Zahlung mit Tücken
Seite 2: Sofortüberweisung
Sofortüberweisung
Auch bei meinem Versuch, über Sofortüberweisung.de eine Rechnung zu begleichen, kam es zu einer Panne. Bei diesem Bezahldienst gibt man den Web-Seiten des Dienstleisters nicht nur die Bankleitzahl und die Kontonummer, sondern auch gleich die PIN fürs Online-Banking und schließlich auch eine TAN an. Mit diesen Daten führt Sofortüberweisung.de eine Online-Überweisung bei der Bank des Kunden aus. Die PIN habe ich danach umgehend geändert, um sicherzustellen, dass kein Dritter Kenntnis von den Zugangsdaten zu meinem Konto hat. Das verbietet nämlich meine Sparkasse in ihren AGB.
Beim Ändern der PIN warf ich einen Blick auf den Finanzstatus und stellte fest, dass nicht das von mir angegebene Konto belastet wurde, obwohl das in der Zusammenfassung der Transaktion so zu lesen war. Stattdessen hatte der Dienst die Online-Überweisung für eines meiner anderen Konten in Auftrag gegeben. Da für beide Konten dieselbe PIN gilt und bei der Übertragung der smsTAN zwar das Empfänger-, nicht aber das Absenderkonto angezeigt wird, konnte ich dies nicht erkennen.
Das belastete Konto war nicht ausreichend gedeckt, sodass mir ein finanzieller Schaden durch Überziehungszinsen drohte. Per E-Mail machte ich Sofortüberweisung.de auf den Fehler aufmerksam und fragte nach Schadensersatz. Nach drei Tagen erhielt ich die Antwort, dass man den Fehler am Nachmittag beheben werde. Sowohl mein Wunsch nach Aufklärung der Fehlerursache als auch der Hinweis auf eventuelle Schadensersatzansprüche blieben unbeantwortet.
Da die Sparkasse nicht mit Sofortüberweisung.de kooperiert, muss der Dienst die Daten aus den Webseiten des Online-Banking-Zugangs entnehmen. Dass dabei mal ein Fehler passiert, kann ich verstehen. Dass jedoch der Zahlungsdienst die so gewonnene Kontonummer nicht mit der verglich, die ich eingegeben hatte, ist ein prinzipieller Fehler. Zumal mir während des ganzen Vorgangs das eingegebene, anstelle des belasteten Kontos angezeigt wurde. So etwas sollte bei einem vom TÜV Saarland auf "hohe Daten- und Systemsicherheit" zertifizierten Dienst nicht passieren.
Der Weg zu einem sicheren Bezahlsystem ist lang und steinig. Selbst Systeme, die wie die Geldkarte unter der Bankenaufsicht stehen, können dabei über Kleinigkeiten stolpern. Denn nichts anderes sind die hier beschriebenen Fehler. Wir hatten für den Report zehn Bezahlsysteme genauer untersucht und jedes davon einmal ausprobiert. Dass dabei gleich zwei Versuche schief liefen, mag ein riesengroßer Zufall sein ... (ju)
Siehe dazu auch:
- Sicherer Geldtransport, Bezahlverfahren für Online-Shopper, Axel Kossel, c't 19/09, S.96 (kostenpflictiger Artikel, 0,70 Euro)
(ad)
