Sofortüberweisung - neues Modul, XT Handbuch

[mzanier]

... soll ich mal meinen ganz persönlichen Tipp abgeben ?

anstatt hier tage/Wochen lang über vermutungen etc zu diskutieren sollte man entweder das system testen oder es lassen.

- Conrad.de, xt:Commerce selbst, Ypsilon.Net, Afterbuy sind zwar bekannte Namen, doch sagen die Namen rein gar nichts über den Erfolg oder Mißerfolgeiner Ihres Zahlungssystems aus ... alles nur große Worte ... das System kostet Ihren KUnden ja nichts, solange nichts darüber verkauft wird *FG*!

seitens xt:Commerce kann ich jedoch soviel sagen das sofortüberweisungen in unserem shop die vorkasse nahezu ersetzt hat, 90% der vorkasse transaktionen werden nun mit SÜ abgewickelt, die abbruchrate ist wesentlich geringer als bei vorkasse.

- Ein Kunde will halt nicht erst lange "Anleitungen" durchlesen müssen, nur um seien Rechnung zu bezahlen und dann die Ware 2 Tage früher zu bekommen ... eine online Überweisung dauert im günstigsten Fall auch nur eine Nacht und dabei habe ich dann keinen "dritten" "Unbekannten" dazwischen!

und woher wissen sie was kunden wollen ?

- Sofortüberweisung dem Kunden besser erklären? Meinen Sie nicht, dass man als Shop-Betreiber seine kostbare Zeit für wichtigere Dinge einsetzen sollte!

ein shopbetreiber sollte auch seine kostbare zeit für wichtigere dinge einsetzen als über ein zahlungssystem zu philisophieren welches er noch nicht getestet hat.

[aggrosoft]

Hallo,

ich kann mich meinem Vorredner nur anschliessen kunden bei denen wir diesesn Zahlungsdienst frei geschalen haben, haben grundsätzlich damit probleme ausgereift würde ich das ganze nicht nennen.

mfg

stefan

[webkasper]

Auch mal ein Statement:

Wir haben diese Zahlungsweise auch eingebunden seit ca. 6-8 Wochen,

wir hatten bis dato noch keine Probleme und auch keine Abbrüche.

Ja, wir erhalten Zahlungen über dieses System und vor allem Kunden die einmal damit erfolgreich bezahlt hatten verwenden es immer wieder ...

Es ist doch so das der Kunde wählen kann welche Zahlungsart er verwendet,

wenn es ihm nicht "geheuer" ist dann wählt er eben eine andere ...

Und je mehr Vielfalt ich dem Kunden anbiete um so eher steht die Chance das er eine Bestellung abschliesst.

Ich empfinde so manchen Beitrag hier schon fast als "Miesmacherei",

als ob Ihr den Entwicklern des Systems es nicht gönnt.

Aber ist eben halt auch eine deutsche Tugend, immer motzen und maulen anstatt schweigen und genießen ...

In diesem Sinne,

ciao, der webkasper

[back@me]

Hallo mzanier,

ich möchte nicht unhöflich werden, doch wäre ich an Ihrer Stelle mit solchen Behauptungen sehr vorsichtig! Wenn Sie keine Ahnung haben, was ich alles schon gesteste habe oder auch nicht sollten Sie sich zurückhalten und selbst das philisophieren sein lassen

So, nun noch schnell meine Antworten:

anstatt hier tage/Wochen lang über vermutungen etc zu diskutieren sollte man entweder das system testen oder es lassen.

Bereits vor vielen Wochen im eigenen Shop getestet (sogar mit sechs Wochen Sonderkonditionen) ... Testzeitraum abgebrochen, da zu viele ungeplante Probleme und zu umständlich gegenüber dem unwissenden Kunden.

seitens xt:Commerce kann ich jedoch soviel sagen das sofortüberweisungen in unserem shop die vorkasse nahezu ersetzt hat, 90% der vorkasse transaktionen werden nun mit SÜ abgewickelt, die abbruchrate ist wesentlich geringer als bei vorkasse.

Abbruchrate ist geringer als Vorkasse? Das lasse ich mal so im Raum stehen ...

und woher wissen sie was kunden wollen ?

Beantwortet sich aus Frage 1

ein shopbetreiber sollte auch seine kostbare zeit für wichtigere dinge einsetzen als über ein zahlungssystem zu philisophieren welches er noch nicht getestet hat.

Beantwortet sich ebenfalls aus Frage 1

--------------------------------

Noch Fragen?

.

[Vio]

Hallo,

jeder soll doch das einsetzen was er mag;).

Ich finde allerdings schon, dass der Kunde wissen sollte, dass er mit dem Einsatz dieser Zahlungsweise gegen die AGB der Banken verstößt. Über Verbraucherzentralen wurde hier ja schon mal diskutiert. Vielleicht gibts ja mal einen aktualisierten Test der Bezahlverfahren im ecommerce der Stiftung Warentest.

Ich bin jedenfalls wieder ins Grübeln gekommen, als ich diesen Beitrag im Internet gefunden habe:

http://my.opera.com/J.Hoschnitz/blog/2007/02/15/die-lobbyisten-der-paynet-ag

Grüße

Vio

[mzanier]

ob es bei den kunden ankommt hängt sicherlich von der integration ab.

und ob kunden bei einem shop mit SÜ zahlen, hängt von der zielgruppe an, evtl ist einfach diese zahlungsweise nicht interessant für ihre zielgruppe. (so wie ein mobile payment wie luupay auch in einem shop mit hochpreisigen artikeln nicht akzeptiert wird...).

Beantwortet sich aus Frage 1

dann mögen sie vielleicht wissen was IHRE kunden wollen oder nichtwollen.

Ihre aussagen hier jedoch auf alle zu pauschalieren ist nicht sinnvoll, und auch nicht zielführend.

und es ist auch ein unterschied ob man im monat 100 oder 10.000 bestellungen abwickelt, wenn 0 von 100 kein sofortüberweisugn verwenden ist es etwas anders als wenn 0 von 10.000 es nicht verwenden. (thema aussagekräftige statistiken).

Abbruchrate ist geringer als Vorkasse? Das lasse ich mal so im Raum stehen ...

korrekt, es gibt auch bei vorkasse abbrecher die nicht überweisen.

sie haben hier nach zahlen gefragt, und ich habe ihnen welche gepostet.

wie sie diese interpretieren ist ihre sache.

Naja, lassen Sie es mal gut sein ... danke für Ihre Antworten ... auch wenn diese nie wirklich eine Antwort gewesen sind.

dann sollten sie einfach sachliche fragen stellen ? dann werden diese auch sachlich beantwortet.

[back@me]

... dann sollten sie einfach sachliche fragen stellen ? dann werden diese auch sachlich beantwortet.

Erstens ist diese Textpassage nicht aus unserem Dialog, sondern an Herrn Anderheggen gerichtet gewesen ...

... und zweitens muss ich behaupten, dass Sie die verschiedenen Beiträge, die hier im Forum über Sofortüberweisung geführt werden wohl nicht sorgfältig verfolgt haben, sonst hätten Sie bemerkt, dass viele IHRER xtc Kunden hier im Forum sachliche Fragen bzgl. SÜ gestellt haben, auf die entweder schwammige oder gar keine Antworten gegeben wurden.

Und wenn ich den von Vio angesprochenen Artikel auch noch kurz erwähnen darf (http://my.opera.com/J.Hoschnitz/blog...-der-paynet-ag) möchte ich mich nun lieber nicht weiter zu diesem Thema äußern.

[andrea.anderheggen]

entweder schwammige oder gar keine Antworten gegeben wurden.

Und wenn ich den von Vio angesprochenen Artikel...

Die einzige Frage, auf die ich keine konkrete Antwort geben möchte, darf und werde ist die Frage nach den Zahlen von Sofortüberweisung. Aber ich denke, als privat geführtes Unternehmen sind wir dazu auch nicht wirklich verpflichtet und ist ausserdem auch nicht für das System an sich relevant. Oder tauschen sich hier die Händler neuerdings auch eigene Zahlen zu Umsatz, Kosten, Preise etc. aus?

Betreffend Herrn Hoschnitz Blog:

1. Ist der schon ziemlich alt. Z.B. gab es damals die Versicherung gegen PIN/TAN Betrug, Phishing und Pharming nicht, die wir abgeschlossen haben, um - trotz der Tatsache, dass noch nie ein solcher Fall eingetreten ist - bei Endkäufer zu haften.

2. Es ist fragwürdig, ob mit den neuen iTAN, SmartTAN etc. Verfahren, die Sofortüberweisung auch unterstützt, die dort erwähnten Problematiken überhaupt noch möglich sind, ohne ein (sehr komplexes) System wie unseres zu entwickeln.

3. Seine Bemerkungen zu unserem Konkurrenzsystem zeigen, dass er sich mit der Technologie doch nicht so intensiv beschäftigt hat. Die Konkurrenzprodukte arbeiten nämlich technisch GENAU GLEICH wie wir - kann ich allenfalls noch separat belegen. Bei den Konkurrenzprodukten sind sogar bedeutend mehr Dritte involviert als bei uns.

4. Herr Hoschnitz ist ein typischer (unverbesserlicher) Kritiker unseres Systems, der sich durch unfaire Verhaltensweise auszeichnet:

Zuerst hat er meine Kommentare einfach gelöscht. Als er dann sah, dass ich ihm antwortete und mich darüber beklagte, hat er meine Kommentare auszugsweise (!) wieder verwendet und an anderer Stelle aufgelistet, dann aber die Kommentarfunktion selbst aus seinem Blog entfernt... (!)... Seit dieser Erfahrung stehe ich Blogs und der damit verbundenen, gefährlichen Nivellierung und Verkrüppelung der Berichterstattung eher kritisch gegenüber.

Wir Mitarbeiter von Sofortüberweisung sind jedenfalls immer stärker vom System überzeugt, nicht nur wegen den Zahlen, sondern weil es wirklich auf jede faire und sinnvolle Frage eine Antwort gibt, die zeigt, dass das System in einigen Aspekten prinzipiell überlegen ist. - Die Fragen müssen nur konkret und präzise gestellt werden. Wenn es dann, wie vor 6 Monaten bzgl. Haftung, doch noch Fragen gibt, wo wir bei uns selbst Schwächen feststellen, sind wir immer gerne bereit, unser System zu verbessern.

[back@me]

Hallo Herr Anderheggen,

danke für Ihre Stellungnahme!

Ich wünsche Ihnen und "Ihrem" System trotz verschiedener Meinungen (es wäre auch schlimm, wenn es die nicht gäbe) für die Zukunft alles Gute und viel Erfolg.

Ich werde das System weiterhin im Auge behalten und wir werden sehen, was die Zeit bringt.

.

[masonic]

Die einzige Frage, auf die ich keine konkrete Antwort geben möchte, darf und werde ist die Frage nach den Zahlen von Sofortüberweisung.

Ok, dann eine andere Frage, welche Daten werden bei einem Zahlungsvorgang mit Sofortüberweisung alle abgefragt? Kontostand, Umsätze, Kreditlimit???

Betreffend Herrn Hoschnitz Blog:

1. Ist der schon ziemlich alt. Z.B. gab es damals die Versicherung gegen PIN/TAN Betrug, Phishing und Pharming nicht, die wir abgeschlossen haben, um - trotz der Tatsache, dass noch nie ein solcher Fall eingetreten ist - bei Endkäufer zu haften.

MMn nur Schmuck am Nachthemd, denn wenn ein Phishzug an Sofortüberweisung vorbeizieht, fängt ja schon damit an, dass die Versicherungssumme pro Einzelfall leider nur auf 5.000 Euro begrenzt ist, auch gerade mal 100 Opfer abgesichert sind und ein Nachweis wie in Punkt 6.3 gefordert meist gar nicht möglich ist.

2. Es ist fragwürdig, ob mit den neuen iTAN, SmartTAN etc. Verfahren, die Sofortüberweisung auch unterstützt, die dort erwähnten Problematiken überhaupt noch möglich sind, ohne ein (sehr komplexes) System wie unseres zu entwickeln.

Erklären sie doch mal bitte, warum die dort erwähnten Problematiken nicht mehr zutreffen bei iTAN etc.

3. Seine Bemerkungen zu unserem Konkurrenzsystem zeigen, dass er sich mit der Technologie doch nicht so intensiv beschäftigt hat. Die Konkurrenzprodukte arbeiten nämlich technisch GENAU GLEICH wie wir - kann ich allenfalls noch separat belegen. Bei den Konkurrenzprodukten sind sogar bedeutend mehr Dritte involviert als bei uns.

Es geht weniger um die Technologie, denn entscheident ist wo der Prozess stattfindet. Welche zusätzlichen 3. sind denn angeblich bei den Konkurrenzprodukten involviert?

4. Herr Hoschnitz ist ein typischer (unverbesserlicher) Kritiker unseres Systems, der sich durch unfaire Verhaltensweise auszeichnet:

Zuerst hat er meine Kommentare einfach gelöscht. Als er dann sah, dass ich ihm antwortete und mich darüber beklagte, hat er meine Kommentare auszugsweise (!) wieder verwendet und an anderer Stelle aufgelistet, dann aber die Kommentarfunktion selbst aus seinem Blog entfernt... (!)... Seit dieser Erfahrung stehe ich Blogs und der damit verbundenen, gefährlichen Nivellierung und Verkrüppelung der Berichterstattung eher kritisch gegenüber.

Vielleicht liegt es einfach auch nur daran, wie Sofortüberweisung mit konkreter Kritik umgeht, denn jeder der Kritik äußert wird ja als Mitbewerber abgestempelt...

Wenn es dann, wie vor 6 Monaten bzgl. Haftung, doch noch Fragen gibt, wo wir bei uns selbst Schwächen feststellen, sind wir immer gerne bereit, unser System zu verbessern.

Wie prüft man bei conrad.de, ob man wirklich mit Sofortüberweisung verbunden ist?

[andrea.anderheggen]

Ok, dann eine andere Frage, welche Daten werden bei einem Zahlungsvorgang mit Sofortüberweisung alle abgefragt? Kontostand, Umsätze, Kreditlimit???

Hm, nicht sicher, wie ich die Frage verstehen soll. Wir fragen beim Kunden:

- Bankverbindung

- Kontonummer

- PIN

- TAN

- ev. noch andere Daten, je nach eBanking-System.

Wir prüfen auch den Verfügungsrahmen eines Kunden, wenn Sie das auch noch wissen wollen. (Steht ja übrigens auch auf der zweiten Seite des Überweisungsformulares)

Und, um das auch vorweg zu nehmen (wir kennen unsere Pappenheimer :

Nein, weder ein Mitarbeiter der Payment Network, noch irgendein Händler sehen jemals irgendwelche Kontostände oder vertrauliche Daten (PIN, TAN) eines Käufers. Das prüft und bestätigt auch der TÜV kontinuierlich und wir haben inzwischen über 2'700 registrierte Händler, die das ohne weitere bezeugen können.

MMn nur Schmuck am Nachthemd, denn wenn ein Phishzug an Sofortüberweisung vorbeizieht, fängt ja schon damit an, dass die Versicherungssumme pro Einzelfall leider nur auf 5.000 Euro begrenzt ist, auch gerade mal 100 Opfer abgesichert sind und ein Nachweis wie in Punkt 6.3 gefordert meist gar nicht möglich ist.

Da möchte ich Sie gerne auf eine Zahl aufmerksam machen, die uns ein Kollege einer grösseren Bank (Namen werde ich nicht nennen) genannt hat. Und zwar gab es dort im 2006 Phishing-Fälle für insgesamt 400'000 Euro, bei einem Überweisungsvolumen von XXX Milliarden...

Auch die Versicherung hatte überhaupt keine Probleme, als wir zum gleichen Prämienpreis auch Phishing-Fälle abgedeckt haben wollten. Grund: die versichern auch Banken und schätzen die Wahrscheinlichkeit von Phishing als sehr gering ein.

Bei aller Beachtung, die das Thema Phishing ständig in den Medien erhält, muss man faktisch halt sagen, dass die tatsächliche Anzahl solcher Fälle äusserst gering ist und es sich hier oftmals schlicht und ergreifend um Panikmache handeln dürfte.

Erklären sie doch mal bitte, warum die dort erwähnten Problematiken nicht mehr zutreffen bei iTAN etc.

Weil man die richtige iTAN, bzw. die richtige Abfrage ("Geben Sie die TAN XYZ ein.") nach Eingabe des PIN generieren müsste. Und dazu braucht man ein intelligentes System wie Sofortüberweisung, das alle technischen Herausforderungen meistert, die sich an Entwicklung und Anbindung etc. von Bankenschnittstellen stellen. Wenn man sowas macht, verkauft man nachher lieber ein profitables Payment-System und macht uns Konkurrenz... Bringt VIEL mehr als ein paar Unwissende zu betrügen

Man muss auch faktisch, ganz konkret sagen: Herr Hoschnitz hat bisher die Wette klar verloren. Es gab schlicht und einfach noch kein PIN/TAN Betrugsfall bislang... und es ist - wie gesagt - eher unwahrscheinlich, dass es überhaupt mal einen geben wird.

Es geht weniger um die Technologie, denn entscheident ist wo der Prozess stattfindet. Welche zusätzlichen 3. sind denn angeblich bei den Konkurrenzprodukten involviert?

Gehen Sie auf die Seite der Konkurrenzprodukte und schauen Sie, wieviele und welche Dritte involviert sind; mal ganz abgesehen davon, dass die Konkurrenz von einer (juristischen, dritten) Person betrieben wird, die hoffentlich auch von menschlichen Wesen geführt wird.

Der oft gehört Einwand, dass es sich um die gleiche URL handelt, hat technisch gesehen nichts mit der Möglichkeit zu tun, die ein bankenunabhängiges System wie Sofortüberweisung auch hätte. Daher mein Einwand, dass es sich um die gleiche Technologie handelt.

Vielleicht liegt es einfach auch nur daran, wie Sofortüberweisung mit konkreter Kritik umgeht, denn jeder der Kritik äußert wird ja als Mitbewerber abgestempelt...

Was uns zum Beispiel halt immer wieder auffällt, ganz banal: unsere Kritiker halten sich anonym.... wir dagegen stehen mit unserem eigenen persönlichen Namen ein, den jeder sofort auf Google und im Telefonbuch finden kann. Ist halt in meinen Augen ein ziemlich bedeutender Unterschied gegenüber den (oft gleichen) zunächst anonymen Kritiker, die sich dann bereits nachweislich (!!!) als Mitarbeiter von Konkurrenzprodukten erwiesen haben und offenbar von Kartellrecht, UWG und freiem Wettbewerb nicht wirklich viel halten.

[masonic]

Wir prüfen auch den Verfügungsrahmen eines Kunden, wenn Sie das auch noch wissen wollen. (Steht ja übrigens auch auf der zweiten Seite des Überweisungsformulares)

Also ich sehe lediglich einen Hinweis, dass eine Überweisung an die Bank nur bei ausreichender Deckung übermittelt wird. Nicht sehr vertrauenswürdig für einen Käufer, wenn solche für den Käufer wichtigen Informationen, was wirklich im Hintergrund passiert, so verschleiert mitgeteilt werden.

Allein der Umstand, dass der Kontostand abgefragt wird, reicht mir völlig für die Nichtnutzung von Sofortüberweisung aus, denn was interessiert Sofortüberweisung meine finanziellen Verhältnisse.

Es kommt immer drauf an, wie man sich Statistiken dreht, aber Zahlen aus der Vergangenheit sagen auch nichts über die zukünftige Entwicklung aus. Wenn ein worst-case Szenario auftritt reicht die Summe lange nicht aus und bei einem Schaden von über 5000 Euro bleibt man sowieso drauf sitzen. Dabei ist ja auch zu berücktsichtigen, dass viele Schäden auch durch schnelle Reaktion einer Bank nicht entstehen, aber diese Reaktion ist bei Fremdsystemen ja nicht möglich.

Was versteht man denn unter Phishing, gibt ja einige Interpretationen zu dem Thema was noch Phishing, wann Pharming und wann eine Mitm-Attacke ist...

Dann Augen auf in der freien Wildbahn, denn dort wurden solche Trojaner schon gesichtet, die noch viel mehr können als Echtzeitphishing bei iTan...

Warum unwahrscheinlich? Eigentlich viel interessanter als eine einzelne Bank anzugreifen, denn Nutzer von Sofortüberweisung sind in Sachen Sicherheit sowieso nicht sensibilisiert und sind die viel besseren Opfer für Phishingattacken.

Nennen sie doch einfach klar und deutlich diejenigen, die sie für 3. halten, ich kann dort keine erkennen, vor allem nicht mehr als bei Sofortüberweisung.

Ihre Technologie arbeitet außerhalb des Netzwerks einer Bank und das ist der entscheidene sicherheitsrelevante Unterschied.

Nur weil man gut informiert ist, bedeutet es noch lange nicht für einen Mitbewerber zu arbeiten. Ich habe nix mit dem Vertrieb von Konkurrenzprodukten zu tun, interessiere mich lediglich für sicheres Onlinebanking, aber warum muß man dann seine liebgewonnen Pseudonyme im Internet aufgeben?

Eine Antwort auf die letzte Fragen zur Überprüfung bei conrad.de sind sie übrigens schuldig geblieben.

[andrea.anderheggen]

.... aber warum muß man dann seine liebgewonnen Pseudonyme im Internet aufgeben?

Sie scheinen auch ein typischer Kritiker unseres Systems zu sein: ihr erster und einziger Beitrag in xt:Commerce ist uns alleine gewidmet und sie bleiben anonym. Ich kenne Ihre Internetaktivitäten nicht, aber auf xt:Commerce haben Sie jedenfalls ihr Pseudonym nicht sehr lange liebgewinnen können...

Wir stehen mit unserem Namen für Sofortüberweisung ein, sie nicht für ihre Kritik. Es soll sich jeder seine eigene Meinung bilden.

Übrigens möchte ich trotz der klaren Worte hier auch noch einmal betonen, dass unser Unternehmen gerne interessierte Personen nach Gauting einlädt. Des Weiteren sind wir auch stets an Kooperationen jeder Art - selbst und gerade mit Banken - interessiert.

Allein der Umstand, dass der Kontostand abgefragt wird, reicht mir völlig für die Nichtnutzung von Sofortüberweisung aus, denn was interessiert Sofortüberweisung meine finanziellen Verhältnisse.

Ich denke, Sie haben hier was nicht zu Ende gedacht:

(a) wenn der Verfügungsrahmen gegeben ist, geht die Transaktion durch, niemand weiss, wie ihre finanziellen Verhältnisse sind.

( wenn der Verfügungsrahmen nicht gegeben ist, geht entweder die Transaktion nicht durch. In diesem Fall sehen wir nur: Transaktion abgebrochen. Der Händler sieht das nur, wenn er separate Trackingtools hat, die nicht Teil von Sofortüberweisung sind.

Aber die Gründe für einen Abbruch vor TAN-Eingabe können vielfältig sein, z.B. hat einer vor der TAN abgebrochen, weil er sie nicht zur Hand hat, uns nicht vertraut, einen Artikel doch nicht kaufen will, die Server der Banken nicht verfügbar sind etc. etc. Auch hier: niemand weiss, was ihre finanziellen Verhältnisse sind.

© Falls trotz mangelndem Verfügungsrahmen die Transaktion durchgeht, wird sie als "unbestätigt" markiert, bzw. entsprechend dem Händler mitgeteilt. Allerdings steht jedesmal ausdrücklich in der Benachrichtigung, dass eine unbestätigte Transaktion viele Gründe haben kann, z.B. das wir technisch keine Bestätigung durch die Bank erhalten haben, der Verfügungsrahmen gar nicht geprüft werden konnte, unsere Schnittstelle entsprechende Mängel hat etc. etc.

Schon wieder: niemand weiss, wie ihre finanziellen Verhältnisse sind.

Fazit: Unser System lässt weder uns und noch viel weniger einen Händler Rückschlüsse irgendwelcher Art betreffend Ihren finanziellen Verhältnissen zu. Es ist ganz einfach: fragen Sie Händler, die uns nutzen.

Es kommt immer drauf an, wie man sich Statistiken dreht, aber Zahlen aus der Vergangenheit sagen auch nichts über die zukünftige Entwicklung aus. Wenn ein worst-case Szenario auftritt reicht die Summe lange nicht aus und bei einem Schaden von über 5000 Euro bleibt man sowieso drauf sitzen. Dabei ist ja auch zu berücktsichtigen, dass viele Schäden auch durch schnelle Reaktion einer Bank nicht entstehen, aber diese Reaktion ist bei Fremdsystemen ja nicht möglich.

Diese Bemerkung verstehe ich nicht: wieso sollte die Reaktionszeit der Banken durch unser System eingeschränkt werden? Wir stellen doch alles in Echtzeit ein, die Bank sieht doch alles genau gleich schnell, wie bei irgendwelchen anderen Überweisungen? - Unser System unterstützt den Käufer lediglich bei der Einstellung einer Überweisung!

Des Weiteren muss man sagen, dass bei vielen Banken eine Überweisung über 5'000 Euro pro TAN gar nicht defaultmässig erlaubt ist.

Zu guter Letzt prüfen wir zurzeit auch eine Erhöhung der 5'000 Euro Limite, da wir neuerdings auch Händler gewinnen konnten, die teurere Produkte verkaufen. Diesbezüglich gehen wir also trotz des geringen Bedarfes bereits einen Schritt weiter.

Was versteht man denn unter Phishing, gibt ja einige Interpretationen zu dem Thema was noch Phishing, wann Pharming und wann eine Mitm-Attacke ist...

Wenn Sie sich die Formulierung unter §4 in unserer Versicherung anschauen, werden Sie sehen, dass die Betrugsarten weit gefasst sind. Sowohl Phishing, Pharming und Mitm-Attacken sind dort abgedeckt.

Im Übrigen sollten die klassischen Formen von Mitm-Attacken kaum möglich sein, weil die Daten schliesslich SSL-verschlüsselt übertragen werden.

Warum unwahrscheinlich? Eigentlich viel interessanter als eine einzelne Bank anzugreifen, denn Nutzer von Sofortüberweisung sind in Sachen Sicherheit sowieso nicht sensibilisiert und sind die viel besseren Opfer für Phishingattacken.

Da irren sie sich. Wir klären unsere Nutzer an vielen Stellen umfassender auf, als das bei den meisten Zahlungssystem der Fall ist. Schauen Sie sich unser Zahlungsformular an. Schauen Sie sich unsere Käufer-Erklärungen genau an.

Wir von Sofortüberweisung sehen das Thema Sicherheit nicht nur einfach als ein Muss, dem wir eine eigene Hauptsektion mit 9 Unterseiten auf unserer Webseite widmen. Wir sehen das Thema Sicherheit als einen guten Grund, um Sofortüberweisung als Zahlungssystem einzusetzen. Denn Sicherheit bei Sofortüberweisung hält jedem Vergleich mit anderen System Stand. Wenn Sie mal unser vielseitiges Sicherheitskonzept mit anderen Zahlungsanbietern vergleichen, werden Sie objektiv sagen können, dass wir in Punkto Sicherheit top sind.

Nennen sie doch einfach klar und deutlich diejenigen, die sie für 3. halten, ich kann dort keine erkennen, vor allem nicht mehr als bei Sofortüberweisung.

Im Gegensatz zur Konkurrenz verhalten wir uns korrekt und nennen keine Namen. Sie werden mich auch nicht dazu bringen. Sorry.

Aber die Übung ist ganz einfach: schauen Sie sich an, wer an der Konkurrenz beteiligt ist: verschiedene Banken, verschiedene Systemanbieter, IT-Häuser. Als Käufer benutzen Sie dort also ein System, an dem verschiedene Unternehmen beteiligt sind, die nicht ihrer Bank gehören. Wie würden Sie sowas sehen? -

Rechtlich gesehen, ist übrigens die Betreiberin des Konkurrenzproduktes selbst eine Dritte, unabhängig davon, ob Sie ihrer Bank gehört oder nicht.

Ihre Technologie arbeitet außerhalb des Netzwerks einer Bank und das ist der entscheidene sicherheitsrelevante Unterschied.

Diese Bemerkung zeigt leider, dass Sie die zugrundliegende Technologie nicht kennen, da es sich um eine netzwerkunabhängige Technologie handelt. Die Konkurrenzprodukte arbeiten nachweislich alle mit der gleichen Technologie wie wir und das heisst: sie können (wie wir) auch ohne die Zustimmung einer Bank und ausserhalb eines Bankenservers ihr Zahlungssystem erweitern und betreiben. - Dort sehe ich allerdings keine Versicherung gegen Phishing und Pharming: Sofortüberweisung vielleicht noch sicherer?

Aber - und hier zeigt sich die Schwäche der Konkurrenz - eine Bank steht in direktem Konkurrenzverhältnis zu einer anderen und kann deshalb - obgleich technisch möglich - nicht ohne weiteres ein solches System ohne Kooperationsverträge aufbauen.

Anderseits sind die Banken faktisch gesehen tendenziell innovationsavers: bereits der Aufbau einer grösseren Kooperation wird Jahre in Anspruch nehmen.

Ausserdem gibt es noch interne Probleme mit anderen Geschäftszweigen (Kreditkartengeschäft) etc. etc.

Fazit: geringe Bankenabdeckung (selbst bei Banken im gleichen Dachverband), hohe Gebühren, wenig Kundenfreundlichkeit, wenig Internationalisierungspotential.

Alles in allem: unsere Bankenunabhängigkeit ist uns viel wert.

******************

So, und jetzt wünsche ich allen noch ein angenehmes Wochenende!

[masonic]

Bevor ich mich zum Rest äußer, wäre immer noch die Antwort auf die Frage zu conrad.de interessant, die ja schon zum 2. Mal ignoriert wurde.

Wie kann ich auf conrad.de beim Zahlungsvorgang überprüfen auch wirklich mit Sofortüberweisung verbunden zu sein?

Schönes RestWE

[angwrob]

Hallo,

eine Kundin schrieb mir gerade das hier:

Ich nehme an, daß meine Bank die VR Bank Bretzfeld-Neuenstein das ganze nicht unterstützt. Ärgerlich ist nur, daß meine TAN-Liste jetzt gesperrt wurde, bzw. die von meinem Mann und ich das jetzt noch mal alles eingeben mußte. Hat mich ziemlich genervt. Aber überwiesen ist es jetzt. Nichts für ungut.

So, und nun mein Vorschlag: offensichtlich ist es ja so, dass die Banken in der Lage sind, abzufragen, ob sofortüberweisung bei der Überweisung zwischengeschaltet ist. Und falls ja, dann passiert bei einigen Banken eben dieser Automatismus: TAN-Liste sperren, Kunde ist böse, sofortüberweisung schlägt fehl.

Das ist

- schlecht für sofortüberweisung (denkt an euren Ruf)

- schlecht für mich als Händler (der Kunde oben war zwar relativ lieb, das hätte aber auch anders enden können)

- schlecht für den Kunden (der wollte Vereinfachung, mußte dann aber erhöhten Streß in Kauf nehmen.

Und nun mein Vorschlag: ihr könnt sicherlich ein System aufbauen, das speichert, bei welchen Bankleitzahlen eine Überweisung geklappt hat, und bei welchen Bankleitzahlen die Überweisungen grundsätzlich fehlschlagen, d.h. welche Banken euch boykottieren.

Warum baut ihr jetzt nicht in euer Formular eine Warnung ein, wenn jemand das System mit einer Bank bedienen möchte, die bisher nur Ärger gemacht hat:

"Leider boykottiert Ihre Bank unser System. Überweisungen, die in der Vergangenheit durch unser System vorgenommen wurden, sind von Ihrer Bank absichtlich herausgefiltert und nicht angenommen worden. Teilweise war die vorübergehende Sperrung von Konten oder TAN-Listen die Folge. Daher empfehlen wir Ihnen, diese Überweisung mit Ihrer normalen Online-Banking-Software vorzunehmen, oder das Konto einer anderen Bank zu verwenden [Eingabefeld vorsehen!!!]. Leider können Sie so natürlich nicht von den Vorteilen von sofortüberweisung profitieren. Wenn Sie es trotzdem mit dieser Bank ausprobieren möchten, so können Sie jetzt normal weitermachen. Bedenken Sie jedoch, dass es nötig sein könnte, dass Sie anschließend Ihr Konto entsperren lassen müssen."

So oder so ähnlich. Das würde die Kundenzufriedenheit meiner Ansicht nach ERHEBLICH vergrößern, bzw. in Fällen, in denen sofortüberweisung fehlschlägt, bekommt eindeutig die Bank den Schwarzen Peter zugeschoben. Manche Kunden machen vielleicht trotzdem weiter, und legen es drauf an, weil die möglichen Vorteile den möglichen Ärger wieder wettmachen. Sollte eine Bank ihre Regeln dann wieder lockern, werden diese Kunden es euch durch eure Bankleitzahl-Statistik zeigen.

Ich hoffe, etwas zu der Problematik beigetragen zu haben, und würde eine entsprechende Änderung des Systems *sehr* begrüßen, weil ich mich langsam frage, wieviele der sofortüberweisungs-Abbrüche auf diese sehr ärgerliche Art enden. Diese Kundin schrieb mir obigen Absatz auch erst auf Nachfrage - und normalerweise frage ich nicht großartig nach...

Viele Grüße,

Angela Wrobel

[andrea.anderheggen]

Bevor ich mich zum Rest äußer, wäre immer noch die Antwort auf die Frage zu conrad.de interessant, die ja schon zum 2. Mal ignoriert wurde.

Wie kann ich auf conrad.de beim Zahlungsvorgang überprüfen auch wirklich mit Sofortüberweisung verbunden zu sein?

Schönes RestWE

Bitte entschuldigen Sie, ich habe diese Fragen nicht absichtlich ignoriert. Bei Conrad.de haben wir eine eingeframte Lösung implementiert. Diese bieten wir aus Sicherheitsgründen nur bei ausgewählten Grosskunden an. Technisch bleibt der Kunden aber auf der Seite von Sofortüberweisung.

Um zu überprüfen, dass es sich um Sofortüberweisung handelt, können Sie bei Conrad.de auf den Hinweis zum SSL-Zertifikat klicken. Dort wird fälschungssicher bestätigt, dass es sich um sofort-ueberweisung.de handelt:

https://www.sofortueberweisung.de/cms/img/SSL-Zertifikat_Conrad.jpg

Des Weiteren erklärt Conrad.de Sofortüberweisung relativ gut:

http://www1.conrad.de/information/sofortueberweisung

Natürlich können die Nutzer auch die Seite www.conrad.de selbst überprüfen. Das Unternehmen Conrad hat sich in den letzten 85 Jahren schliesslich keinen schlechten Namen gemacht. Da müssen sogar wir von der Payment Network AG noch bisschen arbeiten

[comest]

Hallo Andrea,

bevor der Kunde seine Bestellung aufgibt, wird Ihm eine Übersicht über alle Bestelldaten angezeigt. Unter anderem findet man unter "Zahlungsweise" die folgende Information:

Zahlungsweise:

Sofortueberweisung

(Bearbeiten)

Zahlungsweise:

Zahlbar an:

IN-Solution

KntNr 1234

Blz: 1234

Kann man den Abschnitt "Zahlbar an: IN-Solution.." ändern bzw. löschen und wenn ja, wo?

Vielen Dank im Voraus!

Gruß

Stephan

[andrea.anderheggen]

So, und nun mein Vorschlag: offensichtlich ist es ja so, dass die Banken in der Lage sind, abzufragen, ob sofortüberweisung bei der Überweisung zwischengeschaltet ist. (...)

Sehr geehrte Frau Wrobel

Vielen Dank für Ihren Vorschlag. Generell ist zu sagen, dass die Banken eine Sofortüberweisung nicht erkennen können. Einige Banken haben sich mühsam und sinnlos die Arbeit gemacht, unsere verschiedenen IPs zu sammeln und Kundenkonten. Einige Banken haben auch IPs gesperrt, die gar nicht zu uns gehört haben und haben sich da auch die Finger verbrannt...

(Übrigens zeigt sich hier für mich das grundsätzlich wirtschaftlich motivierte Verhalten der Banken; statt auf unsere zahlreichen Einladungen und Kooperationsvorschläge zu reagieren, versucht man lieber uns gleich zu sperren... ausserdem möchte man hier die Entscheidung der eigenen Kunden anfechten, die schliesslich auch Vorteile mit Sofortüberweisung realisieren und überall im Detail aufgeklärt werden, was eigentlich geschieht... meiner Meinung nach ziemlich unprofessionell und kurzfristig gedacht von den Banken.)

Das Problem der IP-Adressen wurde durch variable DSL-IP-Blöcke vor einigen Monaten gelöst.

Nach unserem Wissen wurden auch insgesamt ca. 9 Konten gesperrt. Diese Zahl ist relativ klein, wenn man bedenkt, dass wir in den letzten 12 Monaten bereits hohe sechstellige Transaktionszahlen abgewickelt haben.

Ich finde Ihren Vorschlag zwar interessant, weil einfach umzusetzen und pragmatisch. Ausserdem könnte man auch die Nutzer darauf aufmerksam machen, dass seine Bank ein innovatives System wie unseres boykottiert. - Allerdings weiss ich nicht wie die Banken reagieren würden. V.a. bin ich der Meinung, dass die Banken beim Endkäufer immer noch grösseres Ansehen haben als die Payment Network AG; wäre ja auch merkwürdig, wenn ein alteingesessenes Unternehmen einem relativ jungen diesbezüglich nicht das Wasser reichen könnte...

Die Frage ist halt: wie oft kommt es wirklich vor, dass ein Konto gesperrt wird. Natürlich sind wir sehr interessiert, entsprechende Kundenfeedbacks und -meldungen zu bekommen. Jedenfalls werde ich Ihren Vorschlag intern besprechen.

Mit besten Grüssen,

Andrea Anderheggen

[angwrob]

Nach unserem Wissen wurden auch insgesamt ca. 9 Konten gesperrt. Diese Zahl ist relativ klein, wenn man bedenkt, dass wir in den letzten 12 Monaten bereits hohe sechstellige Transaktionszahlen abgewickelt haben.

Ich bin ja ein wirklich kleiner Internet-Shop, mit vielleicht einer Sofort-Überweisungs-Bestellung pro Tag. Aber zwei meiner Kunden hatten nach einer Sofortüberweisung entweder ein gesperrtes Konto, oder eine gesperrte TAN-Liste (seit sofortüberweisungs-Start im Mai). Eine davon sagte mir das erst auf Nachfrage, d.h. ihre erste Mail hieß nur, dass sofortüberweisung nicht funktioniert habe. Erst auf Nachfrage erfuhr ich, dass ihre ganze TAN-Liste gesperrt wurde. Sie hat am 13.08.2007 gegen 10:18 bestellt, falls ihr darüber irgendwelche Aufzeichnungen habt, wie z.B. besondere Fehlermeldungen oder dergleichen. Oder hat sie vielleicht falsche TANs eingegeben? Wäre ja zumindest denkbar, auch wenn sich die Probleme anders anhörten.

Die andere Kundin hat mir unaufgefordert über ihr gesperrtes Konto berichtet. Sie sagte wirklich, das ganze Konto sei gesperrt gewesen. Dies ist allerdings eine Stammkundin, die öfters bei mir bestellt, mit der ich also auch so Email-Kontakt habe. Jetzt frage ich mich natürlich, wie hoch die wirkliche Rate dieser Problemfälle ist...

Ich finde Ihren Vorschlag zwar interessant, weil einfach umzusetzen und pragmatisch. Ausserdem könnte man auch die Nutzer darauf aufmerksam machen, dass seine Bank ein innovatives System wie unseres boykottiert. - Allerdings weiss ich nicht wie die Banken reagieren würden. V.a. bin ich der Meinung, dass die Banken beim Endkäufer immer noch grösseres Ansehen haben als die Payment Network AG; wäre ja auch merkwürdig, wenn ein alteingesessenes Unternehmen einem relativ jungen diesbezüglich nicht das Wasser reichen könnte...

Der Image-Verlust von sofortüberweisung ist auf jeden Fall höher, wenn der Kunde die Überweisung probiert, und dabei TAN-Liste und/oder Konto gesperrt werden. Ich finde, ihr könntet durch so eine Überprüfung nur gewinnen. Und mit ein paar Datenbankabfragen (BLZ in Relation zu Problemen) bekommt man die betroffenen Banken leicht raus. Und bald sind gesperrte Konten nur noch Einzelfälle von Personen, die es darauf angelegt haben!

Zum Feststellen der Sperrungen könntet ihr eventuell bei fehlgeschlagenen Überweisungen direkt nach dem Logout nochmal einen Login/Logout probieren, natürlich ohne die PIN zuvor zu speichern, sie wird einfach aus dem RAM nochmal verwendet. Damit könntet ihr plötzlich gesperrte Online Banking Accounts erkennen, und wüßtet, dass bei der BLZ in Zukunft Vorsicht geboten ist.

Gesperrte TAN-Listen könnt ihr vermutlich nicht so einfach erkennen, oder? Vielleicht gibt es eine Übersicht der verbrauchten TANs, die eine gesperrte Liste anzeigen würde? Falls ja, würde ich auch hier mal suchen, ist aber sicherlich etwas mehr Aufwand. Aber wenn ein Kunde nicht dreimal eine falsche TAN eingegeben hat, dann dürfte ja eigentlich auch seine TAN-Liste nicht plötzlich gesperrt sein!

Die Frage ist halt: wie oft kommt es wirklich vor, dass ein Konto gesperrt wird. Natürlich sind wir sehr interessiert, entsprechende Kundenfeedbacks und -meldungen zu bekommen. Jedenfalls werde ich Ihren Vorschlag intern besprechen.

Danke! Und ich glaube wirklich, dass viele Kunden die bittere Pille einfach schlucken und sich gar nicht von sich aus melden. Ich kann mir nicht vorstellen, dass nur wirklich 9 Kunden solche Erfahrungen hatten, wenn bei mir allein schon zwei Kunden ihr Konto nach der Nutzung von sofortüberweisung wiederbeleben mußten.

Viele Grüße,

Angela Wrobel

[andrea.anderheggen]

Sehr geehrte Frau Wrobel

Da wir leider keinerlei sensible Daten wie PIN, TAN etc. speichern und mit dem Endkunden nicht in direkten Kontakt treten können (Daten liegen beim Händler), können wir leider nicht überprüfen, wessen Konto gesperrt wurde. Wir sind daher absolut darauf angewiesen, dass uns Händler entsprechende Fälle melden. Am besten mit Emails an [email protected]. Diese werden dann an unser Ticketing-System weitergeleitet und dort systematisch von Technik, Vertrieb oder Geschäftsleitung bearbeitet.

Wohlverstanden: die obengenannte Zahl sind auch nur die Fälle, die uns berichtet worden sind und NICHT mit einer falschen PIN oder TAN-Eingabe zu tun haben.

Gemäss einigen Stichproben (Umfragen) stellen wir zum Beispiel fest, dass einige Nutzer die PIN und selbst die TAN (!) mit der PIN von der EC-Karte verwechseln... wir weisen deshalb verschiedentlich auf das Online-Banking hin.

Natürlich werden PIN/TAN Daten also auch gesperrt, wenn einer die falschen Daten eingibt. Hier unterscheidet sich Sofortüberweisung in keinerlei Hinsicht von normalem Online-Banking. Die falsche TAN-Eingabe ist allerdings nicht ein Fehler, den wir ohne Weiteres beheben können, weil er schliesslich mit dem User und seiner Sorgfalt zu tun hat.

Bezüglich der Erkennbarkeit von Sofortüberweisung ist halt prinzipiell zu sagen, dass es sich letztlich um eine Software handelt, die über Schnittstellen den Kunden in der Eingabe und Bestätigung der Überweisung unterstützt. Ähnlich wie z.B. bei Buchhaltungsprogrammen sollte es keinerlei Merkmale geben, mit welchen eine Bank eine Sofortüberweisung von einer normalen Überweisung unterscheiden können sollte. Daher sind wir bislang eben der Meinung, dass es sich hier nur um Nutzerfehler oder (eher unwahrscheinlich, bei den uns vorliegenden Zahlen) um technische Fehler unsererseits handelt.

Trotzdem werde ich - wie vorhin versprochen - die Sache mal intern besprechen. Möglicherweise kann man Ihre Formulierung auch etwas entschärfen und trotzdem den Kunden aufmerksam machen.

[angwrob]

Sehr geehrte Frau Wrobel

Da wir leider keinerlei sensible Daten wie PIN, TAN etc. speichern und mit dem Endkunden nicht in direkten Kontakt treten können (Daten liegen beim Händler), können wir leider nicht überprüfen, wessen Konto gesperrt wurde.

Würden denn die Anweisung

pin = eingabe(PIN)

tan = eingabe(TAN)

success = ueberweisung_ausfuehren(pin, tan)

logoff()

if (!success) {

login(pin)

pruefe_tanliste()

logoff()

}

schon als SPEICHERN von pin und tan zählen? Irgendwie müßt ihr pin/tan ja im RAM halten, so oder so... Natürlich sollen die Daten nicht auf der Festplatte landen! Aber hier wären sie ja nur eine lokale Variable, die während der Ausführung der Funktion ueberweisung_ausfuehren() im RAM-Speicher erhalten wären. Mit den anschließenden Login (falls die Überweisung nicht erfolgreich war) würde ich testen, ob der Bankaccount gesperrt wurde.

Dass die Nutzer PIN oder TAN von der EC-Karte verwenden, ist übel. Ich vermute mal, dass das vor allem Nutzer sind, die gar kein Online-Banking haben, oder die dieses zumindest fast noch nie verwendet haben, oder?

Bezüglich der Erkennbarkeit von Sofortüberweisung ist halt prinzipiell zu sagen, dass es sich letztlich um eine Software handelt, die über Schnittstellen den Kunden in der Eingabe und Bestätigung der Überweisung unterstützt. Ähnlich wie z.B. bei Buchhaltungsprogrammen sollte es keinerlei Merkmale geben, mit welchen eine Bank eine Sofortüberweisung von einer normalen Überweisung unterscheiden können sollte. Daher sind wir bislang eben der Meinung, dass es sich hier nur um Nutzerfehler oder (eher unwahrscheinlich, bei den uns vorliegenden Zahlen) um technische Fehler unsererseits handelt.

Hmm, ich versuche mal aus der Sichtweise eines Programmierers bei einer Bank zu denken, der euch entlarven möchte. Achtet ihr auch auf banale Dinge, wie die Geschwindigkeit? Wenn so ein Formular in nullkommanichts ausgefüllt und abgeschickt ist, dann ist klar, dass da ein Programm am Werke war. Wenn *dann* der Request so aussieht, als käme er von der Online-Banking-Seite (ich nehme mal an, ihr verhaltet euch wie ein Browser), dann ist irgendwo der Wurm drin! Natürlich wollt ihr dem Benutzer sofort Feedback geben, ob alles geklappt hat. Aber vielleicht solltet ihr es mal mit einigen menschlichen Delays probieren, und den Nutzer per Reload über den Fortschritt informieren - insbesondere bei Banken, die bekanntermaßen problematisch sind.

Trotzdem werde ich - wie vorhin versprochen - die Sache mal intern besprechen. Möglicherweise kann man Ihre Formulierung auch etwas entschärfen und trotzdem den Kunden aufmerksam machen.

Die Formulierung ist auch wurscht, ich wollte nur *sinngemäß* zeigen, was man machen könnte. Vielen Dank für die interne Diskussion und viele Grüße!

Angela Wrobel (Diplom-Informatikerin und Programmiererin mit über 20jähriger Erfahrung - momentan in Elternzeit... ;-) )

PS: wenn meine Ideen helfen, könnt ihr mich ja zum gebührenfreien Ehrenmitglied ernennen. ;-)

[laserbbs]

Ich verstehe nicht die aufregungen hier, es ist eine zahlungsoption und wer es haben willst kann und darf es verwenden. es ist nicht fest intergriert im XTC.

[masonic]

Um zu überprüfen, dass es sich um Sofortüberweisung handelt, können Sie bei Conrad.de auf den Hinweis zum SSL-Zertifikat klicken. Dort wird fälschungssicher bestätigt, dass es sich um sofort-ueberweisung.de handelt:

https://www.sofortueberweisung.de/cms/img/SSL-Zertifikat_Conrad.jpg

Desweiiteren erklärt Conrad.de Sofortüberweisung relativ gut:

http://www1.conrad.de/information/sofortueberweisung

Beim Durchforsten des Spamfilters bin ich noch einmal auf das Thema gestossen, daher erst jetzt eine Antwort.

Dass dort nicht fälschungssicher bestätigt wird, zeigt ein interessanter Artikel auf Heise http://www.heise.de/security/artikel/96814/Siegelbruch-Schwachstelle-in-VeriSigns-Secure-Site-Dienst

Es handelt sich zwar um Verisign und nicht um thawte, aber das Nachbasteln der "fälschungsicheren" Bestätigungsseite dürfte auch bei thawte ein genauso kleines Problem sein.

[genndus]

@andrea.anderheggen

Hallo,

in Welchen Ländern kann Sofortüberweisung derzeit genutzt werden?

Besonders interessiert mich ob es mit Französischen Konten funktioniert, und ob es Schwierigkeiten mit einigen Banken gibt.

Gibt es das xtc Modul auch in English und Französisch?

Gruß

genndus

[rivella]

Ich habe gerade einen Bug in der sofortueberbeisungredirect.php entdeckt: Die Variable {{orderid}} wird nicht gesetz, weil $insert_id nicht existiert.

Ich bitte um Bestätigung.

cu

rivella