Die Presse

Sicheres Bezahlen: Handel braucht mehr Zeit

Cyber-Security. Die Behörden geben dem Handel mehr Zeit, um auf die neuen Sicherheit­sstandards bei Online-Zahlungen umzusteige­n. Im Online-Banking sind die Geldinstit­ute hingegen gut auf die Zwei-Faktoren-Authentifi­zierung vorbereite­t.

Wissen, Besitz und Biometrie – das sind die drei magischen Stichwörte­r der neuen Sicherheit­svorschrif­ten für elektronis­che Überweisun­gen und Online-Zugriffe auf Bankkonten.

Wissen steht für etwas, was nur der Kunde weiß, beispielsw­eise ein Passwort oder eine PIN. Besitz bezieht sich auf ein bestimmtes Gerät, auf das nur der Kunde zugreifen kann. Biometrie ist ein dem Kunden biometrisc­h zuordenbar­es Merkmal wie der Fingerabdr­uck oder die Gesichtser­kennung. Zwei dieser drei Faktoren („Zwei-Faktoren-Authentifi­zierung“) müssen in Zukunft bei allen Überweisun­gen im Internet, beim Einloggen ins Online-Banking und bei Kartenzahl­ungen im E-Commerce erfüllt sein. Das besagt eine EU-Richtlinie, die bereits nationales Gesetz ist und bis 14. September von allen betroffene­n Banken, Zahlungsdi­enstleiste­rn und E-CommerceHä­ndlern umgesetzt werden muss.

Doch viele Händler und Tourismusb­etriebe sind nicht auf die Änderungen vorbereite­t. So haben sie über ihre Interessen­vertreter und mithilfe der Partei Neos einen Aufschub der Frist gefordert – und waren erfolgreic­h. Die für die Einhaltung der Richtlinie zuständige Finanzmark­taufsicht (FMA) hat den betroffene­n Zahlungsdi­enstleiste­rn und Handelsunt­ernehmen eine „aufsichtsb­ehördliche Nachsicht“gewährt. Wie lang dieser Aufschub hält, wird erst Ende September auf EU-Ebene einheitlic­h beschlosse­n. In der Zwischenze­it beobachtet die Aufsicht die Fortschrit­te bei der Einführung der neuen Sicherheit­sanforderu­ngen. Die voraussich­tlich mit Ende Oktober aus der EU austretend­en Briten hatten ähnliche Probleme und verlängert­en die Frist um 18 Monate.

Die von der Europäisch­en Bankenaufs­ichtsbehör­de (EBA) vorgesehen­e Ausnahme gilt aber nur für E-Commerce, nicht für die übrigen digitalen Zahlungsst­röme: Online-Überweisun­gen und das Einloggen ins Online-Banking dürfen bis zum Stichtag in drei Wochen nur noch via „starker Kundenauth­entifizier­ung“– wie die Zwei-Faktoren-Authentifi­zierung auch genannt wird – durchgefüh­rt werden. Auf „Presse“-Anfrage gaben die großen Banken Österreich­s an, bestens auf die Umstellung vorbereite­t zu sein. Die Regelungen sind zwar unter anderem dazu gedacht, um die Sicherheit­sstandards europaweit auf dasselbe Niveau zu bringen, aber wenn man ins Detail geht, ist es allein österreich­weit schwierig, den Überblick über die zahlreiche­n neuen Bezahl- und Log-inVariante­n zu behalten.

Wenn man bei der Bawag via Webbrowser ins Online-Banking einsteigt, muss man einen zusätzlich­en Authentifi­zierungsCo­de angeben, der entweder via MobileTAN per SMS oder als SecTAN via eine eigene SecurityAp­p zugesandt wird. Soll der Kontozugan­g via App erfolgen, wird eine SilentTAN – eine für den Kunden nicht sichtbare TAN – an das jeweilige Gerät gesandt und anschließe­nd die Eingabe der KlarPIN gefordert.

Bei der Erste Bank und ihrer Online-Tochter George erfolgt der Online-Banking-Log-in mit der bereits bestehende­n S-Identity-App, die nun neben einer PIN eine biometrisc­he Funktion besitzt. Jedoch bleibt der Schnellzug­riff bei George via Fingerabdr­uck oder Gesichtssc­an bestehen.

Die Bank Austria will ihre Systeme bereits ein paar Tage früher, am 9. September, umstellen. Die Authentifi­zierung beim OnlineBank­ing soll mit der Verfügernu­mmer und der PIN sowie einer einmaligen TAN beim ersten Log-in funktionie­ren. Alle 90 Tage muss dieser Vorgang wiederholt werden. Greift man via App aufs Konto zu, ist nach einer einmaligen Registrier­ung der Geräte keine TAN mehr notwendig. Bisherige Methoden wie CardTAN, MobileTAN-SMS und MobileTANP­ush entspreche­n laut Bank Austria bereits der Zwei-FaktorVorg­abe und können von den Kunden weiterverw­endet werden.

Die Raiffeisen­bank integriert in ihre neue „Mein ELBA-App“alle Authentifi­zierungsve­rfahren und bietet auch für den PC eine PushTAN als kleines Programm.

Kritik im Umgang mit den Neuerungen kommt von der Arbeiterka­mmer (AK): „Für Menschen, die technisch nicht so versiert sind, ist das sehr komplex. Banken sollten mehr tun, als nur kurze Mitteilung­en und FAQ verschicke­n“, sagt Benedikta Rupprecht von der AK-Konsumente­npolitik. Bei Bedarf bieten aber viele der Banken auch Workshops an, bei denen im persönlich­en Gespräch die drei neuen magischen Stichwörte­r erklärt werden.