comdirect

---

@kkrdvc  schrieb:

Ich sehe es genau so wie die anderen und zwar ist der Geräthersteller für die Authentifizierung zuständig, und die Authentifikation (Pulsmesser) sollte auch nicht für den Endkunden ausschaltbar sein. 

 

In meinen Augen hat es Apple ganz gut auf den Griff gekriegt, da bisher kein einziger Betrugsfall mit der Apple Watch bekannt ist und bei verschiedenen Tests wurde die Uhr sofort gesperrt, wenn sie die Herzfrequenz nicht mehr messen konnte, also in weniger als einer Sekunde.

 

Meiner Meinung solltest du dich in diesem Fall bei denn Hersteller deiner Android Smartwatch mal melden und vorschlagen, dass der Pulsmesser nicht ausschaltbar sein sollte wenn gleichzeitig Google Pay eingerichtet wurde. Vor allem bei so einem “Chaos” wie es die Android Wear Welt ist hat die comdirect keinen Einfluss.

---

Siehe die zitierten Nutzungsbedingungen oben:

"Als biometrisches Merkmal kann der Karteninhaber entweder seinen Fingerabdruck über den Fingerabdruckscanner oder einen Iris- oder Gesichtsscann über die Kamerafunktion verwenden."

Von Pulsschlag steht dort nix. Ein Pulsschlag ist zwar biometrisch erfassbar, jedoch bei keiner mir bekannten Smartwatch auch ein biometrisches Authentifizierungsmerkmal. Wie denn auch? Puls ist entweder da oder nicht da, an oder aus, 0 oder 1, je nach Situation mal schneller oder langsamer. Um über den Puls unverwechselbare Muster zu erkennen die eindeutig einer Person zugeordnet werden können (wie Fingerabdruck oder Iris) bräuchte es wohl sehr viel genauere Instrumente und längere Betrachtungszeiträume.

Zur Apple Watch kann ich nichts sagen, da ich keine solche besitze. Aber auch bei der Apple Watch lässt sich zumindest die dauerhafte (stromintensive) Pulsmessung wohl deaktivieren, man möge mich korrigieren wenn ich hier falsch liege. Und dass es hier noch nicht zu vermehrten Betrugsfällen gekommen ist liegt sicher auch an der noch relativ geringen Verbreitung von Wearables mit Zahlfunktion an sich.

Desweiteren hat ein durschnittlich sportlicher Mensch schnell mal einen Ruhepuls unter 60 Schlägen pro Minute, also 1 Sekunde Abstand zwischen den Signalen. Unterstellt man dann noch, dass die Uhr den Puls nur unvollkommen misst und den ein oder anderen Schlag auch mal verpasst, dann würde sie sich entweder alle Nasen lang von selbst sperren, oder aber der zulässige Abstand zwischen zwei Pulsschlägen ist ausreichend groß (2-3 Sekunden) um solche Unregelmäßigkeiten zu überspielen. Ergo kann über die Pulsmessung allein gar nicht sekundengenau festgestellt werden, ob die Uhr noch am Handgelenk getragen wird oder nicht. Denkbar wäre noch ein Erkennen des Ablegens der Uhr über einen zusätzlichen Fotosensor, Näherungssensor, Erkennung von Bewegungsgesten oder Kontakte im Armband, vermutlich also eine Kombination aus mehreren Sensoren. Insofern gebe ich dir recht dass Fossil da deutlich nachbessern muss.

Da wir hier aber über Google Pay (ehemals Android Pay) reden, also über etwas, das originär für das Android OS entwickelt wurde ist es im übrigen auch ziemlich müßig, nun auf ein "Chaos" bei Wear OS zu schimpfen und Apple mit Birnen zu vergleichen 😉

Werde mal den schwarzen Peter nehmen und bei Fossil in den Briefkasten werfen - Mal sehen was dabei herauskommt - stay tuned.

---

@Listener  schrieb:

---

@LeroyFame  schrieb:

 

Als Endkunde habe ich kaum Möglichkeiten, bei den Geräteherstellern bzw. bei Google Pay, Apple Pay, Amazon Pay, Fitbit Pay und XYZ-Pay meine Interessen durchzusetzen. Eine Bank mit zigtausend Kunden hingegen hat da zumindest eine bessere Verhandlungsposition.

---

Glaubst du denn wirklich, dass Google/Apple sich von irgendeiner Direktbank in einem beliebigen Land der Welt (außerhalb der USA) irgendwas vorschreiben lassen? Selbst innerhalb der USA bezweifel ich das. Die machen ihr Ding und für alle anderen heißt es "Friss oder Stirb". 

---

Hindert comdirect aber doch auch nicht daran, die irreführenden Nutzungsbedingungen zu korrigieren bzw. durch einen eindeutigen Hinweis zu ergänzen, oder?

---

@Listener  schrieb:

---

@LeroyFame  schrieb:

 

Fakt bleibt aber, dass eine einfache PIN Abfrage ab einem €-Schwellenwert die Probleme aus der Welt schaffen würde, aber auf diese wird seitens comdirect verzichtet weil man sich auf die (unzureichenden) Sicherungsmaßnahmen anderer verlässt.

 

Das ist glaube ich eher seitens Google so. Und ich bezweifel wirklich, dass man als Bank Einfluss darauf hat, wie Google GooglePay bzw. Apple ApplePay konzeptioniert hat. 

---

Jede bei Google Pay teilnehmende Bank kann frei entscheiden, ob Beträge >25€ mit PIN oder mit entsperrtem Telefon/Uhr freigegeben werden. comdirect hat sich aktiv für letzteres entschieden, man nennt es auch Consumer Device Cardholder Verification Method (CDCVM). Andere Banken bzw Fintechs nutzen weiterhin die PIN zur Freigabe. Wem also das Risiko bei comdirect zu hoch ist kann z.B. ein Konto bei DiPocket eröffnen und dort die virtuelle Mastercard bei Google Pay hinterlegen - dann gibt man bei größeren Beträgen immer eine PIN ein. Da es sich zudem um ein Guthabenkonto handelt, kann man selbst das Risiko begrenzen - außerdem ist es für den Händler günstiger, da man mit einer Debitcard zahlt, während die comdirect eine Kreditkarte ist.

Völlig unverständlich finde ich die unterschiedlichen Vorgaben bei den verschiedenen Zahlkarten, die comdirect anbietet: Bei der kontaktlosen Girocard muss man auch bei Kleinbeträgen nach einer bestimmten Anzahl von Zahlvorgängen eine PIN eingeben (und führt damit den schnellen Bezahlvorgang von Kleinbeträgen ad absurdum) - während man bei der Kreditkarte das komplette Kreditlimit mit einem einmal entsperrten Telefon bzw einer Uhr ausgeben kann. Das soll einer verstehen...

---

@LeroyFame  schrieb:

---

@Goliath74  schrieb:

Die AGB wurden doch durch Dich erfüllt.

Du hast das Entgerät entsperrt. Das dies bei der Watch für den ganzen Tag gilt wiederspricht in meinen Augen nicht den AGB.

Ich denke auch das Google ganz gut einschätzen kann wie das mit der Watch abläuft 🙂

---

Du verkennst das eigentliche Problem:

- bei Zahlung z.B. per Homebanking wird die Mobil-TAN / photo-TAN nach Erstellung der Transaktion abgefragt

- bei einer Zahlung mit Karte im Lesegerät wird die PIN oder Unterschrift nach Erstellung der Transaktion abgefragt

- bei NFC Zahlung mit Karte am Lesegerät wird die PIN oder Unterschrift nach Erstellung der Transaktion abgefragt (Bagatellbeträge ausgenommen)

 

Bei allen diesen Beispielen wird zur Sicherheit ein zweiter Faktor verlangt, nachdem die genaue Zahlungsanweisung definiert wurde.

 

Demgegenüber:

- bei NFC Zahlung per Smartwatch wird der zweite Sicherheitsfaktor bereits vor Erstellung irgendeiner Transaktion abgefragt - weit vorher, so dass überhaupt kein Bezug zur eigentlichen Transaktion bestehen kann. Bei Umlegen der Uhr wird quasi automatisch ein Blankoscheck ausgestellt, ohne dass darüber aufgeklärt wird.

 

Dein Vertrauen in Google nützt dir leider überhaupt nichts wenn du dich vor einem deutschen Gericht mit der comdirect über eine Transaktion streitest, die du nicht wissentlich freigegeben hast, bei der die Bank sich aber auf den Standpunkt stellt, eine Authentifizierung habe doch stattgefunden. Morgens um halb acht. Kurz nach dem Aufstehen, beim Umlegen der Uhr....

---

Was bei anderen Zahlungen ist spielt überhaupt keine Rolle denn Du beugst Dich Google, den Geräteherstellern und den AGB zu Google Pay. Du musst es aber nicht nutzen. Niemand zwingt es Dir auf.

Woher glaubst Du eigendlich zu Wissen das ich Google traue? 

Ganz sicher nicht! Ich nutze Google Pay nicht und werde auch Apple Pay nicht nutzen.

Hallo @LeroyFame,

aktuell sehen wir keinen Bedarf für eine Änderung der Nutzungsbedingungen.

Du bist der Meinung, dass die Authentifizierung mittels Herzfrequenzmessung erfolgt. Das ist so aber nicht ganz richtig. Die Authentifizierung erfolgt mit der Eingabe des Codes am Morgen, wenn die Uhr umgebunden wird. Diese Authentifizierung wird solange als gültig erachtet, bis der Kunde die Uhr wieder ablegt.

Und dieses Ablegen wird bei den einzelnen Smartwatches differenziert durchgeführt. Bei manchen Uhren ist eine Herzfrequenzmessung mit eingebaut, andere Uhren verwenden andere Sensoren. Durch diese permanente Messung, ob die Uhr getragen wird oder nicht, ist also nicht als eigentliche Authentifizierung zu betrachten, sondern nur als „Verlängerung“ dieser.

@kammann: Die Bedingungen für die Consumer Device Cardholder Verification Method (CDCVM) werden pro Markt (hier Deutschland) festgelegt und nicht von jeder teilnehmenden Bank einzeln bestimmt.

Viele Grüße

Philipp

---

@Goliath74  schrieb:

---

@LeroyFame  schrieb:

---

@Goliath74  schrieb:

Die AGB wurden doch durch Dich erfüllt.

Du hast das Entgerät entsperrt. Das dies bei der Watch für den ganzen Tag gilt wiederspricht in meinen Augen nicht den AGB.

Ich denke auch das Google ganz gut einschätzen kann wie das mit der Watch abläuft 🙂

---

Du verkennst das eigentliche Problem:

- bei Zahlung z.B. per Homebanking wird die Mobil-TAN / photo-TAN nach Erstellung der Transaktion abgefragt

- bei einer Zahlung mit Karte im Lesegerät wird die PIN oder Unterschrift nach Erstellung der Transaktion abgefragt

- bei NFC Zahlung mit Karte am Lesegerät wird die PIN oder Unterschrift nach Erstellung der Transaktion abgefragt (Bagatellbeträge ausgenommen)

 

Bei allen diesen Beispielen wird zur Sicherheit ein zweiter Faktor verlangt, nachdem die genaue Zahlungsanweisung definiert wurde.

 

Demgegenüber:

- bei NFC Zahlung per Smartwatch wird der zweite Sicherheitsfaktor bereits vor Erstellung irgendeiner Transaktion abgefragt - weit vorher, so dass überhaupt kein Bezug zur eigentlichen Transaktion bestehen kann. Bei Umlegen der Uhr wird quasi automatisch ein Blankoscheck ausgestellt, ohne dass darüber aufgeklärt wird.

 

Dein Vertrauen in Google nützt dir leider überhaupt nichts wenn du dich vor einem deutschen Gericht mit der comdirect über eine Transaktion streitest, die du nicht wissentlich freigegeben hast, bei der die Bank sich aber auf den Standpunkt stellt, eine Authentifizierung habe doch stattgefunden. Morgens um halb acht. Kurz nach dem Aufstehen, beim Umlegen der Uhr....

---

Was bei anderen Zahlungen ist spielt überhaupt keine Rolle denn Du beugst Dich Google, den Geräteherstellern und den AGB zu Google Pay.

Im Vertragsverhältnis mit der comdirect sind zunächst einmal die Nutzungsbedingungen und AGB der comdirect vorrangig. Und darin steht, dass eine Transaktion durch Entsperren authorisiert wird. Ergo mein Hinweis an comdirect, dass die Nutzungsbedingungen der Nutzungsrealität mit Smartwatch hinterherhinken und mißverständlich formuliert sind.

Du musst es aber nicht nutzen. Niemand zwingt es Dir auf.

Äh ja, das Thema hatten wir schon. Siehe oben.

Woher glaubst Du eigendlich zu Wissen das ich Google traue? 

Ganz sicher nicht! Ich nutze Google Pay nicht und werde auch Apple Pay nicht nutzen.

Dein Googlevertrauen ergibt sich für mich aus dem von Dir geäußerten Gedanken, Google könne ganz gut einschätzen, wie das mit der Watch ablaufe. Deine Aussage impliziert, dass Du Google zumindest insoweit vertraust, als dass Du es für unnötig erachtest, die seitens Google für Google Pay festgelegte und durch comdirect akzeptierte Verfahrensweise der Authorisierung / Entsperrung weiter auf Sinnhaftigkeit zu hinterfragen.

Ehrliche Frage: Ergibt sich deine Nichtnutzung von Google Pay bzw. Apple Pay einfach aus Mangel an Anwendungsgelegenheiten, oder liegt es an mangelndem Vertrauen in die Sicherheit des Systems? Falls letzteres, beschreib doch bitte mal, was genau dich daran stört bzw. verbessert werden müsste?

---

@SMT_Philipp  schrieb:

 

Du bist der Meinung, dass die Authentifizierung mittels Herzfrequenzmessung erfolgt.

---

Nein, ich hatte dargelegt, dass Herzfrequenzmessung überhaupt kein Authentifizierungsmerkmal sein kann, siehe oben 😉

---

@LeroyFame  schrieb: 

Woher glaubst Du eigendlich zu Wissen das ich Google traue? 

Ganz sicher nicht! Ich nutze Google Pay nicht und werde auch Apple Pay nicht nutzen.

Dein Googlevertrauen ergibt sich für mich aus dem von Dir geäußerten Gedanken, Google könne ganz gut einschätzen, wie das mit der Watch ablaufe. Deine Aussage impliziert, dass Du Google zumindest insoweit vertraust, als dass Du es für unnötig erachtest, die seitens Google für Google Pay festgelegte und durch comdirect akzeptierte Verfahrensweise der Authorisierung / Entsperrung weiter auf Sinnhaftigkeit zu hinterfragen.

 

Ehrliche Frage: Ergibt sich deine Nichtnutzung von Google Pay bzw. Apple Pay einfach aus Mangel an Anwendungsgelegenheiten, oder liegt es an mangelndem Vertrauen in die Sicherheit des Systems? Falls letzteres, beschreib doch bitte mal, was genau dich daran stört bzw. verbessert werden müsste?

---

Mein Aussage impliziert gar nichts. Du solltest weniger der Meinung sein zu wissen was andere meinen und denken sondern die Personen fragen.

Ich nutze Google Pay nicht weil ich kosteneffizient denke.

Jeder zwischengeschaltete Dienstleister verursacht kosten bzw. will etwas vom Kuchen abhaben. Diese kosten landen am Ende bei mir, denn der Händler legt seine Kosten auf die Ware um und die Bank versucht Ihre Kosten natürlich auch zu decken. Woher Google sein Geld bekommt ist egal. Am Ende zahlt der Kunden.

Da ich 1. Kunde bin will ich ein kostenloses Konto und da ich 2. Aktionär bin will ich viel Dividende. Daher spare ich kosten.

Um aber ein wenig auf Deine Frage einzugehen: Ich vertraue der Sicherheit der Systeme aber Google bekommt von mir schon immer so wenig Daten wie möglich also auch deswegen würde ich es nicht nutzen. Bei Apple übrigens das selbe.

So Ende der Diskussion.

---

@Goliath74  schrieb:

---

Mein Aussage impliziert gar nichts.

Alle Kreter lügen, sagt der Kreter? Nun gut lassen wir das, wir gleiten hier ein wenig ins Philosophische ab. Du hast deine etwas schwammige Aussage klargestellt, ist hiermit zur Kenntnis genommen.

Du solltest weniger der Meinung sein zu wissen was andere meinen und denken sondern die Personen fragen.

Das ist das schöne an einem Forum: Man muss nicht extra nachfragen, alle schreiben einfach gegenseitig im Wechsel und wenn sich jemand missverstanden fühlt, kann er Dinge ganz einfach präzisieren und dadurch richtigstellen!

Ich nutze Google Pay nicht weil ich kosteneffizient denke.

Jeder zwischengeschaltete Dienstleister verursacht kosten bzw. will etwas vom Kuchen abhaben. Diese kosten landen am Ende bei mir, denn der Händler legt seine Kosten auf die Ware um und die Bank versucht Ihre Kosten natürlich auch zu decken. Woher Google sein Geld bekommt ist egal. Am Ende zahlt der Kunden.

Da ich 1. Kunde bin will ich ein kostenloses Konto und da ich 2. Aktionär bin will ich viel Dividende. Daher spare ich kosten.

Um aber ein wenig auf Deine Frage einzugehen: Ich vertraue der Sicherheit der Systeme aber Google bekommt von mir schon immer so wenig Daten wie möglich also auch deswegen würde ich es nicht nutzen. Bei Apple übrigens das selbe.

 Deine altruistische Gesinnung ehrt Dich und ich gebe Dir im Grunde recht, dass nach Möglichkeit die Zahl der Mittelsmänner im Zahlungsverkehr auf Null reduziert gehört. Nun ist aber die Weltübernahme der Kryptowährungen leider grad ein wenig ins Stocken geraten, und so müssen wir uns wohl noch ein paar weitere Jahrzehnte mit Banken, Kreditkartengebühren, Google Pay und allen anderen Dienstleistern herumärgern.

Ich behaupte einmal, der tatsächliche Effekt auf Händlerpreise durch Verweigerung von Google Pay durch Endkunden ist so gering, dass er im Rauschen der übrigen Zahlungen schlicht untergeht.

Ebenso könnte ich beispielsweise folgende Rechnung aufmachen:

Bezahlvorgang per Smartwatch: Dauer5 Sekunden.

Bezahlvorgang der WartenSieichhabspassend-MünzsammlerRentnerin: 30 Sekunden.

Macht 25 Sekunden Differenz. Umgelegt auf einen fiktiven 12,-€-Stundenlohn der Scannerfachkraft im Supermarkt macht das gut 8 Cent aus.

Will sagen: der Händler hat auch einen Mehrwert vom schnelleren Zahlvorgang. Von der gesparten Lebenszeit und den kollektiven Nerven der Restschlange mal ganz zu schweigen - aber auch die Länge der Wartezeiten bestimmt letztendlich mit, ob Kunden in einem Geschäft gern oder weniger gern einkaufen. Nicht umsonst testet Amazon in den USA vollüberwachte Orwellsche Supermärkte, die gänzlich ohne Kasse auskommen.

Gegenüber der herkömmlichen EC-Karte oder Kreditkarte mit NFC Chip ist die Zeitersparnis an der zwar kürzer als beim Extremfall Münzsucher, aber trotzdem vorhanden (Karte aus Brieftasche kramen, alle paar Male PIN eingeben oder Unterschrift leisten etc.).

Interessant wäre tatsächlich mal zu wissen, an welcher Stelle Google Pay Mehrkosten in welcher Höhe verursacht: Zahlt die comdirect hier pauschale Lizenzgebühren für die Teilnahme am Google-Pay System (die würden auch dann anfallen, wenn Du Dich weigerst, es zu nutzen - ergo keine Ersparnis)? Oder rechnet Google pro Transaktion ab - wenn ja mit wem (nur dann hätte deine Weigerung einen Effekt)? Oder aber, und da gebe ich Dir wiederum recht wenn Du den Datenkraken misstraust - Google verdient sein Geld allein über die Auswertung der Verkaufsdaten.

So Ende der Diskussion.

Das ist jetzt aber ein bisschen kleingeistig bis armselig und Deiner eigentlich unwürdig, oder?