Seit gestern kann man nun bei ebay via PayPal das neue Online Bezahlsystem der Banken: Giropay auswählen. Es soll sicher, schnell und bequem sein.
Zwar muss man derzeit noch einen Zugang zu PayPal haben, aber giropay soll in Zukunft in Onlineshops zur Verfügung stehen und nutzbar sein – ohne weitere Registrierung. Man benötigt lediglich einen Online Banking Zugang zu seiner Hausbank. Hört sich gar nicht schlecht an, aber ich sehe hier große Sicherheitsprobleme. Über einen Link soll man zum Online Banking der Hausbank kommen: akute Phishing Gefahr? Wie sicher der propagierte sichere Zugang ist, wird sich in naher Zukunft herausstellen, denn die Betrüger sind schnell.
Hier geht es zur giropay Demo.
Giropay ist unsicher. Hoffentlich schreibt jemand bald einen guten Artikel darüber.
Zunächst ist Griopay eine normale Internetüberweisung. Das ist dann und nur dann sicher, wenn ich meiner Bank und dem Empfänger vertraue. Deswegen ist Einkaufen per Rechnung so beliebt (und sicher): Nachdem der Händler geliefert hat und ich die Ware geprüft habe, kann ich gefahrlos überweisen.
Giropay ist aber eine Vorkasse-Überweisung. Jeder ebay-Kunde weiß, das ist inherent unsicher. Das Geld kommt schon beim Empfänger an, aber wenn der daraufhin nicht liefert (und zufälligerweise zahlungsunfähig ist) stehe ich ziemlich dumm da, muss noch Geld drauflegen, um einen Titel zu bekommen, den ich mir dann an die Wand hängen kann. Giropay kommt also nur in Frage, wenn der Empfänger ausreichend groß und seriös ist. Solche Händler bieten aber auch sichere Alternativen an.
Giropay hebelt aus, was sogenannte unsichere Verfahren wie Kreditkarten und Lastschriften so sicher macht, der Widerspruch bei der eigenen Bank. Ich les’ halt hin und wieder meine Auszüge und wenn mir was komisch vorkommt, gibt’s einen Widerspruch. So lange ein System offensichtlich unsicher ist, bilde ich mir ein, komme ich damit durch und zwar relativ egal wie Gesetz oder Nutzungsbedingungen lauten.
Giropay verleitet außerdem zu überschnellem Handeln: Klick, klick, PIN, klick, TAN, und weg ist das Geld. Keine Chance noch mal drüber nachzudenken. Auch das gesetzliche Rücktrittsrecht wird schwieriger, weil man den Händler dazu bewegen muss, das Geld (freiwillig) zurückzugeben. (Freiwillig im technischen Sinn, auch ein rechtskräftiger Bescheid vom Amtsgericht im Briefkasten führt nicht automatisch zur Rücküberweisung.)
Auch so lange giropay funktioniert, stärkt es vor allem den Händler. Der einzige Vorteil für den Kunden ist, dass der Händler (vielleicht) schneller liefert. Ein schwacher Trost.
Damit System wie paypal oder giropay (alleine, die Kombination bringt nun wirklich keinen Vorteil) dem Kunden nutzen, müssen sie schon mehr bieten: Verifizierung des Empfänger, Treuhandservice, etc. Und all das muss für den Kunden (ja, auch für die Oma und den Klingeltonkunden) technisch und juristisch nachvollziehbar zu sein. Davon ist paypal meilenweit entfernt.
Die Phishing-Gefahr wurde ja schon erkennt. Peinlich, dass die Banken einfach behaupten das geht nicht. (Falls ihr das lest: Phishing geht nur dann, wenn der Kunde glaubt, es ginge nicht.)
Außerdem wird nocht mit https geworben. Das ist allerdings kein tolles Feature, sondern absolutes Minimum, UND NICHT SICHER. Sorry. Eine Internet-Transaktion wird nicht daduch sicher, dass in der linken unteren Browser-Ecke ein Schloss angezeigt wird. Eine Anwendung wird sicher, durch eine Signatur, mit einem kryptografischen Schlüssel. Dazu muss ich aber (im mathematischen Sinne) beweisen, dass der Schlüssel echt ist. Das ist (ja liebe Juristen) möglich. Diese albernen Zertifikate können das allerdings nicht.
Gut ist an dem System einzig die TAN.
Das Problem, dass man im Falle einer Überweisung das Geld nicht mehr “zurückholen” kann, ist ein bankenrechtliches Problem, und kein spezifisches Problem von Giropay. Überweisungen sollte man deswegen tunlichst meiden.
Man hat zwar ohne Lieferung im juristischen Sinne einen Anspruch auf Rückzahlung, aber das nützt herzlich wenig, wenn das Geld erst einmal weg ist und der Täter vermutlich “über alle Berge” ist.
Jedoch ich gebe Ihnen Recht, dass dieses System wohl auch keine ausreichende Sicherheit bietet. Ich dachte, ich hätte das auch zum Ausdruck gebracht.