12 Juni 2017

Der ausgemachte Unfug mit den Sofortüberweisungen

Wenn jemand was im Internet bestellt, dann möchte er das Gut in aller Regel so schnell wie möglich bekommen. Da es im Internet aber sehr viele Betrüger gibt, ist es dort usus, das ein Händler die Ware erst raus schickt, wenn er sich des Geldes des Käufers sicher ist. Das wirft natürlich die Frage nach der Zuverlässigkeit des Händlers auf. Aber das Problem ist zufriedenstellend gelöst. Entweder indem der Händler so groß ist, das man ihn kennt, z.B. Amazon. Oder aber er Händler verkauft über ein Portal, wie etwa E-Bay, das über ein Bewertungssystem den Händler Reputation zuweist - und dafür sogar eine Geld zurück Garantie übernimmt. Will ein Händler ganz ohne Plattform auskommen, so kann er auch einen Externen Dienstleister wie "Trusted Shop" mit der Versicherung bei Nichtlieferung beauftragen.

Die älteste Lösung für das Zahlungsproblem ist die Kreditkarte. Diese machte es schon Offline möglich, mit seinem Namen instantan zu bezahlen, und das ging natürlich von Anfang an auch Online. Aber die Sache hatte - zumindest am Anfang - den Haken, das dies eine gewisse "Bonität" des Kunden erforderte. War diese nicht gegeben, so hatte der Betreffende schlicht keine Kreditkarte, weil er nicht Kreditwürdig war. Das hat sich mittlerweile auch geändert, da die Kreditkartenannahmestellen mittlerweile alle Online sind, und somit auch Guthaben Karten möglich sind - wobei es einerlei ist ob das Guthaben eingezahlt werden muss oder sich in soweit die jeweilige Bank am verfahren beteiligt auf einem Girokonto liegt.

Parallel dazu etablierte sich der Dienst Paypal, welcher den Vorteil hat, das man nicht nur instantan sicher sein kann einen Mittelzufluss in gewünschter Höhe zu haben wie das bei der Kreditkarte der Fall ist, sondern dieses Guthaben kann sofort für eigene Einkäufe sofort wieder genutzt werden. Da fragt man sich, warum ist das bei den Banken nicht auch so, technisch ginge das doch. Nun, bei Paypal ist so viel Geld im System, wie die Summe der Konten ausmacht. Wenn alle Abheben, kein Problem. Bei Banken ist das nicht so. Die Verleihen das Geld zum Teil weiter und haben eben nicht so viel Geld im Haus wie auf den Konten ist.

Eine weitere alternative sind natürlich Cryptowährungen wie der Bitcoin. Dort kann auch über eingegangenes Geld sofort wieder verfügt werden, allerdings ist hier das Problem, das diese es sich um eine Eigene Währung handelt, die natürlich einem Wechselkursrisiko unterliegt. Solange nur einzelne Leistungen mit dieser Währung vergütet werden, ist das mit ständigen Anpassungen des Preises verbunden.

Bei all dieser Konkurrenz ist es nicht verwunderlich, das die Banken über eigene Produkte nachdenken, die ebenfalls dem Zahlungsempfänger sofort eine Zahlung zusichern ... auch wenn das bei Banken aus den oben genannten Gründen immer Tage dauert. Als Beispiel sei hier das Produkt PayDirect genannt. Aber auch von Seiten der Händler besteht ein Interesse auf einen Rückgriff auf ein Überspannungsgeschütztes Verfahren. Das Problem ist, das alle oben Vorgestellten Verfahren - auch das Paypal - auch auf Kreditkarten zurückgreifen. Diese haben aber traditionell eine Marge für den Anbieter welcher dieser auch braucht, wegen der definitionsgemäß immer möglichen Kreditausfälle. Zwar ist dieses bei "Guthaben Karten" nicht vorhanden, trotzdem kostet die Zahlung Geld. Es wird argumentiert das dieses die Ausnahmen sind, und eh nur die Kunde repräsentieren, deren Umsatz eher geringer ist. Demzufolge haben die Händler Transaktionsgebühren im Prozent Bereich als Kosten. Bei Paypal sind das zwischen 0,5% und 2,5% des Übertragenen Geldes je nach dem was man macht + ca 0,35€ fest. Als Beispiel für solche günstigen - auf die Bedürfnisse der Händler abgestimmten - Systeme sei hier Sofortüberweisung genannt.



Ich habe keine Bedenken das die Leute bei Sofort überweisen in Kooperation mit den Banken verantwortungsvoll mit den Kundendaten umgehen und diese zwischen state off the Art geschützten Rechnern sicher Verschlüsselt übertragen. Der Schwachpunkt ist wie meist auch hier ob der Rechner des Kunden gut geschützt ist. Aber das Problem sehe ich ganz wo anderes:

Das technische Vorgehen entspricht dem des Pfischings und ist insofern für den Verbraucher nicht von Diesem zu Unterscheiden


Was, so frage ich mich, sollte einen Cyber Kriminellen daran hindern, mittels Script einen Wegwerf Onlineshop zu erstellen, der nach dem Einkauf den Kunden zu einen Zahlungsmauslösungsservice weiterzuleiten, der auch auf einer Wegwerfdomain beruht, und in welcher der Kunde seine Kontonummer, Pin und iTan oder was auch immer er für sein Bankkonto braucht eingeben soll. Das es ein unbekannter Service ist, das ist ja mit dem neuen Gesetz welches Banken zur Mitarbeit bei solchen Veranstaltungen zwingt nicht weiter verwunderlich. Das neue Gesetz ist geradezu eine Institutionalisierung des Pfischings. Dann würde der Geschädigte nicht nur seine Wahre nicht bekommen, sondern sein Konto würde ganz geschmeidig bis zum Anschlag abgeräumt.

So ist das Inakzeptabel, die Parameter müssen an die Bank übergeben werden


Der online Bankkunde muss, was sein Kontodaten Angeht sich immer nur mit der Bank in Verbindung setzen. Und das muss direkt geschehen, damit er sich auf das HTTPS verlassen kann das er wirklich mit der Bank kommuniziert, und nicht mit irgendeinem Hacker.

Wenn also ein Händler gleich wissen will, das er die X€ für den Warenkorb bekommt, dann kann er wie bisher einen Zahlungsauslösedienst wie Sofortüberweisung.de aufrufen. Dieser muss dann aber die Daten (Wieviel an wenn, wie zu Bezahlen ist) an die Bank des Kunden senden, und den Kunden auffordern sich wie gehabt bei seiner Bank einzuloggen. Die Bank muss dann eine Sonderseite öffnen, das eine Sofortüberweisung von X€ an Händler Y ansteht, die der Kunde durchführe oder verwerfen kann. Das Ergebnis teilt die Bank dem Zahlungsauslösedienst mit und der wieder teilt dem Händler mit ob er sein Geld bekommt und der Auftrag damit abgeschickt ist. So und nur so ist diese Funktionalität für den Verbraucher von einem Pfisching unterscheidbar.



Keine Kommentare:

Kommentar veröffentlichen