comdirect

LeroyFame · ‎03.12.2018

Beim kontaktlosen Zahlen mit der (physischen) comdirect VISA Karte gilt meines Wissens nach ein Bagatell-Limit von 50€, bei größeren Beträgen wird zur Sicherheit die Eingabe der PIN am Terminal oder eine Unterschrift verlangt - so weit, so gut, so sinnvoll.

Beim kontaktlosen Zahlen per Google Pay mit dem Smartphone muss bei Überschreiten der Bagatellgrenze (25€?) zur Sicherheit zumindest noch das Smartphone entsperrt werden - so sagte man mir zumindest im Support-Chat, mangels NFC-fähigem Smartphone kann ich dies momentan leider nicht verifizieren.

Beim kontaktlosen Zahlen per Google Pay mit der Smartwatch hingegen gibt es offenbar überhaupt gar keine Bagatellgrenze mehr mit "Sicherheitsschaltung" (PIN am Terminal, Unterschrift oder PIN/Entsperrmuster am Handy)!

Ja, sicher, prinzipiell muss auch die Smartwatch entsperrt sein, jedoch geschieht dies im Unterschied zum Smartphone zumindest bei meinem Modell lediglich einmalig morgens beim Umlegen der Uhr - danach wird kein weiteres mal ein Entsperrmuster verlangt und entsprechende Einstellungen sind im Wear OS der Uhr auch nicht vorgesehen - die Uhr bleibt auch bei deaktiviertem Display entsperrt. Der morgendliche Entsperrvorgang steht also in keinerlei Zusammenhang mit dem Bezahlvorgang!

Ich war etwas perplex, als ich im Möbelhaus den Einkauf im vierstelligen Bereich quasi im Vorbeiflug per Smartwatch erledigen konnte, keine PIN, keine Unterschrift, kein Entsperren, nix.

Prima, mag man jetzt denken, endlich keine blöde Sicherheits-Gängelei mehr - ich selbst bin aber eher zwiegespalten ... so bequem das Ganze auch ist - bei größeren Beträgen würde ich mir dann doch wünschen noch einmal zusätzlich nach meiner PIN oder Unterschrift gefragt zu werden.

Die comdirect kommt meiner Meinung nach Ihrer Sorgfaltspflicht gegenüber ihren Kunden nur unzureichend nach, wenn Sie Google Pay Zahlungen in dieser Höhe ohne weitere Legitimierung einfach so durchwinkt.

Mir ist auch klar, dass sich hier alle Beteiligten gegenseitig den schwarzen Peter zuschieben werden, der comdirect Support hat mich bereits süffisant an Google selbst verwiesen, man habe da leider keinen Einfluss. Aha, ich bin gespannt.

SMT_Philipp · ‎03.12.2018

Hallo @LeroyFame,

herzlich willkommen in unserer Community!

Wie du ja bereits beschrieben hast, musst du als Nutzer beim Umbinden der Uhr einen Code eingeben, um die Uhr zu entsperren. Da die Uhr nach Eingabe des Code permanent prüft, dass die Uhr getragen wird, bspw. durch die Herzfrequenzmessung, wird bei der Bezahlung mittels Smartwatch keine weitere PIN/Codeeingabe benötigt. Voraussetzung ist hierbei ist, dass die Uhr sich sofort sperrt, wenn die Uhr nicht mehr getragen wird und der Code bei ununterbrochenem Tragen alle 24 Stunden den Code abfragt.

Das ist genauso gewollt und entspricht der starken Kundenauthentifizierung gemäß PSD2 durch die beiden Faktoren Wissen (Code) und Biometrie (Herzfrequenz).

Dieses Vorgehen ersetzt somit das Entsperren des Bildschirmes, wenn man mit einem Smartphone bezahlt, bzw. die PIN-Eingabe, wenn man mit Karte bezahlt.

Ob du als Kunde nun eine Smartwatch mit Android-OS oder iOS einsetzt, spielt übrigens keine Rolle, bei beiden Bezahlsystemen ist das Verhalten identisch.

Viele Grüße

Philipp

In der Kürze liegt die Wü

kkrdvc · ‎03.12.2018

Bei Zahlungen mit der Smartwatch, egal ob jetzt mit Google Pay oder bald mit Apple Pay wit’s die Sicherheit durch die Geräte-PIN gewährleistet. Dies ist so von den Herstellern und nicht von den Banken (in diesem Fall comdirect) so gewollt.

Die PIN bei Android Wear oder Apple Watch muss man jedes Mal nachdem man die Uhr ausgezogen und wieder angezogen hat, eingeben. Das heißt, dass keiner mit deiner Uhr einfach so bezahlne kann, da die Authorisierung der Zahlungen nach dem ausziehen die Gültigkeit verliert wenn man die Uhr einmal ausgezogen hat.

wenn jemand die Uhr auf seinen Arm anzieht, kann diese Person auch keine Zahlungen tätigen bis die Geräte-PIN eingegeben wurde. Und es liegt in der Verantwortug des Nutzers die PIN keiner dritten Person weiterzugeben.

LeroyFame · ‎03.12.2018

@SMT_Philipp schrieb:

Das ist genauso gewollt und entspricht der starken Kundenauthentifizierung gemäß PSD2 durch die beiden Faktoren Wissen (Code) und Biometrie (Herzfrequenz).

Zumindest der Faktor Biometrie ist in meinem Fall hinfällig, da die Herzfrequenzmessung deaktiviert ist, um den Akku zu schonen.

Ein schneller Wechsel der Uhr in 2-3 Sekunden von einem auf das andere Handgelenk beispielsweise ist problemlos möglich, ohne dass der Entsperrcode erneut eingegeben werden muss, habe ich soeben selbst getestet. Somit ist nicht 100% auszuschließen, dass einem eine bereits entsperrte Uhr geraubt wird. (Ich schreibe bewusst geraubt und nicht gestohlen, da ich nicht davon ausgehe, dass das von mir unbemerkt und nicht unter Gewaltandrohung erfolgen kann, wobei auch das denkbar wäre (zu viel Alkohol, K.O. Tropfen o.ä.).)

Auch kann man die Google Pay Funktion auf eine der Tasten der Uhr legen, um diese schneller aufrufen zu können. Nicht ausgeschlossen wäre also auch, dass jemand von mir unbemerkt diesen Knopf drückt und ein Lesegerät an die Uhr hält.

In Verbindung mit der Möglichkeit, theoretisch den kompletten Verfügungsrahmen der Kreditkarte in einer einzigen Transaktion ohne weitere PIN oder Unterschrift abzuräumen sehe ich da durchaus ein reales Problem.

Klar kann man nun argumentieren, dass die deaktivierte dauerhafte Pulsmessung schuld ist (werde ich später mal testen), dass ich ja nicht so bequem sein muss die Pay Funktion auf die Taste zu legen, dass der Uhrenhersteller schuld hat weil die Uhr den Handwechsel nicht erkennt oder dass die oben beschriebenen Szeniarien sowieso rein akademisch sind weil zu weit an den Haaren herbeigezogen.

Fakt bleibt aber, dass eine einfache PIN Abfrage ab einem €-Schwellenwert die Probleme aus der Welt schaffen würde, aber auf diese wird seitens comdirect verzichtet weil man sich auf die (unzureichenden) Sicherungsmaßnahmen anderer verlässt.

Aber ich werde ja auch nicht gezwungen Google Pay zu nutzen, jadda jadda, um zumindest diese Replik mal gleich vorwegzunehmen.

SMT_Philipp · ‎03.12.2018

Hallo @LeroyFame,

niemand ist gezwungen, Google Pay in Verbindung mit einer Smartwatch zu nutzen, bei der die Herzfrequenzmessung deaktivie... Oh, ich sehe gerade, du hast diese Replik vorausgeahnt. 😉

Viele Grüße

Philipp

In der Kürze liegt die Wü

Listener · ‎04.12.2018

@LeroyFame schrieb:

Fakt bleibt aber, dass eine einfache PIN Abfrage ab einem €-Schwellenwert die Probleme aus der Welt schaffen würde, aber auf diese wird seitens comdirect verzichtet weil man sich auf die (unzureichenden) Sicherungsmaßnahmen anderer verlässt.

Das ist glaube ich eher seitens Google so. Und ich bezweifel wirklich, dass man als Bank Einfluss darauf hat, wie Google GooglePay bzw. Apple ApplePay konzeptioniert hat. Man könnte den Dienst nicht anbieten, aber dann würde ja auch gemeckert.

LeroyFame · ‎04.12.2018

comdirect Nutzungsbedingungen Google Pay

(Stand Juni 2018)

Punkt 4:

"Autorisierung von Kartenzahlungen

Die Autorisierung einer Kartenzahlung mittels Google Pay erfolgt dadurch, dass der Karteninhaber die Transaktion durch Entsperren des mobilen Endgerätes mit den gerätespezifischen Entsperrmechanismen des Karteninhabers und durch das Halten des mobilen Endgerätes an das NFC-fähige Kartenterminal freigibt. Zulässige Entsperrmechanismen sind die Eingabe einer PIN, eines Passwortes, eines Streichmusters oder der Einsatz eines biometrischen Merkmales, die dem Karteninhaber zugeordnet sind. Als biometrisches Merkmal kann der Karteninhaber entweder seinen Fingerabdruck über den Fingerabdruckscanner oder einen Iris- oder Gesichtsscann über die Kamerafunktion verwenden. Nach der Autorisierung kann der Karteninhaber die Kartenzahlung nicht mehr widerrufen.

Für Kleinbeträge gelten dieselben Regelungen wie für das kontaktlose
Bezahlen mit der Kreditkarte (siehe Nr. 3 Abs. 1 Bedingungen für die Kreditkarte (Visa-Karte))."

Hervorhebungen von mir.

[AGB Kreditkarte s. S. 26; Kuriosität am Rande: die Kartenakzeptanzstelle kann selbst vorgeben, ab welchem Schwellenwert erst PIN oder Unterschrift eingefordert werden - vonwegen Bock zum Gärtner machen, und so]

Die comdirect Nutzungsbedingungen legen also fest, dass die kontaktlose Kartenzahlung via Google Pay durch ein Entsperren des mobilen Endgeräts autorisiert werden muss. Es wird klar eine Kausalkette "Einleiten einer Transaktion -> Freigabe durch Entsperren" suggeriert, und zwar für jede Transaktion. Von "Einmalig im Voraus entsperren -> danach beliebig viele Transaktionen ohne weitere Autorisierung durchführen" steht dort nichts. [Ich bin kein Anwalt, aber wenn ich einer wäre würde ich auch wagen zu behaupten, ein Autorisieren im Voraus ohne Kenntnis dessen _was_ ich überhaupt genehmige ist schon rein logisch schwer möglich bzw. widerspricht dem Geist einer Transaktionsabsicherung durch Autorisierung. Und wenn es doch so gemeint wäre, sollte diese Kausalumkehr mit allen Konsequenzen für den Kunden auch klar kommuniziert werden - Notfalls mit Verweis darauf, dass Smartwatches vom Zahlen mit Google Pay ausgenommen sind.]

Edit: Ich möchte auf keinen Fall undankbar erscheinen, generell finde ich es ja eine tolle Sache wenn die comdirect Vorreiter in Deutschland bei Einführung innovativer Zahlungsmethoden ist. Ich sehe halt aber auch, dass hier Risiken einseitig dem Nutzer aufgebürdet werden, ohne dass diese konkret benannt werden. Klar, ist ja auch nicht geschäftsfördernd bzw. könnte jene Interessenten verschrecken, die noch untentschlossen sind, aber das darf nicht verhindern, dass Ross und Reiter klar benannt werden.

Als Endkunde habe ich kaum Möglichkeiten, bei den Geräteherstellern bzw. bei Google Pay, Apple Pay, Amazon Pay, Fitbit Pay und XYZ-Pay meine Interessen durchzusetzen. Eine Bank mit zigtausend Kunden hingegen hat da zumindest eine bessere Verhandlungsposition.

Goliath74 · ‎04.12.2018

Die AGB wurden doch durch Dich erfüllt.

Du hast das Entgerät entsperrt. Das dies bei der Watch für den ganzen Tag gilt wiederspricht in meinen Augen nicht den AGB.

Ich denke auch das Google ganz gut einschätzen kann wie das mit der Watch abläuft 🙂

LeroyFame · ‎04.12.2018

@Goliath74 schrieb:
Die AGB wurden doch durch Dich erfüllt.
Du hast das Entgerät entsperrt. Das dies bei der Watch für den ganzen Tag gilt wiederspricht in meinen Augen nicht den AGB.
Ich denke auch das Google ganz gut einschätzen kann wie das mit der Watch abläuft 🙂

Du verkennst das eigentliche Problem:

- bei Zahlung z.B. per Homebanking wird die Mobil-TAN / photo-TAN nach Erstellung der Transaktion abgefragt

- bei einer Zahlung mit Karte im Lesegerät wird die PIN oder Unterschrift nach Erstellung der Transaktion abgefragt

- bei NFC Zahlung mit Karte am Lesegerät wird die PIN oder Unterschrift nach Erstellung der Transaktion abgefragt (Bagatellbeträge ausgenommen)

Bei allen diesen Beispielen wird zur Sicherheit ein zweiter Faktor verlangt, nachdem die genaue Zahlungsanweisung definiert wurde.

Demgegenüber:

- bei NFC Zahlung per Smartwatch wird der zweite Sicherheitsfaktor bereits vor Erstellung irgendeiner Transaktion abgefragt - weit vorher, so dass überhaupt kein Bezug zur eigentlichen Transaktion bestehen kann. Bei Umlegen der Uhr wird quasi automatisch ein Blankoscheck ausgestellt, ohne dass darüber aufgeklärt wird.

Dein Vertrauen in Google nützt dir leider überhaupt nichts wenn du dich vor einem deutschen Gericht mit der comdirect über eine Transaktion streitest, die du nicht wissentlich freigegeben hast, bei der die Bank sich aber auf den Standpunkt stellt, eine Authentifizierung habe doch stattgefunden. Morgens um halb acht. Kurz nach dem Aufstehen, beim Umlegen der Uhr....

kkrdvc · ‎04.12.2018

Ich sehe es genau so wie die anderen und zwar ist der Geräthersteller für die Authentifizierung zuständig, und die Authentifikation (Pulsmesser) sollte auch nicht für den Endkunden ausschaltbar sein.

In meinen Augen hat es Apple ganz gut auf den Griff gekriegt, da bisher kein einziger Betrugsfall mit der Apple Watch bekannt ist und bei verschiedenen Tests wurde die Uhr sofort gesperrt, wenn sie die Herzfrequenz nicht mehr messen konnte, also in weniger als einer Sekunde.

Meiner Meinung solltest du dich in diesem Fall bei denn Hersteller deiner Android Smartwatch mal melden und vorschlagen, dass der Pulsmesser nicht ausschaltbar sein sollte wenn gleichzeitig Google Pay eingerichtet wurde. Vor allem bei so einem “Chaos” wie es die Android Wear Welt ist hat die comdirect keinen Einfluss.

comdirect

comdirect über Google Pay und Smartwatch = Zahlen in beliebiger Höhe, ohne PIN Abfrage - Bug?