Starke Kundenauthentifizierung:
Bereits seit 01.06.2018 gilt das neue Zahlungsdienstegesetz 2018 (ZaDiG 2018).
Dieses Gesetz verpflichtet Banken zu einer starken Kundenauthentifizierung ("2-Faktor-Authentifizierung"), um die Sicherheit bei Bezahlvorgängen im Internet und im Onlinebanking zu verbessern und Missbrauchsfälle im Zahlungsverkehr weitgehend zu verhindern. Ziel und Zweck dieser gesetzlichen Vorgaben ist es Zahlungen, sicherer zu machen.
Bereits seit 1.6.2018 bestand für die Banken die Obliegenheit, eine starke Kundenauthentifizierung zu verlangen. Taten sie dies nicht, trugen sie das Haftungsrisiko bei Missbrauchsfällen. Ab 14.9.2019 ist das Verlangen auf eine starke Kundenauthentifizierung nun als ausdrückliche Pflicht im Gesetz verankert; bei Verstößen droht nicht nur - wie bereits davor - die Haftung bei Missbrauchsfällen, sondern zusätzlich bei Nichteinhaltung eine Verwaltungsstrafe.
Das SMS-TAN-Verfahren wurde immer wieder als missbrauchsanfällig kritisiert. Daher begannen viele Banken bereits in den letzten Monaten mit Umstellungen beim Onlinebanking und nutzen das in den Medien so präsente Datum des 14.9.2019 als Gelegenheit, grundlegenden "Systemanpassungen" durchzuführen.
Aktuell gibt es laut Medienberichten unterschiedliche Vorgangsweisen der Banken beim Onlinebanking.
Die starke Kundenauthentifizierung erfordert eine Zwei-Faktor-Authentifizierung, das bedeutet mindestens zwei Elemente der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz/biometrische Daten (etwas, das nur der Nutzer ist). Die verwendeten Elemente müssen voneinander unabhängig sein und so konzipiert sein, dass ihre Vertraulichkeit geschützt ist.
Wissen: Codes, Passwörter, wie zB PIN oder Secure-Codes für Zahlungskarten oder Kreditkarten, Zugangscodes für das Onlinebanking.
Besitz: Mobiltelefon, auf das der TAN mitgeteilt wird, Zahlungskarten, TAN-Generatoren.
Inhärenz/Biometrie: Fingerabdruck, Gesichtsscan.
Die Banken stellen ihre Onlinesysteme um und verwenden - je nach Bank unterschiedlich - entweder zusätzliche Apps oder Software, über die man zusätzliche Passwörter eingeben muss oder die Transaktion dort freigeben muss bzw einen sog Card-Tan-Generator, der nach dem Einstecken der Karte einen zusätzlichen Transaktionswert bzw Passwort generiert.
Bei der starken Kundenauthentifizierung muss zumindest ein Element aus den Kategorien Wissen bzw Inhärenz/Biometrie vorliegen. Die jeweiligen Elemente müssen aus unterschiedlichen Kategorien stammen, damit die Unabhängigkeit gewährleistet wird. Auch die Vertraulichkeit muss gesichert sein und die personalisierten Sicherheitsmerkmale müssen sicher erstellt und bereitgestellt werden.
Beim Einloggen ins Konto wird nun zusätzlich zur bisherigen Eingabe von PIN auch noch ein zweiter Faktor gefordert, zB ein TAN. Davon darf der Zahlungsdienstleister absehen, wenn innerhalb der vergangenen 90 Tage online eine starke Kundenauthentifizierung verlangt und eingegeben wurde. Zahlungsdienstleiser können aber auch eine kürzere Frist als die 90 Tage festlegen.
Bei manchen Zahlungsvorgängen ändert sich inhaltlich mit 14.9.2019 tatsächlich etwas: So muss nun bei Fernzahlungsvorgängen, Kartenzahlungen am Bankomat oder der POS-Kasse bei der starken Kundenauthentifizierung zusätzlich noch ein einmalig verwendbarer Authentifizierungscode generiert werden. Das kann allerdings auch über die Zahlungskarte und den PIN erfolgen. Dh das sind Vorgänge, die Hintergrund ablaufen; aus Sicht des Kunden bleibt der Vorgang an sich gleich.
Bei elektronischen Fernzahlungsvorgängen müssen der Zahlungsbetrag und der Zahlungsempfänger dynamisch verknüpft werden. Betrag und Empfänger müssen daher vor der Freigabe durch den Zahler angezeigt werden und der Code darf auch nur für die freigegebenen Daten gültig sein. Das ist der rechtliche Grund, warum iTANs (also TANs auf dem Papier) nicht mehr erlaubt sind.
Rechtliche Auswirkungen:
Wenn der Zahlungsdienstleister keine starke Kundenauthentifizierung im Sinne des Gesetzes verlangt, oder der Zahlungsempfänger bzw dessen Zahlungsdienstleister eine erforderliche Mitwirkung unterlässt, dann haftet der Zahler seit dem 01.06.2018 bereits für nicht autorisierte Zahlungsvorgänge nur dann, wenn er in betrügerischer Absicht gehandelt hat. Das bedeutet eine Haftungsbefreiung des Verbrauchers.
Diese starke Kundenauthentifizierung gilt gesetzlich bereits seit 01.06.2018 als sog haftungsrechtliche Obliegenheit des Zahlungsdienstleisters. Ihre Verletzung führt daher iaR zum Verlust der Schadenersatzansprüche. Dies stützt sich auf § 68 Abs 5 ZaDiG 2018, der daher für alle nicht autorisierten Zahlungsvorgänge maßgeblich ist, die mit einem Zahlungsinstrument ausgelöst werden. Es gilt dafür auch keine Beschränkung auf elektronische Zahlungsvorgänge.
Praktische Relevanz hat dies bei Kreditkartenzahlungen, die nach wie vor mit Unterschrift autorisiert werden. In diesen Fällen haftet der Verbraucher nicht für solche Missbräuche im Offline-Zahlungsverfahren, sofern er selbst nicht betrügerisch gehandelt hat. Das Missbrauchsrisiko liegt in diesen Fällen beim Zahlungsdienstleister des Zahlers.
Ab 14.09.2019 gilt die starke Kundenauthentifizierung gem § 87 ZaDiG 2018 sogar als gesetzliche Sorgfaltspflicht und zwar wenn Verbraucher einen elektronischen Zahlungsvorgang auslösen, sie online auf ihr Zahlungskonto zugreifen oder über einen Fernzugang Handlungen vornehmen, mit denen ein Betrugs- oder Missbrauchsrisiko verbunden ist. Bei elektronischen Fernzahlungsvorgängen muss darüber hinaus auch noch ein dynamischer Authentifizierungscode generiert werden.
Diese Verpflichtung ist seit 14.09.2019 nicht nur als Schutz- und Sorgfaltspflicht des Zahlungsdienstleisters zu sehen, sondern auch als aufsichts- und verwaltungsstrafrechtliche Vorgabe.
Achtung vor Phishing-Versuchen:
Aktuell wird befürchtet, dass es anlässlich der Umstellung zu vermehrten Phishing-Versuchen kommen könnte.
Der VKI empfiehlt Verbrauchern daher während dieser Umstellungsphase besonders vorsichtig zu agieren. Dh kümmern Sie sich bitte zwar einerseits darum, wenn die Bank Sie über Neuerungen und allfällige Umstellungen informiert, achten Sie aber andererseits besonders vorsichtig darauf, ob diese Informationen wirklich von Ihrer Bank kommen.
