Starke Kundenauthentifizierung – weshalb und wie erfolgt sie?

Banken sowie alle weiteren Zahlungsdienstleister müssen aufgrund einer EU-Regelung ab dem 14.09.2019 im Zahlungsverkehr eine sogenannte „2-Faktor-Authentifizierung“ durchführen. Das bedeutet, dass

  • vor der Durchführung Ihrer Online-Überweisung,
  • beim Einloggen auf Ihr Zahlungskonto oder
  • bei der Kartenzahlung im Geschäft

Ihre Identität über zwei Faktoren festzustellen ist.

Im ersten Schritt sind 3 gesetzliche Kategorien zu unterscheiden:

  • Wissen: hier kann die Bank etwas abfragen, das nur Sie wissen, z.B.
    • eine Antwort auf eine Sicherheitsfrage;
    • ein Passwort oder eine Zahlenkombination.
  • Besitz: hier wird ein Gegenstand verwendet, der in Ihrem Besitz ist, z.B.
    • Ihre Debitkarte („Bankomatkarte“), die mittels Kartenlesegerät eingelesen wird;
    • Über Ihr Mobiltelefon kann Ihnen ein Tan-Code gesendet werden, durch dessen Eingabe der Besitz des Mobiltelefons verifiziert wird;
    • Auf Ihrem Mobiltelefon können Sie eine App installieren, über welche der Zugriff genehmigt oder freigegeben wird, und die durch einen technischen Prozess im Hintergrund („device-binding“) den Besitz der App bzw. des Mobiltelefons verifiziert.
  • Inhärenz: hier wird Ihre Identität aufgrund unverwechselbarer persönlicher Merkmale überprüft, z.B.
    • Fingerabdruck;
    • Gesichtsscann.

In weiterer Folge wählt der Zahlungsdienstleister zwei Faktoren aus den genannten Kategorien aus. Welche dies konkret sind, bleibt dem Zahlungsdienstleister selbst überlassen, die Faktoren müssen nur aus zwei unterschiedlichen Kategorien stammen. Zweck dieser Reglung ist es, Betrugsfälle zu minimieren und die Sicherheit des Zahlungsverkehrs weiter zu erhöhen.

 

  • Auf ein Online-Konto kann mit einer Applikation (App), welche auf einem bei der Bank registrierten Mobiltelefon (Besitz) installiert ist, in Zusammenhang mit dem Fingerprint (Inhärenz) zugegriffen werden.
  • Es kann auch online auf ein Konto mittels Verfügernummer und Passwort (Wissen) plus der Eingabe eines Codes, der auf das Mobiltelefon (Besitz) gesendet wurde, zugegriffen werden.
  • Auf ein Online-Konto kann auch durch Einlesen Ihrer Debitkarte mittels separatem Kartenlesegerät (= Besitz) in Kombination mit einem Pin-Code (=Wissen) auf jedem Ihnen zur Verfügung stehenden PC/MAC aber auch Mobiltelefon zugegriffen werden. Das ist eine von Mobilfunkempfang und Applikation (App) unabhängige Variante.

Aber auch andere Varianten sind zulässig, solange zwei Faktoren aus zwei unterschiedlichen Kategorien gewählt werden. Welche Faktoren und Varianten eine Bank auswählt und anbietet, bleibt immer der Bank selbst überlassen. Es gibt am Markt zahlreiche Anbieter mit unterschiedlichen Angeboten, aus welchen Sie wiederum einen für Sie passenden Anbieter mit dem entsprechenden Authentifizierungsverfahren wählen können.

Die Aufgabe der Finanzmarktaufsicht FMA ist es, zu überwachen, ob eine 2-Faktor-Authentifizierung durch Ihre Bank stattfindet. Die FMA hat aber keinen Einfluss darauf, welche Varianten und wie viele unterschiedliche Varianten Ihre Bank anbietet. Weitere Informationen zur starken Kundenauthentifizierung finden Sie unter https://www.fma.gv.at/fma-aktuell/starke-kundenauthentifizierung/.