Banken dürfen keine Nachrichten mit Links an Kunden senden.

Die Staatsbank hat das Rundschreiben 50 zur Regelung der Sicherheit bei Online-Banking-Diensten herausgegeben, das Anfang 2025 in Kraft tritt.

Eine der im Rundschreiben genannten neuen Bestimmungen besteht darin, dass Banken ihren Kunden keine SMS-Nachrichten oder E-Mails mit Hyperlinks zum Zugriff auf elektronische Nachrichtenseiten senden dürfen, außer in Fällen, in denen die Kunden dies wünschen.

Diese Aufforderung erfolgt im Zusammenhang mit betrügerischen Markennachrichten (Nachrichten an Kundentelefone), die in letzter Zeit stark zugenommen haben. Das bedeutet, dass betrügerische Nachrichten im selben Stream wie Banknachrichten erscheinen und Kunden auffordern, auf einen Link zuzugreifen, über den ihre Daten gestohlen werden, was zu Geldverlusten führen kann.

SMS-Nachrichten mit dem Namen der Bank werden häufig über gefälschte BTS-Sender an die Handys der Nutzer gesendet. Da die Betrüger die Nachrichten mit derselben Marke versehen, werden die Handys in den Nachrichtenstrom der Bank aufgenommen und Kunden dazu verleitet, auf betrügerische Links zu klicken.

Wenn Sie Banken bitten, keine Nachrichten oder E-Mails mit Links zu versenden, können Sie Kunden dabei helfen zu erkennen, dass es sich bei Nachrichten mit dem Markennamen von KMU, die Kunden dazu verleiten, auf Links zu klicken, um Betrug handelt.

Neben den oben genannten Vorschriften enthält das Rundschreiben auch zahlreiche weitere Punkte zum Thema Sicherheit. Beispielsweise dürfen E-Banking-Anwendungen künftig keine Passwortspeicherfunktion mehr unterstützen. Gleichzeitig benötigen Kreditinstitute Lösungen zur Verhinderung, Bekämpfung und Erkennung illegaler Eingriffe in Mobile-Banking-Anwendungen auf den Mobilgeräten ihrer Kunden.

Für Privatkunden muss die Bank eine Verifizierungsfunktion bereitstellen, wenn der Kunde zum ersten Mal auf das Konto zugreift oder mit einem anderen Gerät als dem letzten auf das Konto zugreift. Die Mindestverifizierung umfasst den Abgleich des korrekten SMS-OTP oder Voice-OTP sowie den Abgleich der korrekten biometrischen Daten, sofern spezielle Vorschriften die Erfassung und Speicherung biometrischer Daten des Kunden vorschreiben.