Was ist die „starke Kundenauthentifizierung“?

Starke Kundenauthentifizierung bedeutet, dass der Internetnutzer mindestens zwei Sicherheitsfaktoren verwenden muss, um sich zu authentifizieren. Diese Faktoren müssen aus zwei unterschiedlichen Kategorien kommen. Die Kategorien sind Wissen, Besitz und Inhärenz.

Ein Beispiel für die Kategorie Wissen ist das Passwort. Ein Beispiel für die Kategorie Besitz ist das Mobiltelefon – genauer gesagt: die SIM-Karte. Deren Besitz können Sie zum Beispiel durch Eingabe einer Transaktionsnummer (TAN) nachweisen, die zuvor per SMS an Ihr Telefon geschickt worden ist. Bei der Kategorie Inhärenz geht es um Ihre persönlichen beziehungsweise körperlichen Eigenschaften – etwa Ihren Fingerabdruck.

Regeln gelten nicht bei allen Zahlungen

Diese Regeln gelten nur für Zahlungsdienste und Zahlungskonten. Zu Letzteren gehören unter anderem die üblichen Girokonten – Sparkonten und Wertpapierdepots dagegen nicht. Bei Banken, die sowohl Girokonten als auch Wertpapierdepots oder Sparkonten führen, ist es aber wahrscheinlich, dass durchweg die starke Kundenauthentifizierung gefordert wird.

Neben der Überweisung im Onlinebanking sind zum Beispiel auch die Verwendung der Kreditkarte sowie Onlinebezahldienste erfasst. Beim Bezahlen mit Kreditkarte im Internet reicht es nicht aus, lediglich die auf der Karte sichtbaren Daten inklusive der auf der Rückseite befindlichen Prüfziffer einzugeben. Kunden müssen beispielsweise zusätzlich ein geheimes Passwort sowie eine Transaktionsnummer (TAN), die zuvor an ihr Mobiltelefon gesendet wurde, eingeben.

Dagegen ist bei der weit verbreiteten Zahlung mit Lastschrift im Internet keine starke Kundenauthentifizierung notwendig, da hier die Zahlungsauslösung durch den Händler erfolgt.

Ausnahmen von der starken Kundenauthentifizierung

Nicht bei allen Onlineaktivitäten ist eine starke Kundenauthentifizierung notwendig. Das gilt zum Beispiel, wenn Sie in Ihrem Zahlungskonto nur Ihren Kontostand oder die Umsätze der letzten 90 Tage einsehen möchten. Dafür reicht es aus, wenn alle 180 Tage eine starke Kundenauthentifizierung durchgeführt wird. Auf die starke Kundenauthentifizierung kann ebenfalls verzichtet werden, wenn der Zahlungsdienstleister die Zahlung aufgrund einer in Echtzeit durchgeführten automatischen Risikoanalyse als wenig riskant einstuft. Zur Vermeidung von Missbräuchen gibt es hierzu allerdings eine gesetzlich festgelegte Obergrenze. Der Zahlungsdienstleister kann diese Ausnahme nur nutzen, wenn er den prozentualen Anteil der betrügerischen Zahlungen unter dieser Grenze halten kann.

Worauf Sie „online“ achten sollten

Wenn Sie online unterwegs sind, sollten Sie darauf achten, ihre Daten zu schützen und unter anderem folgende Regeln beachten.

• Geben Sie nie vertrauliche Zugangsdaten heraus, wenn Sie per E-Mail oder telefonisch dazu aufgefordert werden! Keine Bank und kein Zahlungsdienstleister würden so vorgehen.
• Öffnen Sie Anhänge, Links und Downloads bei E-Mails mit unbekanntem Absender nicht.
• Seien Sie auch vorsichtig bei der Erfassung von QR-Codes und den darin hinterlegten Links.
• Prüfen Sie die Angaben, die auf ihrem Authentifizierungsinstrument (zum Beispiel in der PushTAN-App auf Ihrem Smartphone) angezeigt werden. Brechen Sie mögliche Transaktionen im Zweifel ab.
• Achten Sie bei Downloads auf seriöse Quellen.
• Wenn Sie Zweifel an der Echtheit eines Briefs, einer E-Mail oder eines Telefonanrufs haben, kontaktieren Sie unverzüglich Ihre Bank.
• Gehen Sie sensibel mit Ihren Daten im Internet und in sozialen Medien um.
• Halten Sie das Betriebssystem, den Internetbrowser und den Virenschutz auf dem neusten Stand.
• Entdecken Sie unberechtigte Onlinezahlungen von Ihrem Konto, sollten Sie diese sofort bei ihrer Bank beanstanden.