Giropay Sicherheit bei Sportwetten - PIN, TAN und Verschlüsselung

Sicherheit war immer das stärkste Argument für Giropay. Kein separates Konto, keine hinterlegten Kreditkartendaten, keine E-Wallet mit gespeichertem Guthaben – nur dein Bankkonto und die Sicherheitsinfrastruktur deiner Hausbank. In zwölf Jahren Beobachtung des Sportwetten-Zahlungsmarktes habe ich keinen einzigen dokumentierten Fall erlebt, in dem ein Spieler durch eine Giropay-Transaktion finanziell geschädigt wurde. Das System war technisch robust, und es wurde von denselben Sicherheitsmechanismen geschützt, die auch dein tägliches Online-Banking absichern.

Giropay existiert nicht mehr – das steht fest seit dem 31. Dezember 2024. Aber die Sicherheitsarchitektur, auf der es aufgebaut war, lebt in jedem Banking-Zahlungssystem weiter. Wer versteht, warum Giropay sicher war, versteht auch, warum EPS, Trustly und andere Banking-Methoden heute denselben Schutz bieten. Giropay erreichte etwa 17 Millionen deutsche Online-Banking-Kunden – und jeder einzelne nutzte dabei die Sicherheitsinfrastruktur seiner eigenen Bank.

PIN/TAN bei Giropay – wie die Absicherung funktionierte

Ich erinnere mich an eine Diskussion in einem Wettforum, in der ein Nutzer fragte, ob Giropay „wirklich sicher“ sei. Die Antwort war einfacher als er dachte: Giropay war genauso sicher wie dein Online-Banking. Nicht mehr, nicht weniger. Und genau das war der Punkt.

Jede Giropay-Transaktion durchlief dasselbe Zwei-Faktor-Authentifizierungsverfahren, das du von deiner normalen Überweisung kennst. Du brauchtest zwei Dinge: etwas, das du weißt (deine PIN oder Zugangsdaten) und etwas, das du hast (dein Smartphone für die TAN-Bestätigung oder einen TAN-Generator). Ohne beides zusammen konnte keine Zahlung ausgelöst werden.

Im Jahr 2022 stieg Giropay im E-Commerce von 0,4 % auf 1,6 % Umsatzanteil und zählte kurzzeitig zu den Aufsteigern – ein Wachstum, das auch der verbesserten TAN-Technologie zu verdanken war. Die alten iTAN-Listen auf Papier waren längst durch pushTAN und photoTAN ersetzt worden, was den Bezahlvorgang schneller und gleichzeitig sicherer machte. Bei Beträgen unter 30 Euro verzichteten manche Banken sogar auf die TAN-Eingabe, was das Bezahlen kleinerer Wetteinzahlungen besonders komfortabel machte.

Der entscheidende Sicherheitsvorteil gegenüber anderen Zahlungsmethoden: Bei Giropay wurden zu keinem Zeitpunkt sensible Daten an den Wettanbieter weitergegeben. Der Buchmacher sah weder deine Kontonummer noch deine PIN oder TAN. Er erhielt lediglich eine Bestätigung von Giropay, dass die Zahlung autorisiert und der Betrag gedeckt war. Das ist ein fundamentaler Unterschied zu Kreditkartenzahlungen, bei denen du deine Kartennummer, das Ablaufdatum und den CVV-Code direkt beim Anbieter eingibst.

Für Sportwetter hatte das einen konkreten Vorteil: Selbst wenn ein Wettanbieter gehackt wurde und Kundendaten gestohlen wurden, konnten die Angreifer mit den Giropay-Transaktionsdaten nichts anfangen. Es gab schlicht keine verwertbaren Zahlungsinformationen auf Seite des Anbieters. Bei Kreditkarten sieht das anders aus – dort können gestohlene Kartendaten für weitere betrügerische Transaktionen genutzt werden. Dieses Prinzip der Datensparsamkeit war vielleicht der wertvollste Sicherheitsaspekt von Giropay.

Verschlüsselungsstandards im Vergleich

256-Bit-Verschlüsselung – dieser Begriff taucht in fast jeder Beschreibung von Giropay auf. Aber was bedeutet er konkret, und wie verhält er sich zu den Standards anderer Zahlungsmethoden?

Die 256-Bit-AES-Verschlüsselung, die Giropay einsetzte, ist derselbe Standard, den Banken, Regierungen und Militärs weltweit verwenden. Ein 256-Bit-Schlüssel bietet 2 hoch 256 mögliche Kombinationen – das ist eine Zahl mit 77 Stellen. Mit heutiger Technologie bräuchte ein Supercomputer Milliarden von Jahren, um diesen Schlüssel durch Ausprobieren zu knacken. In der Praxis ist diese Verschlüsselung unknackbar.

Aber hier kommt die Nuance, die alle Wettanbieter-Vergleichsseiten verschweigen: Diese Verschlüsselungsstärke ist kein Alleinstellungsmerkmal von Giropay. Jede seriöse Online-Banking-Verbindung in Europa nutzt TLS 1.2 oder TLS 1.3 mit mindestens 128-Bit-Verschlüsselung, die meisten mit 256-Bit. PayPal nutzt denselben Standard. Trustly nutzt ihn. EPS nutzt ihn. Die Verschlüsselung ist Branchenstandard, kein Wettbewerbsvorteil.

Wo Giropay tatsächlich einen strukturellen Sicherheitsvorteil hatte, war das architektonische Design: Die gesamte Zahlungsabwicklung lief über die Bankinfrastruktur. Der Wettanbieter war nur Empfänger einer Zahlungsbestätigung, nie Teil des Authentifizierungsprozesses. Bei Klarna Sofortüberweisung ist das anders – dort agiert Klarna als technischer Vermittler, der sich bei deiner Bank einloggt. Bei EPS und beim früheren Giropay war kein Drittanbieter im Authentifizierungsfluss. Die Bank sprach direkt mit dem Zahlungssystem, und das Zahlungssystem sprach mit dem Händler – ohne Umwege, ohne zusätzliche Angriffsfläche.

Was bedeutet das für die aktuelle Situation? Ganz einfach: Wenn du heute per EPS bei einem Wettanbieter einzahlst, profitierst du von exakt derselben Sicherheitsarchitektur, die auch Giropay hatte. Die Verschlüsselung ist identisch, die Zwei-Faktor-Authentifizierung ist identisch, und die Datensparsamkeit gegenüber dem Wettanbieter ist identisch. Der einzige Unterschied ist der Name des Systems und die Tatsache, dass EPS ein österreichisches Produkt ist, während Giropay deutsch war. Die Sicherheit hat sich durch die Abschaltung von Giropay nicht verschlechtert – sie hat sich nur auf andere Systeme verlagert.

Phishing-Risiken bei Online-Banking-Zahlungen

Die Technik kann noch so sicher sein – der Mensch bleibt die Schwachstelle. Das galt für Giropay, und es gilt für jede Banking-Methode, die du heute nutzt. Phishing ist die größte Bedrohung im Online-Zahlungsverkehr, und Sportwetten-Kunden sind davon nicht ausgenommen.

Phishing bei Sportwetten funktioniert meistens so: Du erhältst eine E-Mail oder SMS, die aussieht, als käme sie von deinem Wettanbieter. Darin steht, dass dein Konto gesperrt wird oder eine Auszahlung bereitsteht, und du sollst auf einen Link klicken, um dich einzuloggen. Der Link führt auf eine gefälschte Seite, die deine Zugangsdaten abfängt. Dasselbe Prinzip funktioniert auch mit gefälschten Banking-Seiten, die sich als Giropay- oder EPS-Zahlungsformulare tarnen.

Die effektivste Schutzmaßnahme ist einfach und erfordert keine technische Expertise: Gib deine Banking-Daten nur dann ein, wenn du den Zahlungsvorgang selbst initiiert hast. Wenn du im Kassenbereich deines Wettanbieters auf „Einzahlen“ klickst und zum Online-Banking weitergeleitet wirst – das ist der normale Ablauf. Wenn du per E-Mail oder SMS aufgefordert wirst, dich irgendwo einzuloggen – das ist es nicht. Eine weitere Hilfe: Achte auf die URL in der Adressleiste deines Browsers. Die echte Bankseite hat immer dieselbe Domain – bei Raiffeisen ist es raiffeisen.at, bei Erste Bank ist es sparkasse.at. Stimmt die Domain nicht überein, schließe das Fenster.

Ein zusätzlicher Schutz, den viele nicht nutzen: Die Benachrichtigungsfunktion deiner Banking-App. Lass dir bei jeder Kontobewegung eine Push-Benachrichtigung schicken. So siehst du sofort, wenn eine Transaktion ausgelöst wird, die du nicht autorisiert hast. Giropay selbst konnte dich vor Phishing nicht schützen – das kann keine Zahlungsmethode. Aber die Kombination aus Aufmerksamkeit, pushTAN und Banking-Benachrichtigungen macht es Betrügern schwer, an dein Geld zu kommen. Diese Prinzipien gelten für jede Online-Banking-Zahlungsmethode bei Sportwetten – heute mehr denn je.