CosmosDirekt betreibt Phishing

Montag, 22. Juli 2013

Ich besitze ein Tagesgeldkonto bei CosmosDirekt. Dort gab es lange Zeit die hoechsten Zinsen und auch heute noch 1,30 %. Die Kontofuehrung geschieht ausschliesslich online. Man hat dort ein Referenzkonto hinterlegt und nur dorthin kann man Geld zurueckueberweisen. Das Referenzkonto kann man auch dazu verwenden um einen Sparplan abzuschliessen, der dann monatlich Geld per Lastschrift abbucht. So weit so gut. Gestern entdecke ich ein neues Feature:

Huch, denke ich mir, wie kann es sein, dass die CosmosDirekt den Kontostand meines Referenzkontos kennt? Ich klicke vorsichtig auf "Kontoabfrage einrichten" und erscheint der folgende Dialog.


Die wollen doch tatsaechlich meine PIN abgreifen und geben auch noch zu, diese speichern zu wollen! Das ist Phishing in Reinstform.

Allein der technische Aufwand, diese hochsensiblen Daten der Kunden zu schuetzen, verbietet die Speicherung im Klartext (anders geht es nicht!) auf den Servern der CosmosDirekt. Man stelle sich nur mal die Veroeffentlichung einer Liste der Kontonummern und Bankleitzahlen mit PIN vor. Da ist eine Liste mit Kreditkartennummern laecherlich langweilig dagegen.

Ich als Bank (des Referenzkontos) wuerde den Kunden, die diesen "Service" nutzen, umgehend das Konto wegen AGB-Verstoss kuendigen, denn die Weitergabe der Zugangsdaten an Dritte duerfte bei jeder Bank explizit verboten sein.

Das ganze ist noch schlimmer als der umstrittene Dienst sofortueberweisung.de, der immerhin nach eigenen Angaben die Zugangsdaten nur fuer die Dauer der Transaktion speichert. Aber hier gibt es zwei Schuldige: Die Online-Shops, die dem Kunden die Bezahlmethode ueberhaupt anbieten und die Kunden, die die Bezahlmethode letzendlich auswaehlen.

Grundsaetzlich gilt: Wer seine Bankzugangsdaten in fremde Haende gibt, verwirkt jeden Haftungsanspruch.