Risiko bei On-Line-Überweisungen

[my2cents]

Wir ham doch hier auch ne ganze Menge EDV-Spezialisten, vielleicht sagt da auch einer etwas zum Thema (und vielleicht muß ich dann den duck und wech machen und mir nen neuen Nick suchen).

Hallo GB,

habe auch den Artikel bei heise gelesen und binn ebenso verständnislos über das Urteil:
Meine Hausbank hat in fast jeder Filiale ein so gennanntes Service-Terminal stehen, wo man
unter anderem neben dem Abholen der Kontoauszüge auch Daueraufträge verwalten und Über-
weisungen tätigen kann. Und in diesen Terminals ist auf jeden Fall eine Überprüfungsroutine mit
entspr. Heuristik implementiert. Aufgefallen ist mir das bei einer Überweisung, bei der mir der
Empfänger die falsche Kto.Nummer genannt hatte und die Überweisung nicht angenommen
wurde, leider ohne aussagekräftige Fehlermeldung... Mit der richtigen Kto.Nr. (die beiden letzten
Ziffern hatten einen Zahlendreher) wurde die Überweisung dann angenommen.

Zur technischen Thematik:
Die wesentliche Rolle bei der Überprüfung ist die Kto.Nr., da diese in Verbindung mit der BLZ
eine eindeutige Identifizierung des Kontoinhabers ermöglicht.
Erst dann kommt die Aufgabe, den Namen des Empfängers zu prüfen. Diese Überprüfung der
Schreibweise des Namens ist eine Aufgabe, die i.d.R. recht simpel gelöst werden kann, über
reguläre Ausdrücke und entspr. Filter kann man die korrekte Schreibweise interpretieren, bzw.
die Filter können geringfügige Abweichungen tolerieren. Einfache Beispiele hierfür sind z.B.
Doppelzeichen im Namen wie 'nn', 'll' oder auch das 'ß', welches auch gerne durch 'ss', seltener
durch 'sz' ersetzt wird. Ebenso muß der Filter mit Abkürzungen wie z.B. 'Fa' für "Firma" umgehen können.
Nach meiner Einschätzung wird primär auf die ähnliche Schreibweise des Hauptnamens
(Nachname oder Firmenname) geprüft; Zusätze wie "GmbH", "Co KG", "und Partner", etc.
dürften eine untergeordnete oder gar keine Rolle spielen. Interessant wird es wiederum bei
Doppelnamen, wobei hier auch wieder die Ähnlichkeit der korrekten Schreibweise oder die
Angabe eines der beiden Namen zu einer erfolgreichen Prüfung führen dürften.

Insofern komme ich zu den folgenden logischen Schlussfolgerungen:
- es existieren bereits entspr. Routinen zur Überprüfung der Kto.Nr./Namenskombination
- diese werden auch von (zumindest einigen) Banken beim elektronischen Lastschriftverfahren eingesetzt
- es gibt kein rein technisch bedingten Gründe, warum sowas bei Kunden-Terminals funktioneren sollte
und bei der Online-Variante nicht
- es gibt zumindest aus meiner Sicht keine Sicherheitsgründe, die gegen ein solches Verfahren bei der Online-
Variante sprechen: Hier reicht schon die Übertragung der Daten an den Server, der dann nur die entspr.
Rückmeldung (Überweisung angenommen, Empfänger unbekannt, Kto. unbekannt, etc.) liefert


Die anderen hier genannten Argumente kann ich durchaus nachvollziehen. Generell gilt ja bei
Geldgeschäften das Motto lieber zweimal hinschauen.
Nach negativen Erfahrungen eines Bekannten im gemeinsamen Amiland-Urlaub lasse ich auch
meine Kreditkarte nicht mehr unbeaufsichtigt:
Bei meinem Bekannten wurden angeblich zwei Wochen, nachdem wir schon wieder zurück in DE
waren, für über 1300 Dollar Eisenwaren in einem Generalstore in einem kleinen Wüstenkaff gekauft.
Bei der Durchsicht der Abrechungsbelege hat er dann auch einen Beleg von einer Tanke aus dem
Kaff gefunden; scheinbar hat da jemand die Karte zweimal durch das mechanische Kartengerät
gejagt und Tanke/Generalstore waren ein Unternehmen. Nicht so spaßig war es, dem Kartenunternehmen
dann klarzumachen, dass er den Kram nicht wirklich gekauft haben kann; die wollten allen Ernstes
eine Bestätigung des Arbeitgebers, dass er zum fraglichen Zeitpunkt +/- 3 Tage jeden Tag zur Arbeit
erschienen ist. Und ich möchte echt nicht wissen, wie die Sache ausgegangen wäre wenn die
Jungs diesen Abrechnungsbetrug am selben Tag durchgezogen hätten, an dem wir dort getankt
haben...