giropay hat es sich auf die Fahne geschrieben sicher zu sein!

Mit giropay bezahlen
Das Vorgehen beim Bezahlen mit giropay läuft, laut der Internetseite von giropay, wie folgt:
Man kauft wie gewohnt bei dem Onlinedealer des Vertrauens ein und wählt anschließend bei den Zahlungsmethoden “Zahlen mit giropay” aus. (Anmerkung: Der Onlineshop muss diese Zahlungsmethode unterstützen.) Nach Eingabe der eigenen BLZ leitet der Onlineshop den Kunden automatisch an das giropay-Portal des eigenen Onlinebanking-Partners (Sparkasse, Postbank, etc.) weiter. Alles Weitere läuft erstmal nur auf dem (sicheren) Server des Onlinebanking-Partners. Dort gibt man seine persönlichen Zugangsdaten vom Onlinebanking ein, bekommt als nächsten Schritt die bereits ausgefüllte (nett!) “Überweisung” zu sehen, bestätigt diese mit der Eingabe einer TAN und schon ist die Ware aus dem Onlineshop bezahlt.

Das Problem dabei
Klingt erstmal fair. Das Problem, meiner Meinung nach, ist aber die Weiterleitung des Onlineshops an das Portal vom Onlinebanking. Wer weiß, ob er seine sensiblen Daten bei seinem Onlinebanking-Partner oder bei einer Fake-Seite eingibt? Klar, dafür gibt es ja Zertifikate für eine sicherer 128Bit-https-Verbindung! Finger hoch, wer sich mit der Echtheit von Zertifikaten 100% auskennt. Danke! Für alle die jetzt sowas denken wie “Wat, Zertifikate für was?”: Bitte einmal die Sicherheitstipps für Onlinebanking eurer Bank genau durchlesen. À propos Sicherheitstipps. Da steht bestimmt zum Thema Phishing ein wirklich wichtiger Tipp wie “Internet-Adresse Ihrer Sparkasse immer selbst eingeben” (Quelle: Kreissparkasse Halle, Vorsicht Phisher). Dieser Tipp ist einer der wichtigsten Tipps um sich gegen Phishing zu schützen. Bitte Adressen zum Onlinebanking immer selbst eingeben und niemals einen Link folgen.
Gegen diesen wertvollen Tipp wiederspricht die Tatsache, dass bei giropay der Onlineshop den Kunden zum Banking-Portal weiterleitet mal glatt zu 100%. Hier ist Phishing-Betrügern Tür und Tor geöffnet.

Was habe ich getan
Ich habe es für Wichtig empfunden meinem Kreditinstitut (Kreissparkasse Halle) meine Bedenken zu äußern. Ich schrieb gestern Abend eine eMail und stieß (ein wenig zu meiner Verwunderung) auf offene Ohren. Ich bekam bereits heute eine eMail. Man erklärte mir, wie sicher giropay sei. Leider nur serverseitig und nicht, was gegen meine Bedenken bezüglich Phishig angeht. Aber man schrieb mir auch “Gern nehme ich aber Ihren Hinweis mit auf, die Darstellung der Sicherheit des giropay-Verfahrens (FinTS-Schnittstelle) zu überarbeiten. “. Diese eMail stellte mich nicht besonders glücklich – darum rief ich direkt bei dem Verfasser der eMail durch. Der nette Herr am anderen Ende der Leitung stellte sich wirklich kompetent dar. Er räumte ein, dass meine Bedenken eventuell begründet seien, aber die Betrugsfälle mit Phishing in den letzten Jahren und Monaten glücklicherweise rückläufig seien. Auf meine Wette, dass giropay diesen Trend umkehren wird ließ er sich (verständlicherweise) nicht ein. Nach guten 15 Minuten beendet wir das Gespräch mit der Kernaussage, dass meine Bedenken bei der nächsten Sicherheitssitzung (o.ä) Erwähnung finden. Ein kleiner Erfolg in Richtung sichereres Onlinebanking.

Ein Lösungsansatz
Ich habe mir einen kleinen Lösungsansatz überlegt, der eventuell das Problem ein wenig eindämmen kann. Ich bin mir aber sicher, dass es nicht der Weisheit letzter Schluss sein wird:
Der Kunde wählt wie gehabt als Zahlungsmethode wieder giropay aus. In diesem Augenblick stellt der Server des Onlineshops beim Server von giropay einen neuen Antrag bei dem er wichtige aber sicherheitstechnisch eher irrelevante Daten (Gesamtbetrag, Verwendungszweck etc.) übermittelt. Als Antwort erhält er einem Art Transaktionsnummer. Diese Nummer bekommt der Käufer auf der Seite des Shopbetreibers angezeigt. Daraufhin loggt sich der Käufer bei seinen Onlinebanking-Portal (Adresse selbst eingegeben) ein. In einer speziellen giropay-Eingabemaske gibt er die Transaktionsnummer des Onlineshops ein. Der Server vom Onlinebanking sendet diese Nummer an den Server von giropay und bekommt die für die Überweisung benötigten Daten zurück. Durch die Eingabe einer normalen TAN werden die Artikel im Onlineshop bezahlt – sprich der Server von giropay markiert den Vorgang als bezahlt und sendet die entsprechende Nachricht an den Onlineshop.
Ich könnte mir vorstellen, dass dieser Lösungsansatz eine ertragbare Grätsche zwischen Sicherheit und Konform darstellt.

Ich bin gespannt, wie es mit giropay (und anderen ähnlichen Anbietern) weitergeht.