PIN/TAN-Urteil: Ist das der Start der Payment-Revolution oder wird Online-Bezahlen jetzt unsicher?
Das Bundeskartellamt hat die Geheimhaltungspflicht für das PIN/TAN-Verfahren für rechtswidrig erklärt (wie berichtet). Damit können nun Zahlungsdienste wie die Sofort-Überweisung auf mehr Akzeptanz und höhere Verbreitung hoffen. Aber geht das nicht deutlich zu Lasten der Sicherheit? Und was bedeutet die PSD2 in diesem Zusammenhang? IT Finanzmagazin hat drei Payment-Experten befragt.
Rudolf Linsenbarth
Die veraltete Kundensicht ist nicht zu halten – das wissen die Banken
Rudolf LinsenbarthRudolf Linsenbarth ist Senior Consultant für den Bereich Mobile Payment und NFC bei COCUS Consulting. Zuvor war er 11 Jahre im Bankbereich als Senior Technical Specialist bei der TARGO IT Consulting (Crédit Mutuel Bankengruppe). Linsenbarth ist einer der profiliertesten Blogger der Finanzszene und kommentiert bei Twitter unter @holimuk die aktuellen Entwicklungen. Alle Beiträge schreibt Rudolf Linsenbarth im eigenen Namen.Die vom Kartellamt beanstandeten AGB stehen bei fast allen Banken identisch in Absatz 7 „Sorgfaltspflichten des Teilnehmers. Sie entsprechen einer völlig veralteten Kundensicht. Dahinter steht implizit das Versprechen an den Kunden, dass ihm nichts geschehen wird, wenn er sich an diese Vorgaben hält.
Dass dies nicht zu halten ist, wissen die Banken sehr genau, nur sie wollen nicht darüber sprechen.”
Dass dies nicht zu halten ist, wissen die Banken sehr genau, nur sie wollen nicht darüber sprechen.”
Streng genommen darf ein Kunde, der sich daran hält, noch nicht mal die Banking-App eines Drittherstellers verwenden. Trotzdem sollte es die Freiheit einer Bank sein, die Bedingungen, unter denen man für sein Produkt haften möchte, selber festzulegen. Der mündige Kunde kann das dann ignorieren oder sich eine Bank aussuchen wie die DKB, die mit der folgenden Formulierung anscheinend auch sehr gut leben kann:
“Schäden und Nachteile aus einer schuldhaften Verletzung von Mitwirkungs- und sonstigen Sorgfaltspflichten gehen zu Lasten des Kunden.“
Tobias Baumgarten, Spezialist für Multikanal-Banking
Das Bundeskartellamt hat nur den Status-Quo festgestellt
Tobias BaumgartenTobias Baumgarten ist gelernter Bankkaufmann und studierter BWLer. Er arbeitet derzeit als Spezialist für Multikanal-Banking an Digitalisierungs-Themen. Beruflich & privat leidenschaftlich interessiert an FinTech-Themen, bloggt und twittert er privat über FinTech. Sie finden Tobias Baumgarten auf aboutfintech.de und Twitter.Auf den ersten Blick möchte man spontan beide Fragen bejahen: natürlich ist die Feststellung des Kartellamtes wegweisend und könnte alternativen Zahlungsdienstleistern Aufwind verschaffen – natürlich wird das Online-Banking umso unsicherer, je mehr Personen oder Firmen Kenntnis von meinen Zugangsdaten haben.
Und gleichzeitig dürfte der Einfluss des Urteils weder in der einen noch der anderen Frage nachhaltig von Bedeutung sein.
Was die Zahlungsdienstleister angeht, muss man feststellen, dass diese längst am Markt sind und sich von den beanstandeten AGB nicht wirklich haben abhalten lassen.”
Was die Zahlungsdienstleister angeht, muss man feststellen, dass diese längst am Markt sind und sich von den beanstandeten AGB nicht wirklich haben abhalten lassen.”
Das Urteil verschafft ihnen jetzt nur ein Stück mehr Rechtssicherheit – und nicht nur ihnen, sondern auch Händlern und Kunden. Das könnte diesen Systemen jetzt noch ein Stück mehr Seriosität verleihen und deren Wachstum erhöhen, was wiederum den Boden für weitere Anbieter bereiten kann.
Viel mehr Wirkung wird hier allerdings die Umsetzung der EU-Richtlinie PSD 2 zeigen, die genau die relevanten Aspekte für alternative Zahlungsdienstleister regeln wird – und das weit über die Frage über die reine Weitergabe von PIN und TAN hinaus.
Wie steht es um die Sicherheit des Online-Bankings?
Sicher: wie überall dort, von PIN- oder passwortbasierte Sicherheitsverfahren zum Einsatz kommen, nimmt die Sicherheit stetig ab, je mehr Personen Kenntnis von diesen Daten haben. Gebe ich die Daten nicht weiter, kann ich selbst für ihre Sicherheit sorgen. Das kann ich nicht mehr, sobald ich die Daten z.B. an SOFORT oder Numbrs weitergebe. Hier muss ich also sowohl dem Anbieter selbst vertrauen als auch deren Sicherheitsmaßnahmen gegen Hacker und Datenklau.
Allerdings dürfte das für die Banken ein Anstoß sein, neue, noch sicherere Sicherheitsverfahren zu entwickeln, um das Risiko wieder einzugrenzen. Biometrische Verfahren wie z.B. Fingerprint per Smartphone könnten hier eine gute Möglichkeit sein, nicht nur die Sicherheit zu erhöhen, sondern gleich auch noch die UX zu verbessern. Wenn das Urteil (und PSD 2) das bewirken würden, wäre das schon ein echter Gewinn.
Klaus Igel, Berater und Softwarearchitekt für Banking Lösungen
PIN/TAN ist der Generalschlüssel – simple Online-Zahlungen müssen leichter werden
Autor Klaus IgelBanking und IT-Experte und seit mehr als 25 Jahren in diesem Bereich tätig. Beschäftigt sich als selbständiger Berater und Softwareentwickler mit den Themen Retail Banking, Zahlungsverkehr, Mobile Payments, Authentifizierungslösungen und Banking-Schnittstellen wie z.B. FinTS/HBCI. Neben Projekten im Inland hat er auch in Asien/Nordamerika Lösungen für den Finanzsektor entwickelt. Klaus Igel äußert sich zu Themen bei Twitter unter https://twitter.com/kig_deDas aktuelle “PIN/TAN”-Urteil des Bundeskartellamtes sieht eine Rechtswidrigkeit in den „Sonderbedingungen für das Online-Banking“ der Banken. Darin geregelt ist der Umgang mit PIN und TAN aus Sicht der Online-Banking-Kunden und das Verbot, diese Informationen auf bankfremden Seiten einzugeben. Der Präsident des Bundeskartellamtes, Andreas Mundt, sagt hierzu: “Die derzeit verwendeten Regelungen lassen sich aber nicht als notwendigen Teil eines konsistenten Sicherheitskonzepts der Banken einstufen und behindern bankunabhängige Wettbewerber.”
Führt man sich vor Augen, welche Informationen heute allein durch die Kombination Username/PIN erlangt werden können, so klingt allerdings die Regelung der Banken nachvollziehbar.”
Führt man sich vor Augen, welche Informationen heute allein durch die Kombination Username/PIN erlangt werden können, so klingt allerdings die Regelung der Banken nachvollziehbar.”
Diese Daten ermöglichen die Anzeige u.a. aller Konten, Umsätze, Daueraufträge, Kreditrahmen, Sparverträge und Wertpapierdepots des Kunden. Für eine simple Online-Zahlung braucht ein Dritter gewiss nicht diese Fülle an Informationen – hier würde im Prinzip die Bestätigung der kontoführenden Bank ausreichen, dass die Zahlung über x Euro erfolgreich ausgeführt werden kann. Der Hauskredit, das Aktiendepot oder die Höhe des Gehalts sind dafür nicht relevant. Im Zusammenspiel mit der TAN können darüber hinaus z.B. Überweisungsaufträge freigegeben werden.
Solange man sich – wie bei giropay – direkt auf den Seiten der Bank bewegt, spielt diese Problematik keine große Rolle, da die kontoführende Bank diese Informationen ohnehin besitzt. Für bankenunabhängige Bezahlverfahren, die auf Basis einer Online-Überweisung arbeiten, gibt es Stand heute allerdings ohne entsprechende Verträge mit den jeweiligen Banken keine einfache Alternative.
Mehr und gezieltere Auswahl bitte
Bei Smartphone-Apps kann man z.B. auch einfach festlegen, dass eine App nur Kamera und GPS nutzen darf, aber darüber hinaus keine weiteren Berechtigungen bekommt. Genau hier müsste man ansetzen und alternative, fein granulierte Zugänge/APIs inkl. Berechtigungsmanagement für den Zugriff auf das Bankkonto anbieten. PSD2 geht hier in die richtige Richtung und unterscheidet schon mal zwischen Zahlungsauslöse- und Kontoinformationsdiensten.
Das Urteil des Bundeskartellamtes wird in der Praxis keine großen Auswirkungen haben:
1. Es kommt viel zu spät – die Sofortüberweisung ist beispielsweise seit rund 10 Jahren aktiv, Paypal dominiert den Markt der E-Commerce Zahlungen und eine Neuregelung im Rahmen von PSD2 steht vor der Tür.
2. Aufgrund des Urteils des Bundeskartellamtes müssen die Banken ihre ‘Sonderbedingungen für das Online-Banking’ nicht ändern – festgestellt wurde aktuell nur eine Rechtswidrigkeit.
3. Nur für die Online-Überweisung, die zweifelsohne echte Vorteile z.B. hinsichtlich der Zahlungssicherheit für den Händler bietet, ist das PIN/TAN-Paradigma eine Grundvoraussetzung. Wallet-basierte Lösungen wie Paypal oder auch der bankeneigene Dienst paydirekt kommen beim Bezahlvorgang ohne diese Informationen aus. Es gab und gibt also entsprechende Alternativen.
4. Der Bundesverband deutscher Banken (BdB), der Bundesverband der Volksbanken und Raiffeisenbanken (BVR) sowie der Deutsche Sparkassen- und Giroverband (DSGV) wehren sich gegen das Urteil und werden Rechtsmittel gegen das Urteil beim OLG Düsseldorf einlegen.
Fazit – die Regelungen der PSD2 sind eindeutiger und begrüßenswert
Bislang galt für Kunden: Eingabe der PIN und TAN nur auf den Seiten seiner Bank – eine sehr eindeutige Regelung. Wenn nun der Beschluss rechtswirksam werden sollte, dann fällt diese Regelung und verminderte Sicherheit, erhöhte Schadensfälle sowie eine beschädigte Reputation des Online Bankings könnten die Folge sein – je nachdem, ob die “schwarzen Schafe” mit von der Partie sind oder nicht. Daher sind ja die Regelungen in der PSD2 eindeutiger und begrüßenswert. Wer künftig Daten abfragen oder Zahlungen auslösen will, muss sich an die Schnittstelle andocken, die die EBA gerade entwickelt und sich ggf. sogar registrieren und regulieren lassen. Das schafft ein Mehr an Vertrauen und Sicherheit und beweist ein Augenmaß für Wettbewerbsaspekte und Sicherheit.
Als direkte Folge werden die Banken künftig ihre Anforderungen an die Authentikationsverfahren erhöhen müssen. Das heißt, dass eher unsichere Verfahren (z.B. iTAN) verschwinden werden und hardwarebasierte Verfahren eine größere Verbreitung bekommen werden. Bleibt zu hoffen, dass dabei ein guter Kompromiss zwischen Security und Komfort gefunden wird.
Primär sehe ich keine dramatische Gefahr für die Sicherheit beim Online-Bezahlen, dafür gibt es mit der TAN immer noch ein funktionierendes und nicht leicht “zu knackendes” Sicherheitsmerkmal.”
Problematisch ist hingegen eher die potentielle Möglichkeit für Dritte, alle möglichen Kontoinformationen “durch die Hintertür” zu bekommen. Um dies zu verhindern, müssen neue Zugriffsmöglichkeiten geschaffen werden, die es mir als Kunde erlauben zu bestimmen, welche Daten ich preisgeben möchte und welche lieber nicht. Daran wird – so hört man aus Bankenkreisen – gerade mit Hochdruck gearbeitet. Interessant ist auch mal ein Blick in die Datenschutzhinweise der Sofort GmbH im Rahmen der Sofortüberweisung.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/33642
Schreiben Sie einen Kommentar