Ich hatte letztens sinngemäß folgende Debatte:
Letztens ist es Betrügern wieder trotz Zwei-Faktor-Authentifizierung gelungen, mit dem Enkeltrick mehrere 10.000 Euro zu erbeuten.
Man darf eben echten und vermeintlichen Bankmitarbeitern niemals OnlineBanking-Zugangsdaten am Telefon verraten.
Aber die Leute werden ja beispielsweise von SofortÜberweisung dazu erzogen, eben doch ihre Zugangsdaten oder TAN fremden Leuten zu verraten oder auf fremden Webseiten einzugeben.
SofortÜberweisung ist was ganz anderes, das funktioniert über so eine offizielle API gemäß PSD2 und da muss man keine Zugangsdaten an Fremde übermitteln.
Daher habe ich noch einmal nachgelesen. Als ich das erste Mal vor vielen Jahren von SofortÜberweisung hörte, funktionierte es so, dass man seine Daten in eine Eingabemaske von SofortÜberweisung einträgt und SofortÜberweisung beim Online-Banking des Kunden mit dem von einem Händler mitgeteilten Geldbetrag das Formular ausfüllt und an dessen Bank übermittelt und danach dem Händler Erfolg meldet. Und nebenbei schaut sich SofortÜberweisung noch auf dem Konto des Käufers um, wo es die Zugangsdaten nun schon mal hat. Ich fand das System damals gruselig und konnte nicht verstehen, wieso jemand auch nur kurz in Erwägung ziehen sollte, sowas zu benutzen, und wieso Gerichte beschlossen haben, dass Banken die Nutzung von SofortÜberweisung nicht ablehnen dürfen. Wenn man auch nur einen Faktor an SofortÜberweisung verrät, reduziert sich doch die Zwei-Faktor-Authentifizierung unmittelbar zur Ein-Faktor-Authentifizierung.
Nunmehr lese ich in der Wikipedia, dass SofortÜberweisung (heute Klarna?) nicht mehr die Web-Formulare ausfüllt, sondern eine offizielle Bank-API verwendet. Leider geht aus der Wikipedia nicht hervor, wie SofortÜberweisung heute genau arbeitet und die FAQ von SofortÜberweisung selbst erzählt auch nur, dass alles supereasy und völlig unbedenklich sei. Die Empfehlungsecke von Kuketz zum Thema Online-Bezahlen mit SofortÜberweisung ist von 2017. Das war vor der PSD2-Richtlinie, also vor Bank-APIs.
Daher meine Fragen:
- Welche Daten bekommt SofortÜberweisung bei einem Online-Kauf von mir zu sehen? Online-Banking-Nummer+Passwort? TAN? Irgendwelche Daten müssen sie ja von mir bekommen, sonst braucht es keine SofortÜberweisung und der Händler könnte die Zahlung direkt mit meiner Bank aushandeln.
- Hat sich substanziell etwas gegenüber früher geändert oder ist eigentlich alles beim Alten geblieben, nur dass SofortÜberweisung heute nicht mehr versucht, irgendwas in fremde Banken-Web-Formulare einzutragen und stattdessen halt eine offizielle Programmierschnittstelle der Bank verwendet?
- Wie sind die einzelnen Schritte bei einem Bezahlvorgang und wer übermittelt dabei wem welche Daten?
Ich hatte vor einem oder zwei Jahren mal PayDirekt ausprobiert und habe gleich wieder die Finger davon gelassen. Auch dort wird eine Firma PayDirekt zwischen Händler und Bank geschaltet und man tippt bei PayDirekt seine Zugangsdaten ein (No-go I) und wird vom Händler auf die Bankseite weitergeleitet (No-go II). Möglicherweise funktionieren PayDirekt und SofortÜberweisung heute gleich, nur dass PayDirekt den Segen der Banken hat.