EU-Richtlinien zu Internet-Zahlungen treten in Kraft
Die Europäische Bankenaufsichtsbehörde (EBA) hat Richtlinien für Finanztransaktionen via Internet ausgearbeitet, die Ende Woche in Kraft treten. Wie weit sind Schweizer Banken?
Angesichts der zunehmenden Betrugfälle hat die Europäische Bankenaufsichtsbehörde (EBA) Richtlinien ber Internet-Zahlungen ausgearbeitet, die jetzt ab 1. August EU-weit in Kraft treten. Die Regelung sieht vor allem die starke Authentifizierung der Anwender vor, wenn sie Finanztransaktionen übers Web tätigen, sei es als Online-Banking-Kunden oder bei Mobile-Payment-Verfahren. Zugelassen sind somit noch Authentifizierungsverfahren mit Token und Kartenlesern sowie Smartphones mit einer gehärteten App, mit Verschlüsselung und einer auf einem Server gespeicherten PIN (vgl. Grafik). Zu vermeiden seien dagegen unter anderem Zweifaktor-Verfahren mit SMS und E-Mails sowie mit TAN-Listen (Transaktionsnummern).
Auswirkungen auf die Schweiz
«Die EBA-Richtlinien gelten offiziell nicht für Schweizer Banken», erklärt Özgür Koyun, der beim IT-Security-Spezialisten Kobil Systems für Marketing und Business Development verantwortlich ist, auf Anfrage von Computerworld. Diese orientierten sich aber gerne an den Sicherheitsempfehlungen, weiss er weiter. Bei vielen Schweizer Banken seien diese schon realisiert, so Koyun. «Viele haben jedoch auch auf die SMS-TAN gesetzt, was nach heutigem Kenntnisstand nicht mehr ausreicht», so der Kobil-Manager. Als positives Beispiel nennt er die neue Lösung der Migros Bank. Sie habe einen sehr umfangreichen Schutz gewählt, der sich an den Richtlinien orientiere. «Weitere Banken befinden sich in der Vorbereitung für die Realisierung einer App-Sicherheitslösung, mit gespeicherter PIN auf dem Server und Härtungsmassnahmen der App», ergänzt Koyun.
