In seiner heutigen Sendung brachte das ZDF-Wirtschaftsmagazin "WISO" einen Beitrag, in dem es die Online-Shop-Bezahlmethode von T-Online ‚Online-Überweisung‘ wegen erheblicher Sicherheitsbedenken geisselt.
Ins Rollen gebracht, hat die Geschichte ein Kunde des Medion-Onlineshops. Beim ‚Gang zur Kasse‘ fiel der Kunden die Bezahlmöglichkeit per ‚Online-Überweisung‘ auf, die dort als eizige Bezahlart neben Nachnahme bzw. Zahlung per Verrechnungsscheck angeboten wird.
Hierbei wird neben den Kontodaten Kontonummer und BLZ auch die PIN für das Onlinekonto nachgefragt. Dem Kunden, der vermutete, auf eine "Phishingseite"* gelangt zu sein, wurde von Medion bescheinigt, dass dieses Vorgehen so korrekt sei.
WISO merkt dagegen an, dass Kunden von ihren Onlinebanken per Sicherheitsbedingungen explizit verboten wird, die ihre PINs an Dritte weiterzugeben. Auf Nachfrage bekam das Magazin vom Zahlungsabwickler T-Online jedoch mitgeteilt: ‚(Medion) sei "nicht Dritter im Sinne der vertraglichen Geheimhaltungsverpflichtung des Kunden".
Auch wenn selbst WISO zugibt, dass bisher keine Missbrauchsfälle im Zusammenhang mit dieser Zahlmethode bekannt geworden seien, bleibt doch ein ungutes Gefühl – weshalb WISO auch Shopkunden rät, nach Benutzung dieser Zahlmethode umgehend ihre Online-PIN zu ändern.
Shopbetreiber, die diese Bezahlmethode nutzen, dürften sich kurzfristig vermutlich einer Verunsicherung und vermehrter Kundennachfragen gegenüber sehen.
Links:
Presseerklärung von WISO
Onlineversion des WISO-Berichtes
TIPP: Die Sendung wird heute nach um 3.35 Uhr wiederholt.
Nachtrag: Heise-News-Meldung zu diesem Thema, Heise nennt als weitere Shops, die den T-Online-Service einsetzen: Buecher.de, Otto, Neckermann, Quelle, Tchibo und jpc; insgesamt sollen Hunderte von Shops an diesem im Jahr 2002 gestarteten Bezahlsystem teilnehmen.
Nachtrag 2: T-Online ist übrigens nicht der einzige Anbieter für diese Art des Zahlungseinzugs für Online-Shops, einen gleichartigen Service findet sich beispielsweise auch beim Payment Provider PAGO.
Die Infoseite von T-Online zu ihrem Service.
*Phishingseiten: Webseiten, die von Betrügern nach dem Muster von (z.B.) Bankseiten gestaltet wurden, um Kunden dieser Banken zum Eingeben von persönlichen Daten (Logins, Kennwörtern, TANs etc.) zu verführen, die dann zu Missbrauchszwecken abgefangen werden. Die URLs der gefälschten Seiten werden i.d.R. in ‚offiziell‘ aussenden Mails versteckt, wobei die Mails mit mehr oder weniger kruden Begründungen dazu aufrufen, sich bei der verlinkten Seite einzuloggen.