bei deinem browser noch bei der Software bei sofortueberweisung klar ist ob darin ein Trojaner verborgen istschliesst sich der Kreis.



eben - und aus dem Grund erscheint die Klage von giropay gleich in einem anderen Licht.
es ist nämlich nicht ersichtlich ob die Software dort tatsächlich von trojanern vereucht ist.

lass ihn, er will einfach nicht verstehen, dass es zwischen Browser -> Bank und Browser -> sofortüberweisung.de -> Bank einen erheblichen Unterschied gibt.

Benutzer spunk_ schrieb:
Das ist Humbug.

Das entspricht dem Vertrag.

Falsch, der Nutzer hat dafür Sorge zu tragen, dass keine Viren oder Trojaner ihr Unwesen treiben.

Falsch.

Wo steht das in den AGB?

Das ist grober Unfug.

Benutzer ronfein schrieb:


na dann ist das im Artikel beschrieben problem mit sofortueberweisung ja nicht orhanden.


alles ist gut.


na perfekt.



welches System nutzt nicht die Eingabe an eine dritte Partei, sondern geht direkt zur Bank?

Benutzer spunk_ schrieb:
Wieso ist sofortüberweisung.de die einzig mögliche Variante?


Jedes Online-Banking, welches über den Kontoinhaber-PC direkt die Online-Banking-Seiten aufruft. Das macht aber sofortüberweisung.de nicht sondern schaltet sich dazwischen - wie halt Phisher auch.

Benutzer ronfein schrieb:


ist nicht die einzig möglich, aber eben diejenige die es i Artikel geht - aus welchem Grund auch immer?


ne - bei online-Bank-Seiten gehen die Daten ja auch erst an Dritte bevor die bei der Bank sind.

Benutzer spunk_ schrieb:
>
Wieso setzen Sie dann "jede Nutzung von online-Bankdiensten" mit der Nutzung von sofortüberweisung.de gleich? Im Artikel steht doch das es auch andere Möglichkeiten gibt.

>
Wer sollen diese "Dritten" sein, welche die Daten (unverschlüsselt) mitlesen können?

Benutzer ronfein schrieb:


erstmal der Hersteller der Tastatur
dann der Hersteller der restlichen Hardware
dann Hersteller des Bestriebsystems
dann Hersteller des Internetanzeigers

Benutzer spunk_ schrieb:
>
Träum weiter. In einer paranoiden Welt hast Du zwar Recht, aber dann hast Du den Hersteller der Stadt, des Häuserblocks, des Hauses, des Ziegelsteins, der Schrankwand, des Tisches, des Hemdes, des Knopfes, des Knopfloches, des Zwirnfadens ... vergessen zu erwähnen. Nur hat das mit der unseren Welt wenig gemein.
Weiterhin ist dann Deine Annahme
es könne überhaupt eine legitime Banküberweisung geben - ob online oder offline grundsätzlich falsch.

Benutzer ronfein schrieb:


ich selber habe damit ja keienrlei Problem - giropay ist diejenige Partei die es etwas enger sehen möchte.

Benutzer spunk_ schrieb:
>
Deiner Definition von "Dritter" folgt nur kein Richter ernsthaft. Es ist ein Unterschied zwischen der Nutzung eigener Hard-/Software und der Nutzung eines Dienstes eines Dritten, welcher die Daten Kontonummer, PIN, TAN im Prinzip im Klartext verarbeitet.

Benutzer ronfein schrieb:


mal abwarten.... dann kommt ja das Ergebnis.


es geht nicht um eigene Hard/Software.
es geht um Hard/Software von Dritten!


wieso Klartext?
es ist eine verschlüsselte Übertragung zum Rechner der Bank

Benutzer spunk_ schrieb:
>
Das

>
Verstehst Du auch nur ansatzweise, wie sofortueberweisung.de funktioniert? Innerhalb von sofortueberweisung.de werden die Daten im "Klartext" verarbeitet. Die verschlüsselte Übertragung zur Bank erfolgt auch beim illegalen Phishing.

Benutzer ronfein schrieb:


ich schon, aber damit du auch hier eine grobe Übersicht:
https://www.payment-network.com/images/stories/de/vendor/sofortueberweisung/ablauf_550.gif

Benutzer spunk_ schrieb:


Jeder sollte für sich selbst folgende Situationen überprüfen:

1. Ich übernachte in einem Hotel, in dem ich schon öfter gewesen bin. Am Eingang kommt ein mir bekannter Angestellter und bittet mich um den Schlüssel, da er mein Auto parken möchte.
(Wäre in etwa vergleichbar mit einer Bank/Sparkasse bei mir vor Ort, bei der ich ein Online-Konto unterhalte.

2. Ich fahre in die Stadt und suche einen Parkplatz. Und schwupps...
zum Glück kommt da doch einer daher, der eine Warnweste mit der Aufschrift "Parkplatzwächter" anhat.
Dem übergebe ich nun meine Schlüssel und mein Auto, weil ich unbedingt in die nächste Kinovorstellung gehen möchte und nicht noch 2 Stunden warten will.
(Das wäre dann in etwa so wie onlineüberweisung.de)

Wie blöd muß man da denn sein, um in der heutigen Zeit des relativ ungestraften Datenmißbrauchs im übertragenen Sinn seine "Schlüssel" übergibt und sich in fremde, völlig unbekannte Hände begibt!?


Monika

Benutzer Monika Penthouse schrieb:


das Problem: du vertraust einem völlig fremden Internetanzeigeprogramm (die browser werden von mozilla/microsoft/google/opera/apple/.. produziert) diese Daten an.

wer so paranoid ist muss zwangsäufig auf online-Bankdienstleistung verzichten.

Benutzer spunk_ schrieb:


Du unterstellst mir Paranoia und hast überhaupt nicht verstanden, worum es eigentlich geht!?

Monika

Benutzer Monika Penthouse schrieb:


es geht um die Wettbewerbsklage giropay gegen sofortueberweisung.

dieses wird ja wohl nur vordergründig wegen Paranoia geführt. der eigentliche Grund mag eher im beginneneden Wettbewerb begründet sein.

Benutzer spunk_ schrieb:

Der eigentliche Grund für Klagen, liegt meistens in einem jeweils subjektiv falsch verstandenem Verhältnis von Vor- und Nachteilen. Natürlich.
In diesem Fall entsteht für den Kläger allerdings noch den Vorteil einer kostengünstigen "Aufklärung" über die interessierten Medien.

Monika

Benutzer Monika Penthouse schrieb:


der Kläger meint entweder er sei komplett im Recht aber hofft eher der Beklagte scheut die Kosten und dieser zieht das vermeintliche Angebot zurück.


eher ein Vortel für die Anwender... denn es werden sich sicherlich auch Banken "zu Wort" melden müssen sofern der Prozess sinnvoll geführt wird.
es werden garantiert keine internen Daten in die Öffentlichkeit gelangen, aber es reciht ja als Grundsatz eine Entsceidung ob es weiterhin so laufen darf wie jetzt - also keinerlei sichere Hard/Software ist nötig - oder ob künftig auf ein system mit mehr Sicherheit gesetzt werden muss.

der Prozess ist eher kritisch für die Banken mit online-Dienstleistung.

Benutzer spunk_ schrieb:

Es wird im Fall der Fälle eventuell einen Einschnitt in so manch` unbekümmerten Geldtransfer geben...
wahrscheinlich mit finanziellen Aufschlägen für die Kunden. Doch ich bleibe dabei:

Meine Zugangsdaten und meine TAN, werde ich auch in Zukunft lieber selbst verwalten.

Monika

Benutzer Monika Penthouse schrieb:


also keine online-Bankdienstleistung.


jeder hat ja seine persönlichen Grundsätze.

Benutzer spunk_ schrieb:

Nun, ich habe dir meine Auffassung von dem mir genehmen, direkterem Zahlungsweg, an einem abstraktem Beispiel veranschaulicht..

https://www.teltarif.de/forum/s31298/5-53.html



Ja, die habe ich.
Nenn` du es Paranoia.....
wenn ich in onlineüberweisung.de ein vermeidbares, zusätzliches Risiko sehe.
Ich nenne es Vernunft auf niedrigstem Niveau.

Monika

Benutzer ronfein schrieb:

Bist Du da sicher?

https://www.payment-network.com/de/vendor/sofortueberweisung-tuev.html

Zitat:
"PIN und TAN Daten werden von der Payment Network AG nicht gespeichert und sind zu keinem Zeitpunkt für die Mitarbeiter einzusehen."

"Überweisungen, die über sofortüberweisung.de übermittelt werden, können von der Payment Network AG keinesfalls verändert oder manipuliert werden."

Benutzer garfield schrieb:
Ja. Mit Klartext ist gemeint, dass das System irgendwann die PIN als "4711" kennen muss, um diese dann korrekt in die Bankformulare eintragen zu können. Dass die heute eingesetzten kryptografischen Verfahren eine direkte Umwandlung (ohne Zwischenschritt der Entschlüsselung) zulassen würden, wäre mir neu.

>
sofortüberweisung.de kann doch alles behaupten. Mit Tatsachen muss dies nichts unbedingt etwas zu tun haben. Es gibt zumindest einen glaubhaften Fall, wo sofortueberweisung.de die Daten abweichend vom Nutzerauftrag verwendet hat.
http://www.heise.de/security/artikel/Sofortueberweisung-791359.html
"Sowohl mein Wunsch nach Aufklärung der Fehlerursache als auch der Hinweis auf eventuelle Schadensersatzansprüche blieben unbeantwortet."

Damit ist wohl auch die Behauptung von sofortueberweisung.de fragwürdig:
"Bei dem Dienst sofortüberweisung.de ist es bisher zu keinen Missbräuchen gegenüber Endverbrauchern gekommen (TÜV-zertifiziertes Online-Zahlungssystem)."
https://www.payment-network.com/de/user/sofortueberweisung-sicherheit.html
Was ist in den Augen von sofortüberweisung.de ein Missbrauch? In meinen Augen liegt ein Missbrauch vor, sobald die Daten abweichend vom Nutzerauftrag verwendet werden - ob dabei Quellkonto, Zielkonto, Betrag oder Verwendungszweck falsch sind, ist für die Betrachtung erst einmal unwesentlich.

Aber auch die Behauptung von sofortüberweisung.de ist fragwürdig:
"Die Payment Network AG verfügt über eine Versicherung, die in Höhe von bis EUR 5.000,-- je Schadensfall bei PIN- und TAN – Missbrauch (zu Lasten eines Endkunden, der seine PIN und TAN über unser System eingibt) eintritt."
https://www.payment-network.com/de/user/sofortueberweisung-versicherung.html
Eigentlich hätte man erwartet, das im obigen Fall auf diese Versicherung hingewiesen wird und wie eine Schadensmeldung durchzuführen ist. Warum sofortüberweisung.de nicht auf möglichen Schadenersatz eingeht, darüber können wir nur spekulieren.



Leider schränkt teltarif die Möglichkeit der Diskussion ein:
"Sie haben in einem kurzen Zeitraum sehr viele Beiträge geschrieben. Sie haben jetzt ein Limit erreicht, bei dem kein weiterer Beitrag mehr angenommen wird."

Benutzer ronfein schrieb:


na eben - das ist dann aber bei jeder Art von opnline-Bankdienstleistung der Fall.


na eben - das ist dann aber bei jeder Art von online-Bankdienstleistung der Fall.


gabs es im obigen Fall ein en Missbrauch? das kling eher nach einem brutalen Fehler im System.



der Fehler hier im Forum ist mir auch schon aufgefallen.

Benutzer spunk_ schrieb:
Nein, es ist nicht der Fall, dass "bei jeder Art" die PIN im Klartext bei einem Dritten verarbeitet wird. Das ist jedoch typisch für sofortüberweisung.de.

Selbst wenn es wahr wäre, ist es fast unwesentlich, da "bei jeder Art" i.d.R. nur zwei Parteien beteiligt sind, ist die Haftungsfrage einfacher zu klären. Bei sofortüberweisung.de kommt eine dritte Partei hinzu.

>
IMHO ja: die Daten PIN/TAN wurden dazu missbraucht, ein falsches Konto zu belasten.

Ein "Fehler", welcher die eingegebenen Daten dazu missbraucht, ein falsches Konto zu belasten.

Benutzer ronfein schrieb:


das wird natürlich bei jeder üblichen online-Bankdienstleisung in die Software von Dritten mit der Hardware von Dritten im Klartext eingetragen.
ich kenne derzeit keine Bank die zumindest eigene Softwre zur Verfügung stellt - jede bank erwartet vom Kunden dies mit irgendwelcher Software zu tun.


das ist der einzige Unterschied.
ansonsten ist das System exakt gleich sicher oder gleich unsicher.
je nach Sichtweise oder dem grad der Paranoia.

Benutzer spunk_ schrieb:

>
Falsch. Die Software und Hardware, wo ich die Daten eingebe, gehören mir und nicht einem Dritten.

Was genau würde das bei Deiner abwegigen Interpretation von "Dritten" ändern? Gar nichts, weil irgendwann immer ein Produkt genutzt wird, welches man nicht selbst hergestellt hat.

>
Nein, rein gar nicht. Bei softwareüberweisung.de kommt zusätzliche Software und Hardware und eine dritte Partei nämlich softwareüberweisung.de ins Spiel, was die Missbrauchsfähigkeit des gesamten Vorgangs nicht unwesentlich erhöht.

Benutzer ronfein schrieb:


ist aber von Dritten.
das ist ja das Problem: und ih glaube dir einfach nicht, dass du deinen Internetbrowser selbst erstellt hast.
du vertraust a einfach den Aussagen des Herstellers und gibts dort die Daten ein.


es sollte ebe von der Bank zur Verfügung gestellt sein. dann werden die Daten nicht in die Software von absolut fremden eingetragen.

und ich habe damit kein Problem - so paanoid bin ich derzeit noch nicht.





aber auch nur zusätzlich - also genauso eine Dritte Partei wieiejenige beim Kunden.


stimmt: es ist nur eine weitere Partei dabei. der Grundsatz, dass diese sensiblen Daten an vollkommen Unbeteiligte übergeben wird ist in beiden Fällen vorhande.

Benutzer spunk_ schrieb:
>
Ist aber kein Dritter bzw. dritte Partei.

Na und? Die Technik ist allein unter meiner Verfügungsgewalt und es kommt dabei i.d.R. keine dritte Partei ins Spiel.

>
Was genau würde das ändern? Irgendetwas hätte auch dabei jemand anders hergestellt.

Benutzer ronfein schrieb:


na eben - so klingt es wieder vernünftig.
endlich ist die Paranoia beendet.


es ist eben derzeit so üblich den Aussagen zu vertrauen.

Benutzer spunk_ schrieb:
>
Genau und deshalb tätigt man vernünftigerweise _*niemals*_ Transaktionen via sofortüberweisung.de, da die Daten dann die eigene Verfügungsgewalt verlassen. :-)

Benutzer ronfein schrieb:


oder gar in einen x-beliebigen Internetbrowser. denn die verfügungsgewalt geht sofort verloren.

aber so paranoid bin ich zugegeben nicht.

Benutzer ronfein schrieb:


Ich würde mir es dreimal überlegen, meine Onlinebanking PIN einer privaten Firma zur Verfügung zu stellen, damit diese mit der ebenfalls zur Verfügung gestellten TAN dasselbe macht, was ich beim Onlinebanking mache. (Nur damit die dem Händler sofort bestätigen, dass die Überweisung erfolgt ist) Die TAN ist nach einmaliger Nutzung zwar ungültig, aber die PIN ist der Firma danach bekannt. Keiner weiss, ob die dann irgendwo gespeichert ist, sorfort gelöscht wird oder was auch immer. Wer sagt mir, wie sicher deren Rechner ist? Meine Sparkasse wird sich im Falle eines Missbrauchs davon bestimmt nichts annehmen.
Bert