Sofortkredite, Handyverträge, Onlinehandel Warum Sie öfter nach der PIN gefragt werden

"Ein seriöser Anbieter wird Sie nie nach Ihrer PIN fragen": Was früher ehernes Gesetz war, verliert an Bedeutung. Immer mehr Anbieter wollen einen Blick in das Konto werfen. Wie riskant ist das?

Computernutzer (Archiv)
Getty Images

Computernutzer (Archiv)

Von


Sicherheitsexperten raten seit Jahren, niemals die Persönliche Identifikationsnummer (PIN) des Girokontos oder Passwörter weiterzugeben. Immer öfter wollen aber Unternehmen aus etlichen Branchen online einen Blick in das Bankkonto des Kunden werfen - und verlangen die Zugangsdaten. Ihr Versprechen: Rasche Abwicklung von Verträgen ohne lästigen Papierkram. Was ist dabei zu beachten?

Was fragen die Firmen ab?

Beantragt ein Kunde online einen Sofortkredit oder will er einen neuen Handyvertrag, verlangen die Firmen oft einen Einblick in die Transaktionshistorie. Damit können sie die Kreditwürdigkeit ohne Schufa-Abfrage prüfen. Diese Kontoinformationsdienste nutzen beispielsweise Anbieter von Sofortkrediten oder Telekom-Unternehmen.

Einige Anbieter erfragen aber nicht nur die PIN, sondern auch die TAN, um beispielsweise Sofortüberweisungen vom Konto zu tätigen.

Wie genau funktioniert das System?

Für den Kontozugriff gibt es zwei Verfahren: Zertifizierte Anbieter können sich mit der PIN des Kunden über eine Schnittstelle bei der jeweiligen Bank in das Konto einloggen. Dazu muss der Kunde über eine sichere Verbindung seine PIN beziehungsweise TAN auf der Seite des Anbieters eingeben.

Bei der anderen Methode, die als Screen Scraping bezeichnet wird, ruft der Anbieter über eine sichere Verbindung de facto den Online-Banking-Zugang des Kunden auf und loggt sich selbst mit dessen Daten ein.

Wo kommen die Dienste zum Einsatz?

Zu den Kunden von Anbietern wie der Firma Fintecsystems zählen Versicherungen, Banken, Leasingfirmen und Vergleichsplattformen. Hinzu kommen E-Commerce-Anbieter und Online-Shops, die meist die Zahlungsdienste nutzen. Der Dienstleister Klarna listet Händler aus allen Branchen als Kunden auf, darunter die Lufthansa und die Deutsche Bahn.

Fintecsystems erwartet, dass künftig mehr Anbieter ihre Dienste nutzen: "Grundsätzlich halten wir die PSD2 damit für einen der Wegbereiter für die Digitalisierung in der Finanz- und Bankenwelt", sagt Gründer Dirk Rudolf.

Ist das legal?

Ähnliche Angebote wurden bisher von Zahlungsanbietern wie PayPal für Überweisungen genutzt. Zunächst bewegten sich diese Angebote in einer Grauzone. Ein Vorwurf war, Kunden würden mit der Eingabe von Passwort oder PIN auf fremden Internetseiten gegen die Allgemeinen Geschäftsbedingungen (AGB) vieler Banken und Sparkassen verstoßen. Das Bundeskartellamt bezeichnete diese AGB allerdings als rechtswidrig.

Seit Januar dieses Jahres sind solche Dienste durch eine europäische Richtlinie geregelt, die Zahlungsrichtlinie PSD2. Darin werden Banken verpflichtet, die Kontodaten ihrer Kunden auch anderen Anbietern offenzulegen. Sie müssen dazu Schnittstellen einrichten, so genannte APIs.

Die zweite Methode, bei der sich der Dienstleister mit den Zugangsdaten seines Kunden in den Onlineauftritt der Banken einloggt, wird hingegen bis spätestens September 2019 abgeschafft werden.

Wer kontrolliert das?

Die Anbieter dieser Dienste müssen sich eine Lizenz von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) besorgen, die auch für große Banken zuständig ist. Die Finanzaufsicht veröffentlicht auch Listen mit registrierten und lizenzierten Drittdiensten. Unternehmen, die solche Dienste anbieten wollen, können sich zertifizieren lassen oder den Service von zertifizierten Dienstleistern nutzen.

Die Firmen müssen ihre Sicherheitsstrategie darlegen und angeben, wie sie mit sensiblen Zahlungsdaten umgehen. Weitere Prüfsiegel, beispielsweise vom TÜV, sind nicht nötig.

Die registrierten Anbieter werden von der BaFin im Zuge ihrer laufenden Aufsicht überwacht. Sie müssen Bericht erstatten, Auskunft erteilen und können von der BaFin überprüft werden.

Was sagen Sicherheitsexperten?

IT-Experten fürchten, dass die Kunden unvorsichtig werden. Die neuen Anbieter forderten die Nutzer "genau zum Gegenteil dessen auf, was immer gepredigt wurde", sagt Vincent Haupert, Sicherheitsforscher an der Universität Erlangen-Nürnberg. Früher habe er stets den Rat gegeben, die Zugangsdaten zum Onlinebanking ausschließlich auf der Seite der Bank einzugeben, und zwar nach manueller Eingabe der entsprechenden URL in den Browser.

Die Empfehlung, Passwörter nicht weiterzugeben, habe auch weiterhin Geltung. Inzwischen gebe es aber durch die neuen Plattformen Ausnahmen. Dadurch werde der Kunde daran gewöhnt, bei anderen Anbietern seine PIN preiszugeben. Im Zweifelsfall wisse der Kunde nicht, ob ein Dienst lizenziert sei, warnt Haupert.

Prinzipiell spreche nichts gegen die technische sichere Abwicklung dieser Dienste. Insgesamt steige das Sicherheitsniveau durch die Einführung von PSD2 und der Lizenzierung durch die BaFin.

Problematisch sei auch die Frage der Privatsphäre. Die Dienste könnten anhand der Transaktionshistorie vertrauliche Daten der Kunden erfahren. Möglich sei es beispielsweise, anhand von Zahlungsdaten Bewegungsprofile zu erstellen.

"Die Frage ist: Wem gebe ich Zugriff, was machen die Anbieter dann damit?", sagt Haupert. Das Problem bestehe darin, dass ein "Nutzer solcher Dienste unter Umständen gar nicht versteht, dass er weitreichende Informationen von sich preisgibt". Weitgehend ungeklärt sei die Frage, ob Daten bei den Anbietern gespeichert werden dürfen und wenn ja, wie lange.

Wie reagieren Verbraucherschützer?

In den Kontodaten spiegle sich "fast das ganze wirtschaftliche Verhalten, welche Verträge und Verpflichtungen man schon hat und woher man sein Geld bezieht", sagt Frank-Christian Pauli vom Verbraucherzentrale Bundesverband.

Verbraucher sollten sich kritisch fragen, ob es angemessen sei, einem Anbieter für eine bestimmte Leistung diesen weitgehenden Zugriff zu gestatteten, sagt Pauli. Geprüft werden sollte, ob die Erklärung des Anbieters, was dieser genau mit den Daten macht, nicht nur akzeptabel, sondern auch klar und verständlich formuliert ist.

"Wer zu viele Daten mit Anbietern teilt, sollte auch bedenken, dass er sich auch in eine wesentlich schlechtere Verhandlungsposition bringt", sagt Pauli weiter.

Denn Anbieter könnten mit diesen Daten genau sehen, über welches Budget ein Kunde verfügt und was er allgemein zu zahlen bereit ist. "Das ermöglicht individuelle Preise, die uns Verbraucher teuer zu stehen kommen." Datenschutz bleibe für alle Verbraucher wichtig, sagt Pauli.

"Letztlich müssen die Verbraucher entscheiden, ob sie sich auf einen Vertrag einlassen, oder nicht", sagt Pauli. Von der allgemeinen Bereitschaft, den Firmen für bestimmte Anwendungen Zugriff auf Konten zu gewähren oder zu verweigern, hänge auch ab, ob künftig noch mehr Unternehmen um die PIN bitten werden.

Wie sieht es in Zukunft aus?

Allerdings ist damit nicht gesagt, dass Kunden künftig auch weiterhin ihre PIN und TAN weitergeben müssen. Der Anbieter von Zahlungsdienstleistungen Computop etwa setzt mittelfristig verstärkt auf biometrische Merkmale, die die PIN über kurz oder lang ablösen sollen.

Bei Bezahlvorgängen über das Mobiltelefon hätten sich viele Nutzer daran gewöhnt, den Fingerabdruck zu nutzen, sagt Computop-Gründer und -Geschäftsführer Ralf Gladis. Bei Transaktionen über Notebooks oder PC, die keine Fingerabdruckscanner aufweisen, könnten stattdessen Gesichts- oder Spracherkennung zum Einsatz kommen.

insgesamt 85 Beiträge
Alle Kommentare öffnen
Seite 1
GoaSkin 29.07.2018
1.
So lange es zu viele Leute gibt, die für geschäftliche Vorteile zu allem bereit sind, können die Anbieter es bringen. Manche Leute legen sich auch extra einen Facebook-Account zu oder willigen den unmöglichsten Datenpreisgaben ein und lassen dazu noch ihr GPS den ganzen Tag eingeschaltet, nur um für einen Like einen Rabatt zu erhalten.
Tuennemann 29.07.2018
2. Ich werde einen Teufel tun ...
... und meine Zugangsdaten online offen legen! Dafür ist mir die Gefahr eines Missbrauches zu hoch!
ansv 29.07.2018
3. Frage an den Experten
Wie sieht das aus mit Haftung und Beweislast im Betrugsfall? Wenn ich jemandem die Möglichkeit gebe, Geld von meinem Konto abzuheben und der tut das dann nach eigenem Ermessen - da sieht die Situation für mich doch ganz schön düster aus. Ich glaube, auf solche Verträge kann man doch gut verzichten.
kangootom 29.07.2018
4. PIN = PERSÖNLICHE Identifikationsnummer
Die Pin darf nie an dritte weitergegeben werden. Punkt. Keine Diskussion, weil ich ab der Übergabe die Kontrolle verliere. Beim Versuch ein Konto für Bitcoins bei einem seriösen Anbieter anzulegen wurden dier Zugangsdaten für mein Onlinekonto abgefragt. Auch fintec. Damit war für mich die Kontoeinrichtung beendet. Wer so dumm ist diese Daten weiterzugeben, dem ist nicht mehr zu helfen.
levitenknaller 29.07.2018
5. Missbrauch???
In USA, gibt es einen eindeutigen Schlüssel für jede Person im Lande - Sozialversicherungs-Nummer, 10 Nummern lang xxxx.xx.xxxx und wird überall als Erkennung verwendet, vollständig, 10 Nummern oder Teile davon, meistens die letzten 4 Nummern - Versicherungen, Banken, Kredit-Anstalten, Stadtverwaltungen, was, immer... Traum aller Geschäfte, ein Schlüssel und alles kann darauf bezogen werden. Protestieren dagegen - vergiß es! Gibst sie nicht aus, kriegste keinen Service..., schreib eine Beschwerde, viel Glück! Aus dem Lande Trump.....
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.