News Sicherheitsleck bei Klarna: Login führte zu Daten aus einem fremden Account

[tackleberry]

Wieso Giropay oder Paydirekt nicht eine bessere Verteilung gefunden hat und stattdessen Unternehmen wie Sofortüberweisung oder Klarna als Zahlungsmöglichkeit angeboten werden und wieso Rechnung heutzutage fast immer über Klarna laufen muss, ist mir ehrlich gesagt ein Rätsel. Ich weiß nicht ob Giropay per se sicherer ist, aber einen anderen Banking-Account kann ich damit sicher nicht aufrufen. Dazu kommt, dass Klarna gerne mal Mahnungen verschickt, obwohl die Sachen schon bezahlt wurden, jedenfalls hab ich das häufiger aus dem Bekanntenkreis vernommen.

Ganz einfach. Bei Giropay und Co. entstehen Gebühren, bei Klarna dürften die deutlich günstiger, wenn nicht so bei 0 oder darunter sein, da Klarna mit den Daten der Kunden aktiv arbeiten kann.

In der Schweiz sieht man das schön, weil die Händler hier die Zahlungsgebühren an den Kunden direkt weitergeben. Kreditkarte kostet gerne mal 2% Aufschlag, PayPal irgendwas gegen 5%, Rechnung über sowas wie Klarna ist dann kostenlos.

 

[Katharsas]

Am Ende ist Giropay doch nichts anderes als Sofortüberweisung. Der Shop kriegt halt direkt die Bestätigung, dass gezahlt wurde muss nicht, wie bei einer normalen Vorkasse ständig die Software das Konto checken lassen. Und ja, das Geld ist erstmal weg ohne Möglichkeit der Rückholung.

Doch da ist ein extrem großer Unterschied.

Bei Sofortüberweisung teilst du Klarna mit, was deine PIN/Passwort für deinen Online-Bank-Account ist. Wahrscheinlich steht sogar in deinem Bankvertrag, dass du damit gegen den Vertrag verstößt, weil du die Zugangsdaten zu deinem Konto sicher verwahren musst und nicht einfach irgendjemandem geben darfst!

Bei GiroPay und PayDirect wirst du hingegen auf die Seite deiner Bank weitergeleitet, und gibts NUR dort dein PIN/Passwort ein.

 

[chaosnr1]

Normale Rechnungskäufe gehen nicht in das Schufa-Rating rein

Das ist leider so nicht richtig. Jede Anfrage senkt das Rating. Kann man bei Google nachlesen und wurde mir sogar letztens von einem befreundeten Pärchen bestätigt, die Aufgrund von Klarna Einträge kein Kredit bekommen haben, obwohl alles bezahlt war.

 

[Snowi]

Das ist leider so nicht richtig. Jede Anfrage senkt das Rating. Kann man bei Google nachlesen und wurde mir sogar letztens von einem befreundeten Pärchen bestätigt, die Aufgrund von Klarna Einträge kein Kredit bekommen haben, obwohl alles bezahlt war.

Ich bestelle häufiger und schon länger über Klarna, und bei mir hat sich die letzten Jahre nichts am Rating geändert. Außerdem hatte weder die kostenpflichtige Auskunft noch die kostenlose nach DSGVO irgendwelche Klarna-Einträge, außer einen bereits abbezahlten (und auch so vermerkten) Ratenkredit, den ich letztes Jahr hatte. Sind deine Freunde sicher dass es an Klarna lag? Ich kann das bei deinen Freunden nicht ausschließen, allerdings kann ich bei mir ausschließen dass sowohl Rechnungskäufe als auch Käufe via Sofortüberweisung bei mir definitiv nicht an die Schufa gemeldet wurden.
Weiß ich eher durch Zufall, weil ich vor einigen Monaten eine Auskunft angefordert habe (bzw 2, die Bezahlte und die laut DSGVO) weil ich umgezogen bin und der neue Vermieter die wollte.

Vielleicht gibts da interne Regelungen oder so nach denen unterschieden wird? Aber auch dann gilt: Fehlerhafte Schufa-Einträge kann man entfernen lassen, im Zweifel mit Anwaltlicher Hilfe. Und bezahlte Rechnungen, die ja so dort gelistet sein sollten, verbessern die Bonität in der Regel, weil damit "bewiesen" wird, dass die Person seine Rechnungen bezahlt.


//Edit: Ich hab mal Google gefragt, und es gibt scheinbar tatsächlich Journalisten die sagen, dass nur die Abfrage eine negative Auswirkung hat. Das glaubt doch wohl keiner ernsthaft, oder? Also dass nur die alleine Anfrage der Bonität, diese Bonität verschlechtert. Da muss definitiv noch mehr passieren. Ich bestell so viel Zeug auf Rechnung via Klarna, und bei mir ist nix hinterlegt und ich hab seit jeher einen Score von 100. Oder das Rating ist absolut inkonsistent. Das kann ich nicht ausschließen, aber irgendwie habe ich immer das Gefühl, dass da immer Details verschwiegen werden, weil man die teilweise einfach nicht weitergeben will. Letzteres ist verständlich, aber das hatte ich auch 2-3 mal im Freundeskreis, wo es am Ende doch einen Grund gab, und da irgendwelche Gründe aus den Haaren gezogen wurden, Hauptsache die Schufa ist schuld.

Ich finde die Reichweite/Tragweite der Schufa nicht gut, das reine Prinzip kann ich aus Sicht der Kreditgeber aber mehr als nur nachvollziehen. Es wird auf allen Seiten besch... wo es nur geht. Ich würde prinzipiell niemals in Vorkasse gehen, bei niemandem, wenn es um Beträge von mehr als 20-30€ geht.

 

[Hyourinmaru]

Ich selbst habe bei Klarna gar keinen Account. Das einzige für was ich Klarna nutze, ist, wenn eine Webseite bei den Zahlungsoptionen auch Sofortüberweisung aka Klarna anbietet. Die Seite sieht nie mehr als den Namen meiner Bank und die Login-Daten von meinem Online Banking-Account.

 

[Duke711]

Den gibt es bei PayPal auch nicht wirklich. Wer echten Schutz will muss mit Kredit Karte zahlen. Nichts ist sicherer für den Käufer... Bis zu 3 Monate nach Leistungserbringung kommt man an sein Geld wieder

Tatsächlich ist das so, darum bieten unseriöse Händler bzw. gerade in der Erotikbranche und co. ausschließlich als Zahlungsmittel die Kreditkarte an. Es gibt für den Verkäufer nichts sicheres als eine Zahlung per Kreditkarte. Denn da gibt es keinen umfänglichen Schutz für den Käufer. Um zu versuchen das Geld zurückzubuchen darf erst man einmal ein ausführlichen Reklamationsantrag stellen. Der wird erst mal über mehrere Wochen (6 - 8) gründlich bearbeitet. Für eine Stattgabe gibt es eigentlich nur zwei Begründungen:

1. man hat versichert die Buchung nicht getätigt zu haben
2. es wurde keine Ware geliefert, hier gibt es aber eine Grauzone.

Wirklich sicher ist eigentlich nur der erste Fall.

Da ist Paypal deutlich sicherer, Fall eröffnen und meist wird dem wenige Tage bei ausreichender Begründung schon stattgegeben.

Am sichersten ist Lastschrift oder bezahlen per Rechnung. Aber nicht über einen Dienstleister wie Paypal, denn da kann man einfach nicht mal eben die Lastschrift stornieren. Paypal bietet übrigens keinen richtigen Rechnungskauf an. Denn wenige Tage nach der Transaktion (~ 3) wird die Lastschriftbuchung ausgeführt und das hat überhaupt nichts mit einer Rechnung zu tun.

 

[mcdexter]

In der Tat wurden sensible Informationen wie Religionszugehörigkeit, politische Einstellung, Gesundheits- oder genetische sowie biometrische Daten nicht veröffentlicht, personenbezogene Daten hingegen schon.

Das liest sich so, als würde Klarna über seine Kunden die Religionszugehörigkeit, politische Einstellung, Gesundheits- oder genetische sowie biometrische Daten sammeln.
Und man froh sein kann, das diese nicht veröffentlicht wurden.
Das wäre der wahre Skandal.
Aber ich habe das bestimmt falsch verstanden.

 

[ranzassel]

Ich selbst habe bei Klarna gar keinen Account. Das einzige für was ich Klarna nutze, ist, wenn eine Webseite bei den Zahlungsoptionen auch Sofortüberweisung aka Klarna anbietet. Die Seite sieht nie mehr als den Namen meiner Bank und die Login-Daten von meinem Online Banking-Account.

Na dann ist ja gut, wenn du “nur“ die Zugangsdaten zu deinen Online Banking weitergibst. Dir ist schon klar, dass die damit nicht nur deine Überweisung tätigen, sondern sich auch deinen Kontostand anschauen und was du in letzter Zeit so an Transaktionen hattest (und das sind nur die Dinge, die sie ganz offiziell tun)?

 

[Duke711]

Na dann ist ja gut, wenn du “nur“ die Zugangsdaten zu deinen Online Banking weitergibst. Dir ist schon klar, dass die damit nicht nur deine Überweisung tätigen, sondern sich auch deinen Kontostand anschauen und was du in letzter Zeit so an Transaktionen hattest (und das sind nur die Dinge, die sie ganz offiziell tun)?

Was ist das für ein Quatsch, man gibt keine Zugangsdaten weiter, vielleicht mal informieren wie die Sofortüberweisung funktioniert. Das Zugangsdatenfenster ist verschlüsselt, es wird nur von der Bank übermittelt ob die Überweisung bezüglich ausreichender Deckung durchgeführt worden kann. Da hat der Dienstleister weder Zugang zum Konto, noch kann er sich mal die Kontoauszüge anschauen, noch wird der Kontostand übermittelt. Wäre in Deutschland übrigens gar nicht gesetzeskonform.

 

[ranzassel]

Was ist das für ein Quatsch, man gibt keine Zugangsdaten weiter, vielleicht mal informieren wie die Sofortüberweisung funktioniert. Das Zugangsdatenfenster ist verschlüsselt, es wird nur von der Bank übermittelt ob die Überweisung bezüglich ausreichender Deckung durchgeführt worden kann. Da hat der Dienstleister weder Zugang zum Konto, noch kann er sich mal die Kontoauszüge anschauen, noch wird der Kontostand übermittelt. Wäre in Deutschland übrigens gar nicht gesetzeskonform.

Aus den FAQs

Um deine Online-Banking Transaktion auslösen zu können, muss die Sofort GmbH notwendigerweise einmalig auf dein Konto zugreifen. Dabei fungiert die Sofort GmbH als technischer Dienstleister, der die Daten, die du in das gesicherte Zahlformular eingibst, verschlüsselt an deine Bank übermittelt. Das Zahlungssystem Sofortüberweisung ist vergleichbar mit einem Multi-Banking-Softwaretool, wie man es zum Beispiel oft in Buchhaltungssoftware findet, über die du ebenfalls dein Online-Banking bedienen kannst.

Also, wer liegt falsch? Die führen die Transaktion in deinem Namen und mit deinen Account-Daten durch. Und dass sie Daten verschlüsselt an die Bank übermitteln, heißt auch nur TLS. Sie bekommen deine Klardaten, geben sie automatisiert ein und prüfen dabei selbst, dass die Zahlung durchgeht.

Die Bank übermittelt da gar nichts. Hat sie auch gar kein Interesse dran, irgendwelche Konkurrenten anzubinden damit die dann mit ihren Kunden Geld verdienen.

Und zum Thema „sie schauen sich deine Transaktionen und Kontostand an“. Aus ihren Privacy Infos:

Manche Banken akzeptieren Überweisungsaufträge nur, wenn eine entsprechende Kontodeckung vorliegt. Eine Kontodeckungsprüfung durch uns findet dann nicht statt. In den anderen Fällen prüfen wir, ob die Summe aus Kontostand und Überziehungskreditrahmen den zu überweisenden Betrag abdeckt. Vom Kontostand ziehen wir dabei noch nicht verbuchte Umsätze (z.B. vorgemerkte Überweisungen) ab.

Bei Überweisungen mit erhöhtem Missbrauchsrisiko prüfen wir zudem, ob in Ihrem ausgewählten Konto eingestellte Sofort Überweisungen der letzten 30 Tage erfolgreich ausgeführt wurden. Wenn und soweit solche Sofort Überweisungen in unserem System gespeichert sind, prüfen wir hierzu anhand der Umsatzdaten Ihres Kontos der letzten 30 Tage und gegebenenfalls anhand dort ausgewiesener stornierter oder rückgebuchter Überweisungen, ob die über unseren Dienst eingestellten Überweisungen tatsächlich gebucht wurden (z.B. Abgleich von Betrag und Betreff).

 

[Chilisidian]

Paypal bietet übrigens keinen richtigen Rechnungskauf an. Denn wenige Tage nach der Transaktion (~ 3) wird die Lastschriftbuchung ausgeführt und das hat überhaupt nichts mit einer Rechnung zu tun.

Doch, das tut Paypal. Je nachdem, ob der Händler das freischaltet und Paypal dich als zuverlässig einstuft, kannst du dort erst nach 14 Tagen zahlen. Es ist also de facto wie beim Rechnungskauf, nur dass du die Zahlung vor dem Kauf bestätigst statt hinterher. Am Ende läuft es aber aufs selbe hinaus, beides muss nach 14 Tagen bezahlt werden und beide buchen von deinem Konto ab.

Mit der Bearbeitungszeit bei KK Fällen hast du recht, mit dem Rest nicht. Für den Kunden ist es relativ einfach, das Geld wiederzubekommen. Der Händler muss nämlich nachweisen, dass die Abbuchung berechtigt ist anhand eines geschlossenen Vertrages etc. Der Händler ist also in der Beweispflicht. Ich habe damit täglich in der Firma zu tun und die Hürden für den Kunden sind relativ niedrig. Außerdem entscheiden am Ende Visa und Mastercard im Zweifel eher für den Kunden. Bei Amex ist es genau umgekehrt, dort sind in europäischen Raum aber auch hauptsächlich Geschäftskunden. Alles schon erlebt.

 

[LencoX2]

Bitte keine Berichte von Bekannten usw. mehr ohne selbst keine Erfahrungen gemacht zu haben.

Ich nutze Klarna schon länger und bin sehr zufrieden. Ist doch die Kunden freundlichste Bezahlweise mit Abstand. Man hat 14 Tage zum Zahlen. Meldet man (Teil) Retouren wird die Frist gestoppt bis zum Handler Feedback.

Ich hab aber nie aktiv bei denen einen Account angelegt und Daten eingegeben. Laeuft alles automatisch per E-Mail die ich beim Händler angebe. Da sind eh die Zahlungsinformationen dauf. Mit der Mail bekommt man ein befristetes Token zum Einloggen bei Klarna. Muss man aber noch nicht Mal.

Bin also entspannt wegen der Datenlücke. Da sind keine besonders sensiblen Daten sonst.

 

[Duke711]

Doch, das tut Paypal. Je nachdem, ob der Händler das freischaltet und Paypal dich als zuverlässig einstuft, kannst du dort erst nach 14 Tagen zahlen. Es ist also de facto wie beim Rechnungskauf, nur dass du die Zahlung vor dem Kauf bestätigst statt hinterher. Am Ende läuft es aber aufs selbe hinaus, beides muss nach 14 Tagen bezahlt werden und beide buchen von deinem Konto ab.

Habe ich bei Paypal noch nie erlebt, denn die buchen gleich wenige Tage nach Transaktion ab, unabhängig vom Lieferstatus.

Mit der Bearbeitungszeit bei KK Fällen hast du recht, mit dem Rest nicht. Für den Kunden ist es relativ einfach, das Geld wiederzubekommen. Der Händler muss nämlich nachweisen, dass die Abbuchung berechtigt ist anhand eines geschlossenen Vertrages etc. Der Händler ist also in der Beweispflicht. Ich habe damit täglich in der Firma zu tun und die Hürden für den Kunden sind relativ niedrig. Außerdem entscheiden am Ende Visa und Mastercard im Zweifel eher für den Kunden. Bei Amex ist es genau umgekehrt, dort sind in europäischen Raum aber auch hauptsächlich Geschäftskunden. Alles schon erlebt.

Ja das kann sein, ist aber wiederrum um Dienstleister abängig und somit weder sicherer als Paypal, noch somit die sicherste Methode.

@ ranzassel​

Dann trifft das halt eben auf dieses Unternehmen mit der Bezeichnung "Sofort-Überweisung" zu. Nicht aber für Giropay oder allgemeines Online-Banking.

 

[Chilisidian]

Habe ich bei Paypal noch nie erlebt, denn die buchen gleich wenige Tage nach Transaktion ab, unabhängig vom Lieferstatus.

https://www.paypal.com/de/webapps/mpp/ua/pppa14d-tnc

Also ich kann das ziemlich regelmäßig im Paypal Bezahlfenster auswählen.

 

[Meriana]

Doch, das tut Paypal. Je nachdem, ob der Händler das freischaltet und Paypal dich als zuverlässig einstuft, kannst du dort erst nach 14 Tagen zahlen. Es ist also de facto wie beim Rechnungskauf, nur dass du die Zahlung vor dem Kauf bestätigst statt hinterher. Am Ende läuft es aber aufs selbe hinaus, beides muss nach 14 Tagen bezahlt werden und beide buchen von deinem Konto ab.

Mit der Bearbeitungszeit bei KK Fällen hast du recht, mit dem Rest nicht. Für den Kunden ist es relativ einfach, das Geld wiederzubekommen. Der Händler muss nämlich nachweisen, dass die Abbuchung berechtigt ist anhand eines geschlossenen Vertrages etc. Der Händler ist also in der Beweispflicht. Ich habe damit täglich in der Firma zu tun und die Hürden für den Kunden sind relativ niedrig. Außerdem entscheiden am Ende Visa und Mastercard im Zweifel eher für den Kunden. Bei Amex ist es genau umgekehrt, dort sind in europäischen Raum aber auch hauptsächlich Geschäftskunden. Alles schon erlebt.

Am Ende ist es bei allen Zahlungsanbietern so, dass der Händler das Risiko einer Rückbuchung trägt. Dafür hat er aber das Geld einige Tage nach der Autorisierung auf dem Konto.
Bei Klarna ist es auch so, Klarna garantiert dem Händler die Zahlung und kümmert sich um das Inkasso. Je nach Ausgestaltung des Dienstes gibt es mehr oder weniger einfache Möglichkeiten die Zahlung zu beanstanden. Ebenso gibt es natürlich unterschiede, wann und wie eine Zahlung autorisiert wird. Wie der Zahlungsdienstleister an das Geld kommt, muss den Händler nicht kümmern.

Im Gegensatz dazu steht die „echte“ Rechnung, bei dem der Händler dir einen Kredit einräumt. Dann kriegt er aber das Geld erst, wenn der Kunde zahlt. Im Zweifel muss der Händler dann betreiben.

Edit: daneben gibt es noch die Vorauszahlung.

 

[mischaef]

Klarna ist eh für den Popo... Ich habe bei denen mal was über eine Finanzierung gekauft - die waren nicht Mal in der Lage für gleiche Beträge zu sorgen, damit man die Zahlungen einfach über einen Dauerauftrag laufen lassen konnte. Und einziehen wollten die auch nicht, jeden Monat alles schön manuell machen...

 

[SiN]

Stichwort Mahnung für bereits bezahltes

Und warum? Weil in den meisten Fällen der Käufer einen falschen und/oder unvollständigen Betreff angibt und Klarna damit nichts anfangen kann oder will. Ich benutze Klarna einzig als Rechungskauf, sprich, innerhalb von 14 Tagen per Überweisung zahlen und ich hatte noch nie irgenwelche Probleme, selbst bei langwierigen Retouren, wo mehr als nur Sand im Getriebe war.

 

[kabralo]

Das scheint genauso eine Pappnasentruppe, wie bei Congstar.

 

[Jarhead91]

Hoffe bloß das hier die DSGVO mit voller härte zuschlägt, ich hatte immer das Gefühl das die da hier und da doch immer mit einem blauen auge davon kommen.

Natürlich gab es Fälle bei großen Unternehmen die auch haben blechen dürfen, aber hier gehts gefühlt richtig ins eingemachte.

 

[Salamimander]

Habe für die Bude mal gearbeitet (bzw einem der Aufkäufe). Wäre damals so nicht passiert aber naja, es musste ja auch alles in die cloud. Cloud ist toll, spart man sich Admins