Pages:
Author

Topic: Konto Sofortüberweisung (Read 2697 times)

legendary
Activity: 2730
Merit: 1263
February 10, 2015, 05:51:05 PM
#24
Richtig. Und für diejenigen, denen Sicherheit sowieso am Allerwertesten vorbei geht (solange sie damit nicht selbst auf die Nase gefallen sind) - also die Sofort-Kunden - ist dann ein Abgleich der TAN sowieso eine völlig unnötige Schikane.  Wink

Egal (Augen und Ohren zu *lalala*), im Zusammenhang mit Banken ist den Kunden ja noch nie etwas passiert und es ist auch kein einziger Kunden bisher auf seinem Schaden sitzen geblieben... oder so ähnlich. Schön das wir drüber gesprochen haben, jetzt noch schnell eine Sofortüberweisung tätigen.  Cool
legendary
Activity: 1372
Merit: 1000
CTO für den Bundesverband Bitcoin e. V.
February 10, 2015, 03:43:16 PM
#23
Zum Thema eine TAN ist an genau einen (den aktuellen) Auftrag gekoppelt sagt meine Sparkasse:

Quote


Sicheres Online-Banking

Nach Abschluss der Dateneingabe fordern Sie eine TAN für Ihren TAN-Generator bzw. für Ihr Mobiltelefon an. Neben der TAN werden Ihnen die wichtigsten Auftragsdaten im Display angezeigt. Stimmen diese Daten mit dem Originalauftrag überein, dann geben Sie die TAN ein, um Ihren Auftrag zu unterschreiben. Stimmt etwas nicht, brechen Sie den Vorgang sofort ab. Sperren Sie Ihr Konto und nehmen Sie Kontakt mit Ihrer Sparkasse auf.



Es gibt durchaus Szenarien, wo ein legitimer Ü-Auftrag des Kunden auf dem Weg zum Server der Bank unautorisiert geändert wird. Gibt man diesen modifizierten Auftrag mit der TAN frei, so wird die Überweisung ausgeführt und man bleibt auf dem Schaden sitzen, da man nicht sorgfältig die Anzeige im TAN-Gen. bzw. dem Telefon geprüft hat.

Oftmals erstatten Sparkassen den Schaden aus Kulanz und um neg. Presse zu vermeiden, aber es gab Fälle wo der Kunde im Regen stand.

Somit ist eine TAN also zumindestens nicht zwingend an einen Auftrag bzw. den von mir eigtl. eingestellten Auftrag gebunden.
hero member
Activity: 714
Merit: 500
February 10, 2015, 07:42:58 AM
#22
Ich weiß nach wie vor nicht, was mit "im Schadensfall" gemeint ist. Von welchem Szenario reden wir hier eigentlich?
Es bleibt dabei, dass jemand mit einem gestohlenem TAN nichts anfangen kann, weil ein TAN an eine spezifische Transaktion gebunden ist und ansonsten wertlos ist.
Sollte "ein Schadensfall" eintreten, muss die Bank zeigen, dass es die Schuld des Kunden war. "Der hat mal SOFORT benutzt", ist kein Beweis für irgendwas.
Davon, dass AGBs oft rechtlich absoluter Unsinn sind und überhaupt keine Gültigkeit haben, will ich jetzt erst gar nicht anfangen.
legendary
Activity: 1882
Merit: 1108
February 10, 2015, 07:27:32 AM
#21
Es ist sinnlos mit Mezzomix zu diskuttieren. Alles was er nicht kapiert existiert einfach nicht und damit sind seine Auslegungen grundsätzlich korrekt. Auch wenn sie auf minimalsten Informationen beruhen. Wenns nötig ist muss man bweisen das die Sonne morgens aufgeht. Spätestens dann lässt man es.

Zu Sofort.com:

Man gibt lediglich das Passwort weiter, bzgl TAN darf man wohl der Sofortüberweisung soweit vertrauen. was sie recht sicher ausschliessen: Man in the Middle. Daher sind sie prinzipiell nicht unsicherer als direktes Onlinebanking. Auch das ist nur bedingt sicher.

Ich habe jetzt bei Sofort direkt keine Bedenken das sie betrügen. Aber es ist halt eine weitere Stelle an der Daten liegen. Siehe Ebay, auch die waren nicht in der Lage ihre Daten zu schützen. Und Ebay ist zwangsläufig mit einem geschulten Auge für Gaunereien unterwegs. In wie weit die Banken bei der Weitergabe von PIN an Sofort nun bedenken haben wird man wohl erst im Ernstfall sehen. Wenn da 50 Euro flöten gehen oder auch 500 wird man vermutlich keine Probleme haben. Das ist im Rahmen des Betriebsrisikos einer Bank und sowas schlucken die ohne viel Aufhebens.

Aber wenns dann mal um 5 stellige Beträge geht sind die Karten anders gemischt. Dann sucht die Bank den Strohhalm um sich rauszuwinden. Und dann kommt die AGB in der steht: Weitergabe nicht erlaubt. Wie das dann in zivilrechtlichen Verfahren so ist, man ist nun im Beweis-Ping-Pong. Und in Zivilverfahren gibts keine Unschuldsvermutung, da gibt eine Abwägung. Plötzlich schlägt das Zünglein der Waage zur Bank aus, jetzt muss man sich verteidigen. Dann kommt ein geändertes Passwort natürlich immer gut. Jetzt hat die Bank wieder den Ball und muss versuchen einen Punkt zu machen.

Deswegen bemerkt man viele Fallstricke in den AGBs erst dann wenn man drüber gestolpert ist. Vorher meint man noch: die machen doch nichts, sonst hätten sie schon längst dagegen gearbeitet. Aber glaubt mir, die wissen genau wann ihr über die Sofort API bucht und wann direkt. Diese Firma tritt ja als eine art proxy auf und ist folglich schon an der IP erkennbar, selbst wenn sie ansonsten alles direkt in die Webside einträgt. Wobei die allerdings eine API nutzen die für Überweisungsprogramme wie Sfirm oder Lexware oder so gedacht ist. Die haben aber bekannte IPs und sind daher leicht zu identifizieren für die Bank. Und wäre auch leicht zu sperren, was aber wohl vor Gericht als Wettbewerbsbehinderung gekippt werden würde. Deswegen ist es wie oben schon erwähnt wurde: die Bank freut sich wenn man denen Argumente liefert die sie im Schadensfall benutzen können. Selbst wenn Sofort alles dran setzt ihren Dienst als Bombensicher darzustellen, wird vor Gericht immer noch der Punkt stehen bleiben, das man relativ leichtfertig mit den Daten umgeht und wenn man Sofort benutzt auch ähnliche Dienste nutzt die vieleicht nicht dieses hohe Sicherheitslevel haben.

Wie gesagt...die Banken suchen Ausreden erst dann wenn sie zahlen müssen. Vorher ist es ihnen relativ schnurtz.
legendary
Activity: 1017
Merit: 1003
VIS ET LIBERTAS
February 09, 2015, 04:25:39 AM
#20

Quote
Man-in-the-Middle-Angriffe

Problematisch sind Fälle, in denen der Dritte ZDL gehackt wird, da die genannten (Schutz)Maßnahmen dann wirkungslos sein können. Wird der Dritte ZDL umgangen oder authentifiziert er sich aufgrund einer Fehlfunktion nicht gegenüber dem kontoführenden ZDL, ist es dennoch möglich, eine Überweisung auszulösen oder das Konto einzusehen. Ein Man-in-the-Middle-Angriff zeichnet sich dadurch aus, dass der Angreifer zwischen den beiden Kommunikationspartnern (Kunde – Dritter ZDL/Händler) steht und mit seinem System vollständige Kontrolle über den Datenverkehr zwischen dem Kunden und dem Dritten ZDL beziehungsweise Händler hat. Der Angreifer kann die Informationen nach Belieben einsehen und manipulieren. Dabei täuscht er den Kommunikationspartnern vor, das jeweilige Gegenüber zu sein. Da der Kunde durch die Webseite des Händlers auf eine Webseite des Dritten ZDL geleitet wird, sind Händler und Dritte ZDL attraktive Ziele für Man-in-the-Middle-Angriffe (siehe Grafik 2).

Die Authentifizierung des Dritten ZDL gegenüber der Bank macht das Verfahren nicht sicherer. Denn falls ein Hacker durch Manipulation des Dritten ZDL oder des Händlers PIN und TAN erhält, kann er diese nutzen, um sich gegenüber der Bank zu authentifizieren. Werden der Händler oder der Dritte Zahlungsdienstleister gehackt, haben daher weder die Bank noch der Kunde die Möglichkeit, dies zu erfahren.

Die einzige derzeitig praktikable Methode, das Verfahren sicherer zu machen, besteht darin, die TAN stets dynamisch zu generieren und an die auszulösende Transaktion zu binden, zum Beispiel im ChipTAN-Verfahren. Selbst in diesem Fall wird das Authentifizierungsverfahren jedoch so geschwächt, dass effektiv nur noch ein Element übrig bleibt.

Social-Engineering Angriffe

Ebenso steigt die Gefahr von Social-Engineering Angriffen. Bei solchen Angriffen werden Kunden – z.B mit fingierten E-Mails – auf eine Webseite gelockt, die so aussieht, als sei sie die eines legitimen ZDL. Auf diese Weise können Angreifer Kunden dahingehend beeinflussen, dass diese Überweisungen auslösen, die sie gar nicht tätigen wollen. Der einzige effektive Schutz vor Social Engineering besteht darin, Kunden eindringlich zu vermitteln, dass sie Authentifizierungsinformationen ausschließlich auf einer Webseite eingeben sollten, die das Unternehmen, das die Authentifizierungsinformationen ausgibt, zuvor mit ihnen vereinbart hat. Darauf weist auch das Bundesamt für Sicherheit in der Informationstechnik deutlich hin. Genau dieser Schutz wird aber durch die Eingabe von Authentifizierungsinformationen bei Dritten ZDL infrage gestellt. Werden die Authentifizierungsinformationen des Online-Bankings weitergegeben, so ist es weder dem Kunden noch dem kontoführenden ZDL möglich, zwischen einem Dritten ZDL, dem Zahler und einem Kriminellen zu unterscheiden.

Zudem ermöglicht die PIN den vollen Lesezugriff auf das Online-Konto. Für Angriffe, bei denen der Angreifer einen Einblick in die vertraulichen Kontodaten möglichst vieler Bankkunden erlangen will, muss er lediglich die Webseite des Händlers oder des Dritten ZDL hacken. Durch Malware oder Manipulation der Distributionswege können auch Online-Banking-Clients und Apps gehackt werden. Im Unterschied zu Dritten ZDL betreibt der Nutzer solche Software jedoch in einem IT-System, auf das er selbst direkten physischen Zugriff hat. Für die Sicherheit des eigenen PCs ist der Nutzer selbst verantwortlich.
legendary
Activity: 2730
Merit: 1263
February 09, 2015, 04:21:17 AM
#19
Ich gebe jetzt dann auch auf.  Grin

Wenn einer gewohnheitsmässig seine PIN und seine TAN überall eingibt, dann ist von einem verschulden des Kunden auszugehen, egal ob er im fraglichen Fall tatsächlich Schuld war oder nicht. Es gibt übrigens noch Banken mit TAN-Listen. Dort ist die TAN nicht an die spezielle Überweisung gekoppelt. Ausserdem untersagt meine Bank sowieso die Weitergabe der PIN/TAN and Dritte, womit der Fall ebenfalls erledigt wäre, selbst wenn ich das ganze für eine tolle Idee halten würde.
hero member
Activity: 714
Merit: 500
February 09, 2015, 03:39:20 AM
#18
Wenn eine Bank Nachweisen kann, dass der Kunde PIN und TAN üblicherweise(!) einem Dritten zugänglich macht, dann kann (und muss) sie sinnvollerweise eine Haftung für (angeblich) nicht authorisierte Überweisungen ablehnen.

Warum sollte ein Kunde der seine Daten jedem zugänglich macht nicht auch zwei TANs genutzt haben, z.B. "weil er sich bei der ersten Eingabe vertippt hat". Mit einer ähnlichen Argumentation sind Banken in anderen Fällen schon sehr gut durchgekommen.

Vielleicht haben die ganzen Nutzer aber auch eingesehen, dass Fiat im allgemeinen und Giralgeld im speziellen sowieso nicht viel Wert hat und deshalb auch die zugehörigen Zugangsdaten keinen Schutz benötigen.  Grin

Ich versuche es jetzt nocheinmal und dann gebe ich auf:
Ein TAN wird einmal für eine Transaktion erstellt. Wenn ich jetzt einen zweiten bekomme(weil ich bspw. zu lange gebraucht habe um den ersten einzugeben, weil ja, die haben sogar ein Zeitlimit, abgesehen davon, dass sie an einen Auftrag gebunden sind), dann kann der böse Angreifer mit dem ersten genau gar nichts anfangen.
legendary
Activity: 2730
Merit: 1263
February 09, 2015, 03:31:50 AM
#17
Wenn eine Bank Nachweisen kann, dass der Kunde PIN und TAN üblicherweise(!) einem Dritten zugänglich macht, dann kann (und muss) sie sinnvollerweise eine Haftung für (angeblich) nicht authorisierte Überweisungen ablehnen.

Warum sollte ein Kunde der seine Daten jedem zugänglich macht nicht auch zwei TANs genutzt haben, z.B. "weil er sich bei der ersten Eingabe vertippt hat". Mit einer ähnlichen Argumentation sind Banken in anderen Fällen schon sehr gut durchgekommen.

Vielleicht haben die ganzen Nutzer aber auch eingesehen, dass Fiat im allgemeinen und Giralgeld im speziellen sowieso nicht viel Wert hat und deshalb auch die zugehörigen Zugangsdaten keinen Schutz benötigen.  Grin
hero member
Activity: 714
Merit: 500
February 09, 2015, 02:53:34 AM
#16
Wie soll es sonst gehen? Es gibt genug Fälle in denen ähnliches mit der EC Karte passiert ist. Beim Online-Banking warte ich nur noch auf die ersten Fälle.

Ein TAN wird einmal für eine Transaktion erstellt und ist dann ungültig. Das ist nicht so wie bei einem PIN der immer gilt.
Also wenn ich eine Transaktion erstelle, bekomme ich eine SMS, wo noch einmal der Empfänger und der Betrag steht. Das ist im Grunde eine 2 FA.
Hast du wirklich noch nie Online Banking benutzt?
legendary
Activity: 2730
Merit: 1263
February 09, 2015, 01:31:44 AM
#15
Wie soll es sonst gehen? Es gibt genug Fälle in denen ähnliches mit der EC Karte passiert ist. Beim Online-Banking warte ich nur noch auf die ersten Fälle.
hero member
Activity: 714
Merit: 500
February 08, 2015, 03:32:15 PM
#14
Wobei es für die Bank eigentlich ganz vorteilhaft ist. Wird einem Kunden das Konto leergeräumt, kann die Bank einfach mit entsprechenden Logs nachweisen, dass der Kunde PIN/TAN weitergegeben hat, und sich so um die Haftung drücken. Ein Traum für jede Firma, wenn die Kunden ihnen jegliches Haftungsrisiko einfach abnehmen.

That's not how it works, that's not how any of this work.
Sorry, aber bei so einer Aussage kann ich nur davon ausgehen, dass du noch nie in deinem Leben Online-Banking benutzt hast.
legendary
Activity: 2730
Merit: 1263
February 08, 2015, 11:15:15 AM
#13
Wobei es für die Bank eigentlich ganz vorteilhaft ist. Wird einem Kunden das Konto leergeräumt, kann die Bank einfach mit entsprechenden Logs nachweisen, dass der Kunde PIN/TAN weitergegeben hat, und sich so um die Haftung drücken. Ein Traum für jede Firma, wenn die Kunden ihnen jegliches Haftungsrisiko einfach abnehmen.
legendary
Activity: 1372
Merit: 1000
CTO für den Bundesverband Bitcoin e. V.
February 08, 2015, 10:06:35 AM
#12
Korrekt. +1
legendary
Activity: 3676
Merit: 1495
February 08, 2015, 09:07:39 AM
#11
Das die von der Nutzung von Sofort Überweisung abraten hab ich nie behauptet,
sondern das sie von der Weitergabe von PIN und TAN an Dritte abraten.

Nur geht halt das eine nicht ohne das andere, daher ist die Nutzung von Sofort Überweisung (zumindest für mich) ausgeschlossen.
hero member
Activity: 714
Merit: 500
February 08, 2015, 08:58:20 AM
#10

Natürlich ist die Paranoia hier stark, schließlich sind wir hier in einem Bitcoin-Forum und bei Bitcoin geht es doch gerade darum, selbst die Kontrolle zu haben und nicht anderen zu vertrauen.

Das die Sofort AG ihr eigenes System für total sicher hält ist ja nun auch nich so außergewöhnlich.

Fakt ist nun einmal, daß so ziemlich jede Bank ihren Kunden ausdrücklich von der Weitergabe der PIN/TAN an Dritte abrät, genau das ist aber für die Verwendung von SOFORT notwendig.
So bequem und praktisch der Service auch sein mag und so sehr die mir auch versprechen, wie sicher das doch alles sei,
für mich kommt die Nutzung nicht in Frage.
Kannst du mir bitte zeigen, welche Bank von der Nutzung von Sofort Überweisung abrät?
legendary
Activity: 3676
Merit: 1495
February 08, 2015, 08:44:50 AM
#9

Natürlich ist die Paranoia hier stark, schließlich sind wir hier in einem Bitcoin-Forum und bei Bitcoin geht es doch gerade darum, selbst die Kontrolle zu haben und nicht anderen zu vertrauen.

Das die Sofort AG ihr eigenes System für total sicher hält ist ja nun auch nich so außergewöhnlich.

Fakt ist nun einmal, daß so ziemlich jede Bank ihren Kunden ausdrücklich von der Weitergabe der PIN/TAN an Dritte abrät, genau das ist aber für die Verwendung von SOFORT notwendig.
So bequem und praktisch der Service auch sein mag und so sehr die mir auch versprechen, wie sicher das doch alles sei,
für mich kommt die Nutzung nicht in Frage.
hero member
Activity: 714
Merit: 500
legendary
Activity: 1372
Merit: 1000
CTO für den Bundesverband Bitcoin e. V.
February 07, 2015, 12:39:55 PM
#7
Also leider muss ich sagen, dass auch ich nur von SOFORT abraten kann.

Im Zweifel steht der Kunde, wenn Daten mißbraucht werden nämlich durch den Verstoß gegen die AGB der jeweiligen Bank, im Regen.  Undecided

Gruß Carsten.
newbie
Activity: 57
Merit: 0
sr. member
Activity: 490
Merit: 258
February 06, 2015, 09:26:49 AM
#5
Hallo,

Ich würde gerne Bitcoins handeln auf der Seite Bitcoin.de. Die Kontoauthentifizierung soll per Sofortüberweisung stattfinden.  Ich würde gerne ein neues Konto anlegen.
Wisst ihr mit welchem Kontoanbieter es möglich ist eine Sofortüberweisung auszuführen?


Ich kene keine Sparkasse mti der es nicht geht. Auch alle mir bekannten Volksbanken sind damit möglich. Cash Group Konten stehen auch für Sofortüberweisung zur verfügung.

Allerdings ist anzumerken, dass Sofortüberweisung gegen die AGB der meisten Banken verstößt, die es dem Kunden üblicherweise untersagen, die Login-Informationen weiterzugeben. Und auch allgemein ist es meiner Meinung nach ziehmlich dämlich den Login für sein Konto an eine Fremde Firma zu geben.
Als Alternative wäre Giropay zu nennen. Das ist AGB-komform, man gibt keine Daten an Fremde weiter und kann Nachts noch gut schlafen Cheesy

Habe eigentlich auch so meine Ängste wegen Sofortüberweisung, aber heute sah ich auf meiner Banklogin seite Sofortüberweisung Werbung :O (https://i.imgur.com/r8QVLSH.png)

Muss mal bei der Bank nachfragen. Kann doch nicht sein, dass man gegen die AGB verstößt, wenn man einen von ihnen geworbenen Service nutzt  Huh
Pages:
Jump to: