Sofortüberweisung

Sofortüberweisung ist ein Online-Zahlungssystem zur bargeldlosen Zahlung im Internet, das von der Firma Sofort AG betrieben wird. Es handelt sich um keinen in der Finanzwelt feststehenden oder allgemeinen Begriff. Bei der Sofortüberweisung übermittelt der „Zahlende“ neben seinen Kontoinformationen seine persönliche PIN sowie eine gültige TAN auf einer Website an die Firma Sofort AG, woraufhin diese die eigentliche Transaktion im Namen des Kunden ausführt.^[1]

Viele Banken untersagen ihren Kunden jedoch die Weitergabe dieser Daten an Dritte gemäß deren AGB, daher ist das Verfahren stark umstritten (siehe Kritik). Dennoch nutzen nach eigenen Angaben über 20.000 Anbieter das Verfahren,^[2] darunter der Zahlungsdienstleister ClickandBuy oder bekanntere Onlineshops wie das Elektronikversandhaus Conrad Electronic^[3] oder der Fahrzeugteilehändler A.T.U.^[4]

Vergleich mit anderen Online-Zahlungssystemen [Bearbeiten]

Abb. 1: Klassisches Onlinebanking im Internet

Bei einer Überweisung im Fall des klassischen Onlinebanking im Internet (vgl. Abb. 1) besteht eine unmittelbare Verbindung zwischen dem Zahlenden (d. h. dem Kontoinhaber oder einer bevollmächtigten Person) und seinem kontoführenden Institut, z. B. über eine gesicherte Homepage der Bank. Hier übermittelt der Zahlende sowohl die Legitimationsdaten (beispielsweise seine PIN und eine gültige TAN) als auch die „Überweisungsdaten“ (Zahlungsempfänger, Betrag, Verwendungszweck) selbst.

Abb. 2: Beispiel für elektronischen Einkauf im Internet

Neben dem oben beschriebenen klassischen Verfahren gibt es weitere Zahlungssysteme (z. B. giropay), bei denen die Überweisungsdaten nicht durch den Zahlenden selbst an die Bank übermittelt werden, sondern bei denen diese Daten auf einem anderen Wege, z. B. initiiert durch einen Onlineshop, an das kontoführende Institut übermittelt werden. Die Bank präsentiert dem Zahlenden dann beispielsweise ein bereits vorausgefülltes Überweisungsformular auf einer Webseite. Die Legitimation findet (unverändert zum klassischen Fall) zwischen Zahlendem und dem kontoführenden Institut statt (vgl. Abb. 2).

Abb. 3: Funktionsprinzip der „Sofortüberweisung“

Im Fall von Sofortüberweisung findet die Legitimation nicht mehr direkt zwischen dem Zahlenden und dem kontoführenden Institut statt. Die Sofort AG tritt gegenüber dem kontoführenden Institut als Zahlender auf, nachdem es von diesem die Legitimationsdaten erhalten hat (vgl. Abb. 3). Dies ist ein ähnliches Verfahren wie bei dem Online-Bezahlsystem PayPal. Im Gegensatz zum Anbieter giropay, der die Kunden direkt auf die Website der beteiligten Banken weiterleitet, steht Sofortüberweisung allen Kunden offen, unabhängig davon bei welcher Bank sie ihr Girokonto haben. ^[5]

Kritik am Verfahren [Bearbeiten]

Im Gegensatz zu Online-Überweisungen, bei denen die Überweisung unter Benutzung von Webseiten der jeweiligen Bank des Zahlenden ausgeführt werden, muss der Zahlende bei Sofortüberweisung sensible Daten einem Dritten zur Verfügung stellen. Dies untersagten einige Banken ihren Kunden per AGB bis zu einem im Jahr 2011 beendeten Gerichtsprozess „giropay gegen Sofortueberweisung“.^[6]

Der Betreiber wirbt auf seiner Webpräsenz zu Sofortüberweisung^[7] u. A. mit folgenden Argumenten zum Thema Sicherheit:

• Das System wurde von einem Unternehmen der TÜV Saarland Gruppe entsprechend dem BSI IT-Grundschutz und in Anlehnung an ISO 27000 zertifiziert.
• Die Übertragung der Daten (zwischen Zahlendem und Paynet) basiert auf einer SSL-Verbindung, die als schwer kompromittierbar gilt.
• Der Betreiber habe eine Versicherung abgeschlossen, die unter bestimmten Voraussetzungen für Schäden beim PIN-/TAN-Missbrauch aufkommt.^[8]

Stiftung Warentest dagegen warnt: „Machen Sie sich vor Transaktionen im Internet immer klar, dass Betrüger mit PIN und TAN Ihr Konto plündern können.“^[9]

Mit den Zugangsdaten zum Konto hat der Betreiber Zugriff auf die über die Onlinebankingschnittstelle sichtbare Transaktionsübersicht. „Der Kunde muss wissen, wozu er seine Einwilligung gibt, und das ist hier womöglich nicht gegeben“ sagt dazu Frank-Christian Pauli vom „Verbraucherzentrale Bundesverband“.^[10]

Kritik von Internetnutzern und Shopbetreibern findet sich in diversen Foren und Blogs (z. B. bei Ecombase, Xing oder im Blog von Jörg Hoschnitz^[11]). Weiterhin müssen sich Kunden darüber im Klaren sein, dass auch ein sich korrekt verhaltender Betreiber Opfer eines Hackerangriffs werden kann, in dessen Rahmen Daten gestohlen oder Transaktionen manipuliert werden können.

Aufgeführte Kritikpunkte sind unter anderem:

• Die betroffenen Banken haben dem Verfahren u. U. nicht zugestimmt (siehe obige Anmerkungen zu den AGB). Trotzdem werden Transaktionen ausgeführt, da es praktisch für die Banken nicht zu ermitteln sei, dass die Transaktion nicht durch den Kontoinhaber oder eine bevollmächtigte Person durchgeführt wird, sondern durch einen Dritten. Verschiedene Banken (insbesondere Sparkassen) warnen daher explizit vor dem Verfahren.
• Die oben genannte Versicherung besteht nicht direkt zwischen dem Versicherungsunternehmen und dem Zahlenden. Im Schadensfall ersetzt das Versicherungsunternehmen der Sofort AG ihre entstandenen Schäden.
• Angeblich wurde im Januar 2007 eine Sicherheitslücke im System der Sofortüberweisung entdeckt,^[12] durch die Shopbetreibern eine Bestätigung einer Transaktion vorgetäuscht werden könnte. Ein Risiko für den Zahlenden soll hierdurch jedoch nicht bestanden haben, und die Sicherheitslücke soll mittlerweile geschlossen sein.
• Das Verfahren führe zu einer Herabsetzung der Hemmschwelle von Internetnutzern zur Weitergabe von PINs und TANs im Internet. Dadurch komme es zu einer Erhöhung des Phishing-Risikos im Internet.

Das Betreiberunternehmen [Bearbeiten]

Nach eigenen Angaben ist die Sofort AG (vormals PayNet AG und Payment Network AG^[13]) ein im Amtsgericht München eingetragenes Unternehmen. Die Aktiengesellschaft wurde von den Personen Christoph Klein und Markus Neun als Ableger der Computerhandelsgesellschaft Eurosoft im Februar 2006 in Gauting bei München gegründet.^[14]

Belege [Bearbeiten]

1. ↑ http://www.sofortueberweisung.de/cms/index.php?plink=funktionsweise&l=1&fs=. Abgerufen am 21. Oktober 2007.
2. ↑ Firmeneigene Übersicht von teilnehmenden Anbietern
3. ↑ http://www1.conrad.de/information/sofortueberweisung/ Abgerufen am 21. Oktober 2007
4. ↑ http://www.atu.de/pages/common/agb.html. Abgerufen am 21. Oktober 2007.
5. ↑ H. Peitsmeier: In: FAZ vom 8. Juni 2012, Wirtschaft, S. 19
6. ↑ heise online: Kartellamt kritisiert Banken-AGB
7. ↑ http://www.sofortüberweisung.de
8. ↑ http://www.sofortueberweisung.de/cms/index.php?plink=versicherung_fuer_kaeufer&l=1&fs= Abgerufen am 21. Oktober 2007
9. ↑ Stiftung Warentest: Sofortueberweisung.de ist umstritten, in: Finanztest: 03/2010 (online abgerufen am 4. Februar 2013)
10. ↑ sueddeutsche.de: Ein Klick - und weg sind die Daten auf sueddeutsche.de
11. ↑ Archivierte Seite vom 19. Februar 2008 unter [1]
12. ↑ http://www.work-less.de/sicherheitsluecke_sofortueberweisung_xtcommerce_modul.html Abgerufen am 21. Oktober 2007
13. ↑ https://www.payment-network.com/pnag_de/presse/Payment-Network-AG-wird-zur-SOFORT-AG Abgerufen am 1. November 2012
14. ↑ http://www.sofortueberweisung.de/cms/index.php?plink=impressum&fs= Abgerufen am 21. Oktober 2007