Sicheres Bezahlen: Handel braucht mehr Zeit
Cyber-Security. Die Behörden geben dem Handel mehr Zeit, um auf die neuen Sicherheitsstandards bei Online-Zahlungen umzusteigen. Im Online-Banking sind die Geldinstitute hingegen gut auf die Zwei-Faktoren-Authentifizierung vorbereitet.
Wissen, Besitz und Biometrie – das sind die drei magischen Stichwörter der neuen Sicherheitsvorschriften für elektronische Überweisungen und Online-Zugriffe auf Bankkonten.
Wissen steht für etwas, was nur der Kunde weiß, beispielsweise ein Passwort oder eine PIN. Besitz bezieht sich auf ein bestimmtes Gerät, auf das nur der Kunde zugreifen kann. Biometrie ist ein dem Kunden biometrisch zuordenbares Merkmal wie der Fingerabdruck oder die Gesichtserkennung. Zwei dieser drei Faktoren („Zwei-Faktoren-Authentifizierung“) müssen in Zukunft bei allen Überweisungen im Internet, beim Einloggen ins Online-Banking und bei Kartenzahlungen im E-Commerce erfüllt sein. Das besagt eine EU-Richtlinie, die bereits nationales Gesetz ist und bis 14. September von allen betroffenen Banken, Zahlungsdienstleistern und E-CommerceHändlern umgesetzt werden muss.
Doch viele Händler und Tourismusbetriebe sind nicht auf die Änderungen vorbereitet. So haben sie über ihre Interessenvertreter und mithilfe der Partei Neos einen Aufschub der Frist gefordert – und waren erfolgreich. Die für die Einhaltung der Richtlinie zuständige Finanzmarktaufsicht (FMA) hat den betroffenen Zahlungsdienstleistern und Handelsunternehmen eine „aufsichtsbehördliche Nachsicht“gewährt. Wie lang dieser Aufschub hält, wird erst Ende September auf EU-Ebene einheitlich beschlossen. In der Zwischenzeit beobachtet die Aufsicht die Fortschritte bei der Einführung der neuen Sicherheitsanforderungen. Die voraussichtlich mit Ende Oktober aus der EU austretenden Briten hatten ähnliche Probleme und verlängerten die Frist um 18 Monate.
Die von der Europäischen Bankenaufsichtsbehörde (EBA) vorgesehene Ausnahme gilt aber nur für E-Commerce, nicht für die übrigen digitalen Zahlungsströme: Online-Überweisungen und das Einloggen ins Online-Banking dürfen bis zum Stichtag in drei Wochen nur noch via „starker Kundenauthentifizierung“– wie die Zwei-Faktoren-Authentifizierung auch genannt wird – durchgeführt werden. Auf „Presse“-Anfrage gaben die großen Banken Österreichs an, bestens auf die Umstellung vorbereitet zu sein. Die Regelungen sind zwar unter anderem dazu gedacht, um die Sicherheitsstandards europaweit auf dasselbe Niveau zu bringen, aber wenn man ins Detail geht, ist es allein österreichweit schwierig, den Überblick über die zahlreichen neuen Bezahl- und Log-inVarianten zu behalten.
Wenn man bei der Bawag via Webbrowser ins Online-Banking einsteigt, muss man einen zusätzlichen AuthentifizierungsCode angeben, der entweder via MobileTAN per SMS oder als SecTAN via eine eigene SecurityApp zugesandt wird. Soll der Kontozugang via App erfolgen, wird eine SilentTAN – eine für den Kunden nicht sichtbare TAN – an das jeweilige Gerät gesandt und anschließend die Eingabe der KlarPIN gefordert.
Bei der Erste Bank und ihrer Online-Tochter George erfolgt der Online-Banking-Log-in mit der bereits bestehenden S-Identity-App, die nun neben einer PIN eine biometrische Funktion besitzt. Jedoch bleibt der Schnellzugriff bei George via Fingerabdruck oder Gesichtsscan bestehen.
Die Bank Austria will ihre Systeme bereits ein paar Tage früher, am 9. September, umstellen. Die Authentifizierung beim OnlineBanking soll mit der Verfügernummer und der PIN sowie einer einmaligen TAN beim ersten Log-in funktionieren. Alle 90 Tage muss dieser Vorgang wiederholt werden. Greift man via App aufs Konto zu, ist nach einer einmaligen Registrierung der Geräte keine TAN mehr notwendig. Bisherige Methoden wie CardTAN, MobileTAN-SMS und MobileTANPush entsprechen laut Bank Austria bereits der Zwei-FaktorVorgabe und können von den Kunden weiterverwendet werden.
Die Raiffeisenbank integriert in ihre neue „Mein ELBA-App“alle Authentifizierungsverfahren und bietet auch für den PC eine PushTAN als kleines Programm.
Kritik im Umgang mit den Neuerungen kommt von der Arbeiterkammer (AK): „Für Menschen, die technisch nicht so versiert sind, ist das sehr komplex. Banken sollten mehr tun, als nur kurze Mitteilungen und FAQ verschicken“, sagt Benedikta Rupprecht von der AK-Konsumentenpolitik. Bei Bedarf bieten aber viele der Banken auch Workshops an, bei denen im persönlichen Gespräch die drei neuen magischen Stichwörter erklärt werden.