Verschiedene Drittanbieter wollen neue, auf Bankkonten basierende Dienstleistungen lancieren, die signifikante Risiken bergen. Der IT-Professor Hannes P. Lubich fordert Mindeststandards für diese neuen Akteure.

Herr Lubich, verschiedene Drittanbieter haben angekündigt, neue Finanzdienstleistungen zu lancieren. Worum geht es konkret?

Etwa um Dienstleistungen bei der Zahlungsauslösung über Webshops oder bei der Finanzplanung. Beides birgt neue Herausforderungen.

Welche denn?

Viele dieser Anbieter nutzen bei ihren Dienstleistungen die so genannte «Impersonation». Das bedeutet, dass sie bei den Nutzern ihrer Plattform bestehende Legitimationsmittel aus der Bankbeziehung abfragen und diese zur Interaktion mit der Bank im Namen des Kunden nutzen. So können die Anbieter zwar ihre Dienstleistungen rasch und unkompliziert einführen.

«Faktisch unbeschränkter Zugriff»

Allerdings gewährt der Kunde durch die Weitergabe seiner Legitimationsmittel dem Dritten signifikant mehr Rechte als dieser zur Erbringung seiner Dienstleistungen benötigt – er erhält damit faktisch unbeschränkten Zugriff auf die Konten des Kunden.

Das ist, als ob ich zur Bezahlung meines Mittagessens im Restaurant den Kellner zu meinem E-Banking-Konto anmelde und danach das Restaurant verlasse – im Vertrauen darauf, dass der Kellner wirklich nur den geschuldeten Betrag abhebt und sich wieder abmeldet und somit weder mein Bankkonto ausspioniert noch weitere Transaktionen tätigt.

«Missbrauch durch Phishing-Webseiten»

Zudem können die Banken bei Anwendung von «Impersonation» kaum noch unterscheiden, ob der Kunde selbst oder ein Dritter auf die Daten zugreift. Es besteht auch die Gefahr, dass der Kunde gegenüber den Risiken der Preisgabe seiner persönlichen Legitimationsmittel an Dritte abstumpft.

Dies kann von kriminellen Phishing-Webseiten ausgenutzt werden, die funktional und oft auch optisch ähnlich aufgebaut sind wie die Webseite eines vertrauenswürdigen Anbieters.

Die Drittanbieter treten also gegenüber den Banken – technisch gesehen – als Kunde auf.

Ja. Denn einige Anbieter planen, signifikante Mengen an Bankkundendaten von den streng geregelten Systemen der Banken in das noch kaum geregelte Cloud-Computing (ins Internet ausgelagerte IT-Services) zu übertragen.

«Bankkundengeheimnis gilt hier nicht»

Von dort können zum Beispiel Kriminelle die Daten potenziell einfacher stehlen und als Grundlage für Social-Engineering-Angriffe verwenden, als von traditionell stark gesicherten und für den sicheren Einsatz optimierten Banksystemen.

Diese Cloud-Systeme sind zudem oft weder im Besitz noch unter der Kontrolle der Drittanbieter, häufig kommen Lösungen zum Einsatz, bei denen der Speicherort der Daten unbekannt ist. Für diese Systeme gilt in der Regel auch das Schweizer Bankkundengeheimnis nicht.

Was muss vorgekehrt werden, um diese Sicherheits- und Datenschutzrisiken zu mitigieren?

Es bedarf der Definition von Minimalstandards und deren aufsichtsrechtlicher Überwachung, wie die neuen Dienstleister mit Banken und Kunden interagieren dürfen, und wie sie mit Bankkundendaten umgehen müssen.

«Es braucht Minimalstandards»

In der EU wurde dies bereits erkannt. So weitet die EU-Kommission die «Payment Services Directive» auf Drittparteien aus, welche als Zahlungsdienstleister oder Aggregatoren operieren; und die Europäische Zentralbank (EZB) fordert, dass es Drittanbietern nicht erlaubt sein soll, die persönlichen Legitimationsmittel eines Bankkunden zu nutzen – dass also «Impersonation» zu verbieten ist.

Und in der Schweiz?

Im Rahmen einer Studie habe ich die Sicherheitsauswirkungen des Eintritts von Drittanbietern in den Schweizer Zahlungsverkehrsmarkt untersucht. Dabei bin ich zum Schluss gekommen, dass hierzulande mindestens folgende Minimalstandards umgesetzt werden müssten, um die Risiken zu verringern:

  • Authentisierungsmittel, die eine Bank ihren Kunden im Rahmen eines Vertragsverhältnisses übergibt, sind persönlich und dürfen einem Dritten weder zugänglich gemacht noch von diesem genutzt werden. Eine Bank und ein Drittanbieter müssen separate Authentisierungsmittel vereinbaren, welche den Anbieter gegenüber der Bank eindeutig ausweisen.
  • Autorisierung muss von Authentisierung unterschieden werden, und sich auf die Rechte beschränken, die ein Drittanbieter zur Erbringung seiner Dienstleistung wirklich benötigt. So soll der Kunde zum Beispiel einen Dritten explizit der Bank gegenüber für den benötigten Zugriff auf seine Bankkundendaten autorisieren müssen. «Impersonation» verletzt dieses Prinzip, da mit der Weitergabe der Authentisierungsmittel des Kunden auch dessen Autorisierung an den Dritten übertragen wird.
  • Rollen und Verantwortlichkeiten sind verbindlich zwischen Bank, Drittanbieter und Kunde zu regeln. Dies ist unter anderem eine wesentliche Grundlage für alle nachgelagerten Kontrollen und die Erhebung von Beweismitteln im Streitfall. Zusätzlich klärt es aber auch die Verantwortlichkeit für die Haftung im Schadensfall.

Solche Minimalstandards helfen, sicherzustellen, dass alle Teilnehmer im Markt die richtigen Leistungsanreize haben. Dies fördert einen innovativen und weiterhin sicheren Finanzplatz Schweiz, auf dem insbesondere die Interessen der Kunden ausreichend geschützt bleiben.

Hannes P. Lubich ist Professor für ICT System Management an der Fachhochschule Nordwestschweiz