technik | Polemiken

Heute fand ich bei fefe etwas Interessantes und habe mir das mal etwas genauer angesehen…

“So Frau Meier, das macht dann dreizehneurofuffzig.”
“Ach Frau Bischof, holen Sie sich”s einfach selbst aus dem Geldbeutel, ich seh ja nicht mehr so gut und hier ist”s auch so dunkel.”

Diese Szenen gab”s früher mal. Als es auf den Dörfern noch Läden gab und sich Käufer und Verkäufer kannten und das Vertrauensverhältnis grundlegend für das Funktionieren einer Gemeinschaft war.

Gute alte Zeit… Wer heute bezahlen will, der muss in erster Linie misstrauen. Den Instanzen muss er misstrauen, den Zahlwegen und den auf der Strecke lauernden Strauchdieben, die sich die übermittelten Informationen abgreifen wollen oder gar die übermittelte Ware/das übermittelte Geld selbst.

Dennoch sind die Fronten eigentlich klar: Ich als Käufer traue mir selbst. Ich traue dem Verkäufer, jedenfalls bis zu einem gewissen Grad, denn ich kaufe ja bei ihm. Alles andere ist generell als unsicher zu betrachten und durch geeignete Hilfsmittel und Protokolle zu sichern. Anders herum traut auch der Verkäufer mir nur bedingt und stimmt so mittelbar in die Nutzung dieser Hilfsmittel ein, schließlich hat auch er ein Interesse daran, das Geld für seine Ware zu erhalten. Der zentrale Begriff des Vertrauens erweitert sich hier zu einer Instanz, denn beide teilnehmenden Akteure müssen entweder Vertrauen in das Gegenüber legen, ggf. unterstützt durch flankierende Identifikationsmaßnahmen oder aber, indem das Vertrauen auf eine reale, mittelnde Instanz ausgeweitet wird, die zwischen den beiden Parteien vermittelt. Solche Mittler kennen wir als Bezahlsysteme wie z.B. paypal im Netz oder auch die Deutsche Post beim Nachnahmeverfahren in der Offlinewelt.

Nun aber gibt es aber inzwischen einige deutliche Aufweichungen dieses relativ alten Prinzipes. Zum einen kann heute der Verkäufer alle Last der Unsicherheit auf den Käufer legen. Das nennt sich dann Vorkasse und bedingt, dass das Geld zum Verkäufer kommt, ehe er auch nur einen Finger krumm macht, die Ware zum Käufer zu bringen. Der Verkäufer verlangt also vom Käufer einen guten Schuss Vertrauen und nicht zu Unrecht ist dieses Verfahren bei Menschen mit Sicherheitsbedürfnis extrem unbeliebt. Wenn das Vertrauen nicht schon durch vorherige Transaktionen oder sonstige Mittel hergestellt ist, ist dieses Verfahren eine sehr unsichere und von vielen zwielichtigen Gestalten mißbrauchte Methode, um an das Geld leichtgläubiger Mitmenschen zu gelangen. Akzeptanz findet diese Methode dennoch im Bereich kleinerer Transaktionen, man erinnere sich an die Sonnenbank, die vorher bezahlt wird oder den Zigarettenautomat. Hier liegen die Transaktionen zeitnah vor und unterstehen fast ständiger Kontrolle der Instanzen. Außerdem ist der Wert der gehandelten Ware oder Dienstleistung gering und eine Scheitern des Handels wäre im wirtschaftlich verkraftbaren Bereich und würde eine direkte Sanktionierung nach sich führen.

Umgekehrt ist das Bezahlen per Rechnung nach Erhalt der Ware beim Käufer ein großer Vertrauensvorschuss des Verkäufers. Auch diese Methode erfährt Akzeptanz in bestimmten Bereichen, vor allem im wie im obigen Beispiel beschriebenen engeren, gegenseitig zumindest erreichbaren Kreis, also im Dorf, in der Stadt, im Bereich Handwerk und kleine Dienstleistungen, die vor Ort erfüllt werden.

Seit heute kenne ich eine neue Qualität in der Verschiebung des Vertrauens innerhalb der Akteure. Diese kommt von einer Dienstleistung, die sich Sofortüberweisung (sofortueberweisung.de) nennt und verspricht, in einem online abgehaltenen Handel sofortige Bezahlung zu gewährleisten.

Wie funktioniert es? Der Kunde gibt einer vermittelten Instanz sämtliche Informationen, die sie dazu befähigen, eine Onlinetransaktion von den Webseiten der jeweiligen Bank des Kunden zum Verkäufer zu veranlassen. Einfacher ausgedrückt: die mittelnde Instanz übernimmt für den Kunden die Onlineüberweisung und gibt dem Verkäufer dafür die mehr oder minder vertrauenswürdige Information, dass die Transaktion auch wirklich stattgefunden hat.

Moment? “sämtliche Informationen”? Ja genau, der Käufer gibt dem Mittler seine Zugangsdaten für das Onlinebanking seiner Bank und dazu eine TAN (oder was auch immer die einmalige Authentifizierung der Transaktion sein mag), damit dieser anstelle des Kunden die Überweisung ausführt. Macht seiner Mittlerposition (und hier will ich Macht ausnahmsweise mal in seiner vollen Wucht ausgedrücken wollen) gibt dieser dann die Zahlinformation an den Verkäufer weiter.

Hier erfährt das Prinzip der Vertrauensverlagerung also eine massive Ausprägung. Vergleichbar ist das nicht mehr mit dem Beispiel ganz am Anfang. Vielmehr gibt hier Frau Meier der Frau Bischof auch noch die Information, wo sich die Geldbörse zu Hause befindet, gibt ihr noch einen Nachschlüssel zur Wohnung und die Genehmigung, jederzeit hereinzuschauen und zu kontrollieren, was sich so in der Geldbörse befindet. Der Zugriff ist zwar durch den Verbrauch der TAN beschränkt, aber auch das ist ein Vertrauensvorschuss, der nicht kontrollierbar ist. Zudem kennt Frau Meier diese Frau Bischof nicht und Frau Bischof ist nichtmal der direkte Akteur, es könnte auch ihre Schwägerin oder der Exmann sein. Natürlich versichert mir Frau Bischof, dass alles mit rechten Dingen zugeht, aber Papier ist bekanntlich geduldig.

Ross und Reiter ist hier sofortueberweisung.de, eine Aktiengesellschaft, wie es scheint, heißt die Firma doch “Payment Network AG”. Ihren Sitz hat sie in Gauting bei München und wurde 2006 von Christoph Klein und Markus Neun gegründet, wobei letzterer einen Sitz im Aufsichtsrat hat (Impressum). Kunden dieses Anbieters sind unter anderem bekannte Namen wie Conrad, Plus, RTL, Orion, aber auch Micropaymentanbieter wie clickandbuy.

Vielen wird diese Methode direkt “spanisch” vorkommen (Spanier mögen mir diese Redewendung verzeihen…). Ich gebe doch nicht meine Onlinebankingdaten heraus! Was sagt die Bank dazu? Man schaue in die AGB seines Onlinebankingvertrages, dort wird jeder (und da bin ich sehr sicher) einen Passus finden, in dem steht, dass eben diese Daten niemals und nimmer an Dritte herausgegeben werden dürfen, anderseits verlagert sich alle Haftung in Richtung des Kunden.

Hier ein Auszug aus den AGB meiner Bank:

Insbesondere Folgendes ist zur Geheimhaltung der PIN und TAN zu beachten:
• PIN und TAN dürfen nicht elektronisch gespeichert oder in anderer Form notiert werden.
• Die dem Nutzer zur Verfügung gestellte TAN-Liste oder das für den TANEmpfang registrierte Mobiltelefon ist sicher zu verwahren.
• Bei Eingabe der PIN und TAN ist sicherzustellen, dass Dritte diese nicht ausspähen können.
• Die technische Verbindung zum Online-Banking-Angebot des Kreditinstituts ist nur über die vom Kreditinstitut gesondert mitgeteilten Online-Banking-Zugangskanäle herzustellen.
• Außerhalb der vom Kreditinstitut gesondert mitgeteilten Online-Banking-Zugangskanäle dürfen Anfragen, insbesondere nach vertraulichen Daten wie Geheimzahl, PIN oder TAN, nicht beantwortet werden

und weiter heißt es:

Stellt der Nutzer fest, dass eine andere Person [von der TAN/der PIN...] Kenntnis erhalten hat oder besteht der Verdacht ihrer missbräuchlichen Nutzung, so ist der Nutzer verpflichtet, unverzüglich seine PIN zu ändern bzw. den Online-Zugang zu sperren. Sofern ihm dies nicht möglich ist, hat er das Kreditinstitut unverzüglich zu unterrichten. Der Nutzer hat jeden Missbrauch unverzüglich bei der Polizei zur Strafanzeige zu bringen. In diesem Fall wird das Kreditinstitut den
Online-Banking-Zugang zum Konto/Depot sperren.

Und dann:

Das Kreditinstitut haftet ab dem Zugang der Sperrnachricht des Nutzers für alle Schäden, die aus ihrer Nichtbeachtung entstehen.

Zu Deutsch: man macht sich unmittelbar für alle Schäden und Mißbrauchsfälle am eigenen Konto haftbar. Alle. Davon abgesehen, dass ich – wäre ich Bank – dem Kunden sofort kündigen würde, denn hier wird das gesamte Prinzip des Onlinebankings aufgeweicht und zwar mutwillig und bewußt.

[update] Bewußt? Nun, wenn man sich die eine oder andere Beschreibung bei den Verkäufern anschaut, die das so anbieten, könnte man auf den Gedanken kommen, dass die Information, was genau geschieht nicht unbedingt direkt genannt werden will. Man beachte den Text bei clickandbuy…[/update]

Auch wenn sofortuebeweisung.de weitere TANs fehlen, um Transaktionen vornehmen zu können, so kann immer noch lesend auf mein Konto zugegriffen werden, alle Informationen sind weiterhin vorhanden. Woher weiß ich, dass sofortueberweisung.de auch wirklich diese eine Transaktion vorgenommen hat? Nur, indem ich noch einmal selbst auf meinem Konto nachschaue und somit den dünnen Kundenvorteil, dass ich selbst mir nicht die Arbeit mit meinem Onlinekonto machen müsse (damit wird geworben!) sofort wieder verliere. Der Aussage, die nötigen Daten für den Kontenzugriff würden nicht (dauerhaft) gespeichert ist zumindest luftig, auch wenn der TüV ggf. eine Zertifizierung erteilt hat, in der dieses bestätigt wird. Denn wer nur ein wenig Ahnung von der Materie hat, weiß dass ein, zwei Zeilen php und ein ALTER TABLE nötig sind, um diesen Zustand zu ändern.

Interessant sind die wirklich vielen Partner dieses Systems. Selbst clickandbuy findet sich hier. Allerdings scheinen diese es selbst nicht ganz verstanden zu haben. Unter http://www.clickandbuy.com/DE/de/sa/help/pages/05216.html&bereich=surfer#Sofort schreibt man dort, dass der Kunde “über eine sichere Verbindung direkt zu Ihrem Online-Banking-Konto bei Ihrer Bank geleitet.” würde. Das stimmt so nicht. Die Demo bei sofortueberweisung.de (https://www.payment-network.com/de/user/sofortueberweisung-demo.html) zeigt deutlich, dass keinerlei Berührung des Kunden mit seiner Bank vorkommt während der Transaktion.

In einer Pressemitteilung gibt auch Plus bekannt (besser gesagt die Plus Online GmbH), dass sie sofortuebeweisung.de nutzen. “Die Überprüfung der Sicherheit von
sofortüberweisung.de hat ergeben, dass kein anderes System sicherer ist”. Eine Angabe, wie das geprüft wurde und von wem: Fehlanzeige. (http://www.plus.de/is-bin/INTERSHOP.enfinity/WFS/Plus-PlusDE-Site/de_DE/-/EUR/ViewCms-Content?Path=%2Fdownloads%2F177778)

Auch Conrad findet sich unter den Kunden. Denen scheint das aber dennoch nicht ganz geheuer zu sein, schreiben sie in ihren Informationen unter http://www1.conrad.de/infocenter/sofort.php :

“Bei dem Dienst “Sofortüberweisung” ist es bisher zu keinen Missbräuchen gekommen (TÜV- zertifiziertes-Online-Zahlungssystem). Vorsorglich weisen wir dennoch darauf hin, dass es viele Banken und Sparkassen gibt, die davon ausgehen, dass die Nutzung des Dienstes “Sofortüberweisung” wegen der Verwendung Ihrer PIN und TAN zu einer Haftungsverlagerung bei etwaigen Missbrauchsfällen durch Dritte führt. Dies kann dazu führen, dass im Missbrauchsfall Ihre Bank sich weigert, den Schaden zu übernehmen und im Ergebnis Sie den Schaden zu tragen haben. Vorsorglich hat daher der Betreiber des Dienstes “Sofortüberweisung”, die Payment Network AG, zu Ihren Gunsten eine Versicherung abgeschlossen, die Schäden bei Missbrauch nach Maßgabe der unter diesem Link wiedergegebenen Versicherungsbedingungen ersetzt. Hierdurch sollen Sie im Rahmen des Versicherungsumfanges vor etwaigen Haftungsrisiken geschützt werden.”

Bei genauerer Suche stellt sich dann heraus, dass die Payment Network AG diesen Passus in seinen eigenen AGB vorschlägt. Man weiß also, dass hier sehr dünnes Eis betreten wird. Allerdings ist das Eis mehrheitlich unter den Füßen des Kunden…

Eine Versicherung? Ist ja schön und gut. Aber nehmen wir doch mal folgende Situation: Ein schlecht gelaunter Mitarbeiter der Entwicklung macht nebenher Logfiles, was mit entsprechenden Kenntnissen und Vorsicht nicht weiter auffallen dürfte. Diese Daten verkauft er. Von mir aus nach Korruptistan. Diese Daten wiederum werden mißbraucht, woraufhin sich der Mißbrauch auf sofortüberweisung.de zurückleiten lassen. Nun wird die Versicherung mit an Sicherheit hoher Wahrscheinlichkeit einen Passus drin haben, der besagt, dass grobe Fahrlässigkeit oder eigenes Verschulden (und das ist es im Falle eines eigenen Mitarbeiters) nicht greifen wird. Die “Haftung” geht damit direkt auf den Verursacher über, bei dem dann wiederum nichts mehr zu holen ist. Der ist zwar ruiniert (und die PM AG ebenso…), aber das Kind ist nicht nur in den Brunnen gefallen, sondern auch noch ertrunken.

Nein, ich unterstelle hier nicht, dass es sich um kriminelle Machenschaften dreht. Das könnte sich keine Firma leisten, die mehr als drei Tage existieren möchte (Siemens und ähnliches mal ausgenommen). Die Payment Network AG weiß, worauf sie sich einläßt, da bin ich mir sicher. Und sie wird den Teufel tun, sich auch nur irgend eine Blöße zu geben, die es ihren offensichtlich zahlreichen Gegnern ermöglicht, den Laden dicht zu machen. Da möchte ich nicht zuletzt ebay, einen klaren Konkurrenten nennen, der sofortüberweisung bereits vor geraumer Zeit in seinen Auktionen verboten hat (siehe hier und hier). Dass ebay dabei nicht zwingend die Sicherheit seiner Kunden im Blick hat, dürfte klar sein.

[update]Übrigens nennt sofortueberweisung.de dennoch ebay als Beispiel für sein “auction payment” (siehe hier)[/update]

Was mich erschreckt, ist die Methode selbst. Hier wird die Hemmschwelle, solcherlei Daten an Dritte herauszugeben mit Bequemlichkeit herabgesenkt. Die generell schon kaum noch vorhandene Vorsicht, die der Umgang mit diesen sensiblen Schlüsseln dringend erfordert wird weiter untergraben.

Soviel erstmal hierzu. Viele Dinge sind noch unklar, einiges fehlt und ich werde mir das eine oder andere mal genauer ansehen und ggf. Anbieter dieses Dienstes anschreiben und meine Bank befragen. Man liest sich.

Die Tage entdeckte ich ja einige alte Tapes wieder.

Das hat mich an eine Sache erinnert, die heute so ganz aus dem Blickfeld gerückt ist, dass es einen fast schon gruselt. Es geht um das Zuhören. Ich rede nicht vom Hören, nicht vom Anhören. Ich meine das Zuhören über eine lange Zeit hindurch. Heute kauft man eine CD (so man sie denn kauft…) und pickt sich die Teile heraus, die einem gefallen. Die kommen auf den MP3-Player und werden mit anderem Gedudel zum persönlichen Brei vermischt.

Beim Tape war das zwar auch möglich und wurde auch gemacht. Jeder hatte seine persönlichen Mix-Kassetten. Aber: Die Herstellung einer solchen Kassette war ein Aufwand, den man nur für das wirklich Beste betrieb. Neue Platten hingegen wurden erst einmal unkompliziert auf die jeweiligen Seiten schnittlos auf die Kassette gebannt. So bot sich das gesamte Werk zum Hören an und weil das Vorspulen – im Gegensatz zum Trackhopping bei der CD – ein ebenso zeitaufwendiges Ding war, hörte man sich eben alles an.

Der Effekt? Auch Titel, die nicht sofort eingäng waren fanden so Gnade vorm Hörer und mal ehrlich: wieviele Tracks, die anfangs nicht gefielen, gehörten bei Euch zum Schluss zu den Lieblingen? Nicht wenige, möchte ich wetten.

Heute aber wird der Persönlichkeitsbrei nach wenigen Takten sondiert und der Rest zum Füllmüll sortiert, der vergessen wird.

Was ist die Konsequenz dieses Effektes? Platten (ja, ich sage heute noch Platten, wenn ich ein Album meine, auch wenn ich nicht mehr über einen Plattenspieler verfüge, ich bin in sofern selbst schuld am Effekt…) werden genau so produziert: auf den ersten Effekt programmiert, auf die ersten Takte, Minuten. Was nach kurzer Zeit nicht gefällt, endet im Orkus des Vergessens. Und noch viel schlimmer: Es gibt keine Konzeptalben mehr. Keine Symphonien, keine Werke mehr. Wer kann sich heute noch ein Album im Format einer Tarot-Suite von Mike Batt vorstellen? Sowas hört keiner mehr, außer ein paar Unbelehrbaren wie mich und mein Vater vielleicht.

Pink Floyd? Undenkbar. Blind Guardian oder Manowar? Tja…

Vielleicht sollte man sich hin und wieder mal die Zeit nehmen, das gesamte Werk zu hören, auch wenn es schwer fällt und die Zeit drängt. Glaubt mir, Ihr verpasst so einiges.

Polemiken

Category Archives: technik

8 Bit

Patent Web-To-Print nichtig

Zeigt her Eure PINs, zeigt her Eure TANs

Die Kunst des Zuhörens

DNB? BND?

Ich, Du und die IP

Bossrun auf das Weiße Haus

Tanja muss sitzen!