STRATEGIE13. Jul. 2016

PIN/TAN-Urteil: Ist das der Start der Payment-Revolution oder wird Online-Bezahlen jetzt unsicher?

Micha Klootwijk/bigstock.com
Micha Klootwijk/bigstock.com

Das Bundeskartellamt hat die Geheim­haltungs­pflicht für das PIN/TAN-Verfahren für rechtswidrig erklärt (wie berichtet). Damit können nun Zahlungsdienste wie die Sofort-Überweisung auf mehr Akzeptanz und höhere Verbreitung hoffen. Aber geht das nicht deutlich zu Lasten der Sicherheit? Und was bedeutet die PSD2 in diesem Zusammenhang? IT Finanzmagazin hat drei Payment-Experten befragt.

Rudolf Linsenbarth

Die veraltete Kundensicht ist nicht zu halten – das wissen die Banken

Rudolf Linsenbarth
Linsenbarth-Rudolf-516Rudolf Linsenbarth ist Seni­or Consultant für den Be­reich Mobile Payment und NFC bei COCUS Con­sul­ting. Zuvor war er 11 Jah­re im Bank­bereich als Seni­or Technical Specia­list bei der TARGO IT Consulting (Crédit Mutuel Banken­gruppe). Linsenbarth ist ei­ner der pro­fi­lier­tes­ten Blog­ger der Fi­nanz­szene und kommentiert bei Twit­ter un­ter @holimuk die aktuellen Entwicklungen. Alle Beiträge schreibt Rudolf Linsenbarth im eigenen Namen.
Die vom Kartellamt beanstandeten AGB stehen bei fast allen Banken identisch in Absatz 7 „Sorgfaltspflichten des Teilnehmers. Sie entsprechen einer völlig veralteten Kundensicht. Dahinter steht implizit das Versprechen an den Kunden, dass ihm nichts geschehen wird, wenn er sich an diese Vorgaben hält.

Dass dies nicht zu halten ist, wissen die Banken sehr genau, nur sie wollen nicht darüber sprechen.“

Streng genommen darf ein Kunde, der sich daran hält, noch nicht mal die Banking-App eines Drittherstellers verwenden. Trotzdem sollte es die Freiheit einer Bank sein, die Bedingungen, unter denen man für sein Produkt haften möchte, selber festzulegen. Der mündige Kunde kann das dann ignorieren oder sich eine Bank aussuchen wie die DKB, die mit der folgenden Formulierung anscheinend auch sehr gut leben kann:
„Schäden und Nachteile aus einer schuldhaften Verletzung von Mitwirkungs- und sonstigen Sorgfaltspflichten gehen zu Lasten des Kunden.“

Tobias Baumgarten, Spezia­list für Multi­kanal-Banking

Das Bundeskartellamt hat nur den Status-Quo festgestellt

Tobias Baumgarten
Tobias-Baumgarten-516Tobias Baumgar­ten ist gelern­ter Bank­kauf­mann und studier­ter BWLer. Er arbeitet derzeit als­ Spezia­list für Multi­kanal-Banking an Digi­talisierungs-Themen. Beruflich & privat lei­den­schaftlich in­ter­es­siert an FinTech-Themen, bloggt und twit­tert er ­privat über FinTech. Sie fin­den Tobi­as Baumgar­ten auf aboutfintech.de und Twitter.
Auf den ers­ten Blick möch­te man spon­tan bei­de Fra­gen bejahen: natürlich ist die Fest­stellung des Kar­tell­amtes weg­weisend und könnte alternativen Zahlungs­dienst­leistern Auf­wind verschaffen – natürlich wird das Online-Banking umso un­si­che­rer, je mehr Personen oder Firmen Kenntnis von mei­nen Zugangsda­ten ha­ben.
Und gleichzeitig dürfte der Einfluss des Ur­teils weder in der ei­nen noch der an­de­ren Fra­ge nach­haltig von Bedeu­tung sein.

Was die Zahlungs­dienst­leis­ter angeht, muss man fest­stel­len, dass die­se längst am Markt sind und sich von den be­an­stande­ten AGB nicht wirk­lich ha­ben abhal­ten las­sen.“

Das Ur­teil verschafft ihnen jetzt nur ein Stück mehr Rechtssi­cherheit – und nicht nur ihnen, sondern auch Händlern und Kun­den. Das könnte diesen Systemen jetzt noch ein Stück mehr Se­riosität ver­leihen und de­ren Wachs­tum erhöhen, was wieder­um den Boden für weite­re Anbie­ter be­rei­ten kann.

Viel mehr Wirkung wird hier allerdings die Umsetzung der EU-Richtlinie PSD 2 zeigen, die genau die relevanten Aspekte für alternative Zahlungsdienstleister regeln wird – und das weit über die Frage über die reine Weitergabe von PIN und TAN hinaus.

Wie steht es um die Sicherheit des Online-Bankings?

Sicher: wie überall dort, von PIN- oder passwortbasierte Sicherheitsverfahren zum Einsatz kommen, nimmt die Sicherheit stetig ab, je mehr Personen Kenntnis von diesen Daten haben. Gebe ich die Daten nicht weiter, kann ich selbst für ihre Sicherheit sorgen. Das kann ich nicht mehr, sobald ich die Daten z.B. an SOFORT oder Numbrs weitergebe. Hier muss ich also sowohl dem Anbieter selbst vertrauen als auch deren Sicherheitsmaßnahmen gegen Hacker und Datenklau.

Allerdings dürfte das für die Banken ein Anstoß sein, neue, noch sicherere Sicherheitsverfahren zu entwickeln, um das Risiko wieder einzugrenzen. Biometrische Verfahren wie z.B. Fingerprint per Smartphone könnten hier eine gute Möglichkeit sein, nicht nur die Sicherheit zu erhöhen, sondern gleich auch noch die UX zu verbessern. Wenn das Urteil (und PSD 2) das bewirken würden, wäre das schon ein echter Gewinn.

Klaus Igel, Berater und Softwarearchitekt für Banking Lösungen

PIN/TAN ist der Generalschlüssel – simple Online-Zahlungen müssen leichter werden

Autor Klaus Igel
Klaus-Igel-516Banking und IT-Experte und seit mehr als 25 Jahren in diesem Bereich tätig. Beschäftigt sich als selbständiger Berater und Softwareentwickler mit den Themen Retail Banking, Zahl­ungs­ver­kehr, Mobile Payments, Authen­ti­fi­zier­ungs­lö­sungen und Banking-Schnitt­stellen wie z.B. FinTS/HBCI. Neben Projekten im Inland hat er auch in Asien/Nordamerika Lösungen für den Finanzsektor entwickelt. Klaus Igel äußert sich zu Themen bei Twitter unter https://twitter.com/kig_de
Das aktuelle „PIN/TAN“-Urteil des Bundeskartellamtes sieht eine Rechtswidrigkeit in den „Sonderbedingungen für das Online-Banking“ der Banken. Darin geregelt ist der Umgang mit PIN und TAN aus Sicht der Online-Banking-Kunden und das Verbot, diese Informationen auf bankfremden Seiten einzugeben. Der Präsident des Bundeskartellamtes, Andreas Mundt, sagt hierzu: „Die derzeit verwendeten Regelungen lassen sich aber nicht als notwendigen Teil eines konsistenten Sicherheitskonzepts der Banken einstufen und behindern bankunabhängige Wettbewerber.

Führt man sich vor Au­gen, wel­che In­formationen heu­te allein durch die Kombi­nati­on User­na­me/PIN erlangt wer­den können, so klingt allerdings die Regelung der Banken nach­vollziehbar.“

Diese Daten ermöglichen die Anzeige u.a. aller Konten, Umsätze, Daueraufträge, Kreditrahmen, Sparverträge und Wertpapierdepots des Kunden. Für eine simple Online-Zahlung braucht ein Dritter gewiss nicht diese Fülle an Informationen – hier würde im Prinzip die Bestätigung der kontoführenden Bank ausreichen, dass die Zahlung über x Euro erfolgreich ausgeführt werden kann. Der Hauskredit, das Aktiendepot oder die Höhe des Gehalts sind dafür nicht relevant. Im Zusammenspiel mit der TAN können darüber hinaus z.B. Überweisungsaufträge freigegeben werden.

Solange man sich – wie bei giropay – direkt auf den Seiten der Bank bewegt, spielt diese Problematik keine große Rolle, da die kontoführende Bank diese Informationen ohnehin besitzt. Für bankenunabhängige Bezahlverfahren, die auf Basis einer Online-Überweisung arbeiten, gibt es Stand heute allerdings ohne entsprechende Verträge mit den jeweiligen Banken keine einfache Alternative.

Mehr und gezieltere Auswahl bitte

Bei Smartphone-Apps kann man z.B. auch einfach festlegen, dass eine App nur Kamera und GPS nutzen darf, aber darüber hinaus keine weiteren Berechtigungen bekommt. Genau hier müsste man ansetzen und alternative, fein granulierte Zugänge/APIs inkl. Berechtigungsmanagement für den Zugriff auf das Bankkonto anbieten. PSD2 geht hier in die richtige Richtung und unterscheidet schon mal zwischen Zahlungsauslöse- und Kontoinformationsdiensten.

Das Urteil des Bundeskartellamtes wird in der Praxis keine großen Auswirkungen haben:
1. 
Es kommt viel zu spät – die Sofortüberweisung ist beispielsweise seit rund 10 Jahren aktiv, Paypal dominiert den Markt der E-Commerce Zahlungen und eine Neuregelung im Rahmen von PSD2 steht vor der Tür.
2. Aufgrund des Urteils des Bundeskartellamtes müssen die Banken ihre ‚Sonderbedingungen für das Online-Banking‘ nicht ändern – festgestellt wurde aktuell nur eine Rechtswidrigkeit.
3. Nur für die Online-Überweisung, die zweifelsohne echte Vorteile z.B. hinsichtlich der Zahlungssicherheit für den Händler bietet, ist das PIN/TAN-Paradigma eine Grundvoraussetzung. Wallet-basierte Lösungen wie Paypal oder auch der bankeneigene Dienst paydirekt kommen beim Bezahlvorgang ohne diese Informationen aus. Es gab und gibt also entsprechende Alternativen.
4. Der Bundesverband deutscher Banken (BdB), der Bundesverband der Volksbanken und Raiffeisenbanken (BVR) sowie der Deutsche Sparkassen- und Giroverband (DSGV) wehren sich gegen das Urteil und werden Rechtsmittel gegen das Urteil beim OLG Düsseldorf einlegen.

Fazit – die Regelungen der PSD2 sind eindeutiger und begrüßenswert

Bislang galt für Kunden: Eingabe der PIN und TAN nur auf den Seiten seiner Bank – eine sehr eindeutige Regelung. Wenn nun der Beschluss rechtswirksam werden sollte, dann fällt diese Regelung und verminderte Sicherheit, erhöhte Schadensfälle sowie eine beschädigte Reputation des Online Bankings könnten die Folge sein – je nachdem, ob die „schwarzen Schafe“ mit von der Partie sind oder nicht. Daher sind ja die Regelungen in der PSD2 eindeutiger und begrüßenswert. Wer künftig Daten abfragen oder Zahlungen auslösen will, muss sich an die Schnittstelle andocken, die die EBA gerade entwickelt und sich ggf. sogar registrieren und regulieren lassen. Das schafft ein Mehr an Vertrauen und Sicherheit und beweist ein Augenmaß für Wettbewerbsaspekte und Sicherheit.

Als direkte Folge werden die Banken künftig ihre Anforderungen an die Authentikationsverfahren erhöhen müssen. Das heißt, dass eher unsichere Verfahren (z.B. iTAN) verschwinden werden und hardwarebasierte Verfahren eine größere Verbreitung bekommen werden. Bleibt zu hoffen, dass dabei ein guter Kompromiss zwischen Security und Komfort gefunden wird.

Primär sehe ich keine dramatische Gefahr für die Sicherheit beim Online-Bezahlen, dafür gibt es mit der TAN immer noch ein funktionierendes und nicht leicht „zu knackendes“ Sicherheitsmerkmal.“

Problematisch ist hingegen eher die potentielle Möglichkeit für Dritte, alle möglichen Kontoinformationen „durch die Hintertür“ zu bekommen. Um dies zu verhindern, müssen neue Zugriffsmöglichkeiten geschaffen werden, die es mir als Kunde erlauben zu bestimmen, welche Daten ich preisgeben möchte und welche lieber nicht. Daran wird – so hört man aus Bankenkreisen – gerade mit Hochdruck gearbeitet. Interessant ist auch mal ein Blick in die Datenschutzhinweise der Sofort GmbH im Rahmen der Sofortüberweisung.

Sie finden diesen Artikel im Internet auf der Website:
http://www.it-finanzmagazin.de/?p=33642
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (9 Stimmen, Durchschnitt: 4,67 von maximal 5)
Loading...

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Deutsche Börse
auxmoney, Kreditech, smava – Deutsche Börse Venture Network will helfen Startups zu finanzieren

Die Deutsche Börse hat heute mit dem Staatssekretär im Bundes­ministerium für Wirtschaft und Energie, Matthias Machnig, das „Deutsche Börse Venture Network“ gestartet. Das Pro­gramm dient...

Schließen