<< Mehr zum Thema Finanzieren von Unternehmen
Sicherheit & Komfort beim Zahlungsverkehr
Online-Banking ist längst eine Selbstverständlichkeit. Dank der elektronischen Abwicklung lassen sich Bankgeschäfte schnell und komfortabel erledigen, ohne auf das Filialnetz von Kreditinstituten angewiesen zu sein. Was dabei nicht unterschätzt werden darf, ist die Bedeutung von Sicherheitsstandards. Bei einem Mangel an effizienten Vorkehrungen ist der Schutz von Daten nicht gewährleistet. Neben dem multibankfähigen Übertragungsstandard für Zahlungsverkehrsdaten EBICS bringt die EU-Richtlinie PSD2 intelligente Sicherheitssysteme. Sie wird seit 14. September 2019 von Banken umgesetzt. Nachfolgend zentrale Fakten im Überblick.
EBICS – mehr Sicherheit für Zahlungsdaten
Beim Electronic Banking Internet Communication Standard (EBICS) handelt es sich um einen Übertragungsstandard für Daten des Zahlungsverkehrs via Internet. Er hat den alten Standard BCS-FTAM abgelöst, den Banken bis Ende 2010 unterstützen mussten. Anders als BCS-FTAM basiert der Datenaustausch bei EBICS auf einem Internetprotokoll. Daten werden mit TLS-Verschlüsselung blockweise und mit einer elektronischen Signatur versendet. Bei Übertragungsfehlern lässt sich die Übertragung ab dem zuletzt korrekt versandten Datenblock fortsetzen. Im Gegensatz zum alten Standard gehen mit EBICS drei unterschiedliche Berechtigungsvarianten einher: Die elektronische Einzelunterschrift, geteilte elektronische Unterschrift und die verteilte elektronische Unterschrift. Bei der elektronischen Einzelunterschrift kann eine Person Zahlungen eigenständig vornehmen und an die Bank übermitteln. Bei der geteilten elektronischen Unterschrift ist die Unterschrift von mehreren Personen für die Auftragserteilung nötig. „Die verteilte elektronische Unterschrift sieht vor, dass verschiedene Unterschriften zu unterschiedlichen Zeitpunkten des Datentransfers geleistet werden und so das Geschäftskonto im Vergleich sicherer machen“, erklärt das Verbrauchermagazin, das in einem Geschäftskonto Test aktuelle Angebote für Unternehmen gegenübergestellt und sicherheitsrelevante Informationen zu EBICS zusammengefasst hat. Bei der dritten Variante gibt eine zusätzliche Person die geteilten Unterschriften frei und ist berechtigt Stornierungen von Aufträgen vorzunehmen, wenn Aufträge nicht vollständig unterschrieben sind. Generell verbindet EBICS viele Vorteile:
- größere Zahlungsmengen lassen sich zeitgleich erledigen
- die Übertragung großer Datenmengen gelingt schneller
- moderne Verschlüsselungsmethoden bringen hohe Sicherheit
- da der Standard multibankfähig ist, klappt der Austausch mit sämtlichen Kreditinstituten
- die individuelle Berechtigungsvarianten sind im Geschäftsalltag praktisch
- EBICS funktioniert überall, weltweit
- globale Kontoeinsicht und elektronische Unterschrift
Voraussetzung zur Nutzung von EBICS sind eine Internetverbindung und eine Banking-Software.
EU-Richtlinie PSD2 – Vorsicht bei Mobile Banking!
Die neue Richtlinie PSD2 für den EU-Zahlungsverkehr macht Online-Banking schneller, sicherer und komfortabler. PSD2 steht für Payment Services Directive 2 beziehungsweise die zweite Zahlungsdiensterichtlinie (EU) 2015/2366. Mit der EU-Richtlinie werden Zahlungsdienstleister und Zahlungsdienste in der Europäischen Union und im Europäischen Wirtschaftsraum reguliert, um den Verbraucherschutz zu harmonisieren und für gleiche Wettbewerbsbedingungen zu sorgen. Zudem soll der Wettbewerb in Europa angekurbelt und die Zahlungsbranche für Nichtbanken zugänglich gemacht werden.
In der Praxis bringt PSD2 mehr Transparenz, Sicherheit und Komfort. Die Transparenz wird erhöht, indem die Verwaltung von Kontozugriffen von Drittdiensten ermöglich wird. Der Kunde sieht mit dieser neuen Funktion, welche Zahlungsauslöse- und Kontoinformationsdienste auf Konten zugegriffen haben. Der Kontoinformationsdienst fragt Umsatzdaten und Salden ab und stellt aufbereitete Kontoinformationen bereit. Der Widerruf von Zustimmungen für Kontozugriffen ist jederzeit möglich. Ein Zahlungsauslösedienst wird beauftragt, um Überweisungen von geführten Zahlungskonten bei einem Zahlungsdienstleister auszuführen. Er wird beispielsweise von E-Commerce-Händlern genutzt, um sich die Überweisungsausführung bestätigen zu lassen und anschließend bestellte Güter verschicken zu können. Kontoinhaber können ihre Zustimmung für den Kontozugriff durch Drittdienste in ihrem Online-Banking widerrufen. Grundsätzlich muss jede Bank gemäß EU-Richtlinie sichere Schnittstellen für jegliche Services und damit verbundene Konten- und Datenzugriffe einrichten.
Komfort bringen moderne Sicherheitsmaßnahmen, die erlauben konkrete Zahlungsaufträge TAN-frei zu erledigen. Dies ist unter anderem bei regelmäßigen Zahlungen an den gleichen Empfänger praktisch. Entsprechende Empfänger lassen sich in die TAN-freie IBAN-Liste aufnehmen. Erhöhte Sicherheit wird durch folgende Neuerungen gewährleistet:
- Alle 90 Tage muss beim Login des Online-Bankings ein zusätzliches Element zur Identifizierung eingegeben werden: Ein zusätzliches Passwort, eine TAN oder eine biometrische Identifizierung.
- Die automatische Abmeldung erfolgt nach fünf Minuten Inaktivität, nicht erst nach zwölf wie bisher.
- Zahlungen von Kleinbeträgen unter 30 Euro erfolgen ohne TAN-Eingabe. Ob in Einzelfällen eine TAN notwendig ist, prüfen intelligente Sicherheitssysteme.
- Einrichtung der TAN-freien IBAN-Liste zur zügigen und bequemen Durchführung von Zahlungsaufträgen.
- Drittdienste sind verpflichtet Dritten den Zugang zu personalisierten Sicherheitsmerkmalen wie TAN, PIN und Anmeldename zu verwehren.
- Komfortable Verwaltung der Drittdienste: Kontoinhaber können jederzeit nachvollziehen, wann Dienste Informationen abgerufen haben.
Da durch PSD2 regelmäßig eine TAN für den Login ins Online-Banking benötigt wird, müssen Unternehmer den Zugang zum TAN-Verfahren prüfen. Sind Unternehmer beziehungsweise für das Online-Banking berechtigte Mitarbeiter häufig unterwegs, muss das TAN-Verfahren mobil reibungslos zugänglich sein. Generell erfordert PSD2 die Aktualisierung von Apps und Software zum Online-Banking. Für Überweisungen sind keine TAN-Listen in Papierform mehr nutzbar. Stattdessen erfordert jede Überweisung eine neu erzeugte TAN. Werden online Waren eingekauft und mit Kreditkarte bezahlt, braucht es neben Kartennummer, Ablaufdatum und Prüfnummer jetzt eine zusätzliche Transaktionsnummer.
Neben dem Computer ist ab sofort ein weiteres Gerät für die zweite Authentifizierung ein Muss. Dies kann ein klassischer TAN-Generator oder ein Smartphone sein. Mit der Nutzung von Handys im Rahmen von Mobile Banking geht ein Sicherheitsproblem einher: Befinden sich auf dem Smartphone sowohl Banking-App als auch die Applikation für die TAN-Generierung haben Betrüger leichteres Spiel im Vergleich zur Verwendung eines separaten TAN-Generators. Auch das Bundesamt für Sicherheit in der Informationstechnologie rät in einem Beitrag zur Zwei-Faktor-Authentisierung davon ab, für TAN-Empfang und Dienste-Nutzung das gleiche Gerät einzusetzen.
Weitere Ratgeber rund um Finanzen finden Sie hier.
Schlagworte zu diesem Artikel