Heise berichtet, dass die Deutsche Bahn bei Abschluss eines Deutschlandticket-Abos seit diesem Monat einen Validierung des Zugangs zum Onlinebanking des Kunden durch ihren Dienstleister einfordert. Ich verstehe das so, dass man dem Dienstleister Zugriff auf das Girokonto gewähren muss (und dieser verspricht, das nur zu nutzen, um zu sehen, ob der Zugriff auch funktioniert, und keineswegs auf's Konto selbst schaut, was er aber natürlich könnte). Wie das genau funktioniert, wird nicht klar; sprich ob man dem Dienstleister die Zugangsdaten zukommen lassen soll und der dann zugreift (was man währenddessen je nach Bank auch noch durch 2FA absegnen muss) oder ob dafür eine spezielle PSD2-Schnittstelle verwendet wird. Hat da jemand Erfahrung? Finde ich persönlich in jedem Fall übergriffig.
Interessant ist auch der Satz: "Wer keine digitale Verifizierungsprozedur wünscht, kann ein Fahrkarten-Abonnement in einem DB-Reisezentrum kaufen."
Was ist mit "kaufen" hier gemeint? "Abschließen"? Man legt dort einfach sein Ausweisdokument vor, das registriert wird, vermute ich mal.
Eine Chipkarte bekommt man m.W. dennoch nicht bei der Bahn, ansonsten wäre das ganze ja sogar für einige nicht so "digital-affine" Bürger durchaus eine interessante Sache.
DB-Kunden zeigen sich irritiert darüber, dass sie ihre Identität nachweisen müssen, wenn sie im Internet ein Abo abschließen. Die DB erläutert den Hintergrund.
www.heise.de
Ich vermute dass die Bahn das macht, weil sie Opfer eines Betrugsszenarios wie ungefähr folgt geworden ist:
Der Betrüger schließt online/über die App ein Abo ab und gibt dabei zwar seinen richtigen Namen, aber ansonsten eher falsche Daten ab sowie die existierende Bankverbindung eines unwissenden Dritten. Von letzterer zieht die Bahn erstmal fröhlich 49 € ein. Bis das auffällt und der Kontoinhaber die Buchung zurückgehen lassen hat und die Bahn das mitbekommt, geht mindestens ein Monat ins Land. Nachfragen und Beschwerden direkt bei der Bahn dürften noch deutlich länger dauern. Also kann der Betrüger erst einmal ein oder mehrere Monate fahren; die Kosten bleiben im Endeffekt bei der Bahn.
das Risiko identifiziert zu werden dürfte für den Betrüger , wenn er sich bzgl. verwendeter IP-Adressen usw. nicht zu ungeschickt verhält, sehr gering sein.
Im Prinzip tritt dieses Problem überall dort auf, wo (digitale) Dienstleistungen, deren Nutzer schwer rückverfolgbar sind, per Lastschrift bezahlt werden können.
www.zeit.de
