Warum Giropay böse ist

Im Sommer 2006 haben wir Banken in Sachen Phishing-Schutz bewertet und dabei Minuspunkte für die Beteiligung an Giropay vergeben. Auf Veranstaltungen treffe ich nun hin und wieder auf die Giropay-Projektleiter der beteiligten Institute und Organisationen – Postbank, Sparkassen, Volks- und Raisseisenbanken – und darf erklären, warum wir das getan haben. Da das ohnehin vor Publikum geschieht, schreibe ich es hier noch mal für alle auf.

Was ist Giropay?

Giropay ist ein Zahlungssystem für den Online-Handel. Die Idee: der Nutzer füllt im Online-Shop seinen Einkaufswagen, geht zur virtuellen Kasse und gibt dort seine Bankleitzahl an. Daraufhin wird er zum Onlinebanking-System seiner Bank weitergeleitet, wo er sich wie üblich mit Kontonummer und PIN anmeldet und danach ein vorausgefülltes Überweisungsformular autorisiert. Die Autorisierung erfolgt mit dem im Online-Banking jeweils verwendeten Verfahren, zum Beispiel iTAN, TAN-Generator oder mTAN. Die Giropay GmbH ist dabei in erster Linie Markenverwalter und Koordinationsstelle. Abgewickelt wird das Ganze von den beteiligten Banken.

Giropay sei einfach, schnell, sicher und kostenlos, listet die Website die Vorteile auf. Sicherheitsmaßnahmen gibt es auch:

  1. 128-Bit-SSL-Verschlüsselung der Verbindung zur Bankwebsite nebst Serverzertifikat der Bank
  2. Die URL fängt immer mit https://giropay an (»https://giropay.Ihr-Kreditinstitut.de«)
  3. PIN und TAN werden nacheinander auf verschiedenen Seiten abgefragt
  4. Anzeige des Kundennamens oder des letzten Login-Zeitpunkts
  5. Mit dem Anbietercheck auf http://www.giropay.de kann man prüfen, ob ein Shop tatsächlich teilnimmt
  6. Unterstützung durch die Banken

Die Website beschreibt das alles etwas ausführlicher, aber mehr als hier skizziert ist es nicht.

Was ist daran schlecht?

Eine ganze Menge:

  • Die einzigen echten Sicherheitsmechanismen hier sind SSL und das TAN-Verfahren. Der Rest ist Hygiene; die ist wichtig, aber auch so selbstverständlich, dass man sie nicht in dieser Form herausstreichen muss. Es sei denn, man hätte ein schlechtes Gewissen.
  • SSL steht und fällt mit der Prüfung des Serverzertifikats durch den Client bzw. Nutzer. Wir wissen heute, dass nur ein kleiner Teil der Nutzer SSL-Zertifikate prüft und Warnungen ernst nimmt. Das kann man beklagen, aber es ist so, sonst hätten wir nie erfolgreiche Phishing-Aktionen der einfachen Art gesehen.
  • Der Verfahrensablauf bietet eine ideale Vorlage für Phishing-Versuche: der Nutzer wird aus einem X-beliebigen Online-Shop auf eine Seite seiner Bank weitergeleitet, wo er nur noch Kontonummer, PIN und TAN eingeben muss. Oder vielleicht auf eine Seite, die nur so aussieht? Das SSL-Serverzertifikat schützt, siehe oben, nur theoretisch. Tatsächlich wird der Nutzer daran gewöhnt, von beliebigen Websites aus plötzlich in seinem Onlinebanking zu landen.
  • Das echte, von den Banken unterstützte Verfahren ist von wilden Nachbauten kaum zu unterscheiden. Über die Sofortüberweisung etwa sind die Banken gar nicht glücklich. Aus Kundensicht jedoch handelt es sich praktisch um dasselbe Verfahren.
  • Giropay verquickt zwei verschiedene Kontexte, deren Risiken und Sicherheitsanforderungen sich unterscheiden, nämlich Onlinebanking und Onlinehandel. Das ist riskant; wer Sicherheit will, muss oft Systeme bewusst voneinander trennen, um Wechselwirkungen zu vermeiden.
  • Das Giropay-Verfahren verlagert Risiken vom Händler auf den Kunden, ohne dies klar zu kommunizieren. Aus Kundensicht empfehlenswerte Zahlungsverfahren im Onlinehandel sind international die Kreditkarte und innerhalb Deutschlands die Lastschrift. Beide erlauben es, unebrechtigt eingezogene Beträge zurückzufordern. Das Ausfallrisiko bleibt am Händler hängen. Bei einer Überweisung ist das nicht möglich, der Kunde hat sie ja höchstpersönlich in Auftrag gegeben. Entsprechend erhält der Händler bei Giropay eine Zahlungsgarantie.

Echte Vorteile für den Nutzer hat das Verfahren also kaum, dafür aber einige Nachteile.

BTW, LindenLab wird auch bald Giropay unterstützen. Hat jemand Lust, ein Phishgeschäft in Second Life zu eröffnen?

Was tun?

Zahlungsgarantien und Risikoverteilung sind Verhandlungssache. Wichtig ist nur, dass den Nutzern klar ist, welche Nebenwirkungen ein Verfahren hat. Auf Händerseite wird Giropay kaum je das einziger angebotene Verfahren sein, dazu sind die etablierten Alternativen zu stark.

Technisch erfordert Giropay ein starkes Verfahren zur Autorisierung von Transaktionen. Geeignet ist die mTAN, die über einen getrennten Kanal Details zur Transaktion zusammen mit einem Autorisierungscode liefert. Postbank und Genossenschaftsbanken bieten dieses Verfahren an, es ist aber bislang nur eine Option.

Mit der mTAN als Standardverfahren, vielleicht erweitert um eine Anbieterbestätigung in der Kurznachricht (d.h. normale Überweisungen und Giropay-Zahlungen sind in der Kurznachricht unterscheidbar), könnte ich mit Giropay leben. Für eine richtig gute Idee hielte ich es dennoch nicht, aber wenn es funktioniert, soll mir das recht sein.

Lesenswertes:

Advertisements

2 thoughts on “Warum Giropay böse ist

  1. Hallo,
    ich habe gehört, dass Sofortüberweisung.de ab nächstem Jahr einen Käuferschutz für den Kunden einführt! Das ist das einzige, was diesem Bezahldienst bisher fehlt. Ich bin zwar bei einer Sparkasse Kunde, jedoch nimmt diese bei Giropay nicht teil.
    Aus diesem Grund zahle ich immer mit Sofortüberweisung. Das geht immer schnell, einfach und sicher.

    schöne Grüße

    Frank

    1. Aus diesem Grund zahle ich immer mit Sofortüberweisung. Das geht immer schnell, einfach und sicher.

      Um Ihren Beitrag freizuschalten, geben Sie bitte in das Eingabefeld unten Ihre Kontonummer, Ihre PIN und die TAN Nr. 73 ein.

Comments are closed.