Zugriff durch Dritt­an­bieter auf Bankkonten

Risi­ko­reiche Nut­zung bank­über­grei­fender Online-Dienste

Mög­liche Dienst­leis­tungen von Dritt­an­bie­tern, welche die per­sön­li­chen E-Ban­king-Zugangs­daten der Kunden ver­wenden, umfassen bei­spiels­weise den Zugriff auf Bank­konten von ver­schie­denen Finanz­in­sti­tuten über eine ein­zige Platt­form. Aber auf­ge­passt, Sie setzen sich durch die Wei­ter­gabe Ihrer per­sön­li­chen E-Ban­king-Zugangs­daten an eine solche Platt­form einem erheb­li­chen Sicher­heits­ri­siko aus.

Imper­so­na­tion als Sicherheitsrisiko

Für den Zugriff auf Bank­konten ihrer Kunden setzen Dritt­an­bieter meist die soge­nannte Imper­so­na­tion (Nach­ahmen, Auf­treten als jemand anders) ein. Dazu erfragen sie von ihren Kunden die per­sön­li­chen Zugangs­daten (z. B. Pass­wort und Iden­ti­fi­ka­ti­ons­nummer) für deren E-Ban­king und nutzen diese Daten, um als Mit­tels­mann mit unein­ge­schränktem Zugriff auf die Konten zuzugreifen.

Wenn Sie als Kunde Ihre per­sön­li­chen Zugangs­daten auf diese Art wei­ter­geben, ist dies mit der Situa­tion ver­gleichbar, als würden Sie im Rei­se­büro Ihre Ferien buchen, zur Bezah­lung ein­fach Ihr Gegen­über an Ihrem E-Ban­king-Konto anmelden, und das Geschäft ver­lassen – im blinden Ver­trauen, dass die Ange­stellten wirk­lich nur den ver­ein­barten Betrag abbu­chen und sich danach sofort wieder abmelden. Die Person könnte aller­dings genauso gut noch nach­schauen, wie viel Lohn Sie jeden Monat über­wiesen erhalten und sogar ver­sucht sein, sich die eigenen Ferien von Ihrem Konto zu finan­zieren. Tech­nisch gesehen ent­spricht die Nut­zung von Imper­so­na­tion einer Iden­ti­täts­über­nahme – dem glei­chen Vor­gehen eines klas­si­schen Phis­hing-Angriffs – selbst wenn es sich um einen seriösen Dritt­an­bieter handelt!

Durch die nicht bestim­mungs­ge­mässe Ver­wen­dung der per­sön­li­chen Zugangs­daten kann das Finanz­in­stitut kaum noch unter­scheiden, ob es mit Ihnen als Kunden selbst, mit einem von Ihnen beauf­tragten Dritt­an­bieter oder – schlimms­ten­falls – mit einem kri­mi­nellen Mit­tels­mann kom­mu­ni­ziert. Das Finanz­in­stitut kann dadurch seinen Sorg­falts­pflichten, wie z. B. dem Schutz der Bank­kun­den­daten, nicht mehr genü­gend nach­kommen. Im Scha­dens­fall drohen Ihnen als Kunde gar Haftungsausschlüsse.

Kon­troll­ver­lust über Bankkundendaten

Wäh­rend Schweizer Finanz­in­sti­tute strengen Vor­gaben zum Schutz der Bank­kun­den­daten und zur Sicher­heit ihrer Sys­teme unter­liegen, können Dritt­an­bieter mit Ihrer Ein­wil­li­gung Daten in weniger regu­lierten Umge­bungen und Sys­temen spei­chern und bear­beiten. Zum Teil sind diese Sys­teme weder im Besitz noch unter der Kon­trolle der Dritt­an­bieter. Häufig kommen näm­lich soge­nannte Cloud-Lösungen zum Ein­satz, bei denen der genaue Spei­cherort der Daten oft nicht bekannt ist. Für solche Sys­teme gilt in der Regel auch das Schweizer Bank­kun­den­ge­heimnis nicht!

Die Aus­wir­kungen dieses Kon­troll­ver­lusts über die Spei­che­rung per­sön­li­cher Daten sind kaum abschätzbar. Nicht zuletzt kann dies Kri­mi­nellen erleich­tern, sich Zugang zu per­sön­li­chen Bank­kun­den­daten zu verschaffen.