Das neue Login-Verfahren im e-Banking der UBS – Sicherheit und Convenience auch in den Händen der Kunden

Von Prof. Dr. Andreas Dietrich

Lange Zeit hat sich die UBS gegen ein erleichtertes e-Banking-Login gewehrt und Einbussen im Bereich der Convenience akzeptiert, um die (gefühlte) Sicherheit auf einem sehr hohen Niveau zu halten. Nun scheint man aber einen Weg gefunden zu haben, das Authentifizierungsverfahren kundenfreundlicher zu gestalten. Die Access Card wurde digitalisiert und als App auf das mobile Gerät gebracht, was den Login-Prozess vereinfacht. Ich möchte mich im nachfolgenden Blog aber weniger auf das neue Authentifizierungsverfahren als viel mehr auf die neu angebotenen und meines Wissens in dieser Form in der Schweiz noch nicht verfügbaren personalisierbaren Einstellungen im Bereich der Sicherheit fokussieren. Der Kunde kann durch die sogenannten «user managed security» Einstellungen zukünftig selber zwischen Sicherheit und Convenience mitentscheiden.

Das neue Login-Verfahren

Das bisherige Verfahren mit dem Anmelden über die physische Access Card war zwar sicher, aber aus Kundensicht eher umständlich. Mit der Digitalisierung der Access Card scheint man nun eine für den Kunden einfachere Lösung gefunden zu haben. Konkret kann ein UBS-Kunde die Access Card sozusagen „digitalisiert“ als Access App herunterladen. Der Onboarding-Prozess erfolgt zwar aus Sicherheitsgründen nach wie vor physisch, respektive über den Postweg. Nach der erstmaligen Installation ist die Access Card aber beim Login im Hintergrund automatisch aktiviert und man kann sich dadurch auch ohne physische Karte einloggen. Kunden müssen nur noch die  6-stelligen PIN eingeben, um ins e-Banking zu gelangen oder alle Mobile Banking Funktionen zu nutzen. Gleichzeitig wird bei bestimmten Transaktionen oder hohen Transaktionsvolumina aber nach wie vor die physische Access Card zwecks zusätzlicher Authentifizierung benötigt. Wie eine „bestimmte Transaktion“ oder ein „hohes Transaktionsvolumen“ definiert ist, kann der Kunde bei der UBS neu bis zu einem gewissen Grad selber bestimmen und gemäss seinen subjektiven Präferenzen und Empfindungen festlegen.

Convenience vs. Sicherheit – der Kunde entscheidet mit

Auch wenn der Leiter E-Banking der UBS, Stefan Brunner, versichert, dass das neu Login-Verfahren die gewohnt hohen Sicherheitsstandards erfüllt: Es ist nicht auszuschliessen, dass die gefühlte Sicherheit eines Durchschnittskunden mit diesem Login tiefer ist als mit der physischen Access Card. Nicht zuletzt vor diesem Hintergrund hat die UBS einige Funktionalitäten angepasst, welche die Sicherheit weiter erhöhen und dem Kunden die Möglichkeit geben, bei mehreren Funktionen und Transaktionen seine Sicherheit individuell zu definieren. Die Kunden können dabei drei verschiedene Arten von Sicherheitsmassnahmen selbst im e-Banking festlegen: Neben Limiten für einmalige Zahlungen können auch verschiedene Zahlungen ins Ausland im Bereich der „Ländereinschränkungen“ eingeschränkt und gewisse Konten für das e-Banking deaktiviert werden.

Limiten für Zahlungen:
Spannend finde ich vor allem die Möglichkeit, dass Kunden das (kumulierte) Limit für Zahlungen an neue Begünstigte selber bestimmen können. Das Limit wird dabei erst überschritten, wenn die Summe aller in dem Monat getätigten Zahlungen an neue Begünstigte das eingestellte Limit überschreitet. Alle Zahlungen an neue Begünstigte, die (insgesamt) unter diesem Limit bleiben, können ohne weitere Bestätigung durchgeführt werden. Wird das Limit jedoch überschritten, wird diese Transaktion (noch) nicht ausgeführt. In diesem Fall muss der Kunde die Zahlung mit der Access Card weiterhin zusätzlich bestätigen. Derweil also die monatlich anfallenden Miet- und Kita-Rechnungen problemlos mit dem vereinfachten Login bezahlt werden können, muss eine Rechnung an einen neuen Begünstigten, welcher seitens UBS nicht bereits bestätigt ist (zum Beispiel eine bisher einmalige Zahlung an eine Gartenbau-Unternehmung in der Höhe von CHF 2‘000) wieder mit der physischen Access Card bestätigt werden. Das Sicherheitsniveau kann der Kunde aber selber einstellen. Als Default muss jede Zahlung an neue, respektive nicht bereits freigegebene Begünstigte bestätigt werden. Der Kunde kann jedoch eine freie monatliche Limite bis CHF 1’500 setzen. Er kann also beispielsweise bestimmen, dass eine zusätzliche Abfrage über die physische Access Card bei Zahlungen unter z.B. CHF 200 nicht nötig ist. Dadurch entscheidet er selber, wie er das Verhältnis von Sicherheit und Convenience gewichtet.

Des Weiteren können Kunden demnächst jederzeit das monatliche Limit für Zahlungen durch e-Banking und Mobile Banking selbst einstellen. Als Default wird das Überweisungslimit von der UBS verwaltet. Kunden können dieses aber jederzeit selbst ändern.

Ländereinschränkungen:
Interessant finde ich auch die sogenannte „Geo Control“-Funktion. Kunden können mit dieser Funktion ihre Sicherheit beim Online und Mobile Banking erweitern, indem sie spezifische Länder auswählen, an die Online-Zahlungen nicht erlaubt sind. Dadurch werden entsprechende Auslandszahlungen blockiert. Auch hier kann der Kunde basierend auf seinem normalen Verhaltensmuster definieren, für welche Länder eine Zahlung blockiert ist. Wenn man eine Zahlung an einen Begünstigten in einem neuen Land tätigen möchte, welches man bis dahin sperrte, kann man jederzeit auch einzelne Länder freigeben. Die Schweiz und Liechtenstein sind immer freigegeben und können nicht gesperrt werden.

Konto sperren:
Kunden können jetzt jederzeit ihre Konten für Zahlungen im e-Banking und Mobile Banking deaktivieren, bzw. bei Bedarf jederzeit auch wieder aktivieren. So können sie bestimmen, welche Konten überhaupt als Belastungskonto bei der Erfassung von Zahlungen  im e-Banking ausgewählt werden können.

Als weitere Säule in der e-Banking-Sicherheit versucht die UBS die Möglichkeiten zur Erkennung von Anomalien bei Transaktionen – ähnlich wie das Kreditkartenunternehmen praktizieren – laufend zu erweitern (warum ist das eigentlich noch nicht Standard bei Banken, wenn es doch die Kreditkartenfirmen schon so lange erfolgreich praktizieren?). Wenn eine Transaktion oder auch deren Online-Erfassung nicht dem üblichen Kundenverhaltensmuster entspricht, wird sie entsprechend blockiert, resp. erst nach einer separaten Abfrage wieder freigegeben.

Fazit

Der bisherige aus meiner Sicht eher umständliche Login-Prozess beim e-Banking der UBS war zwar wenig kundenfreundlich, hat aber (gerade deshalb?) auf Kundenseite zu einem hohen Sicherheitsgefühl geführt. Mit dem neuen Authentifizierungsverfahren vereinfacht man diesen Prozess und reduziert dadurch möglicherweise die gefühlte Sicherheit. Da man dem Kunden aber die Kontrolle über die Sicherheit durch die oben beschriebenen Möglichkeiten gibt, sollte sich diese gefühlte Sicherheit wieder erhöhen. Daher begrüsse ich insbesondere die neuen Möglichkeiten der „user managed security“ sehr. So unterschiedlich die Kunden sind, so unterschiedlich sind auch deren individuelle Sicherheitspräferenzen. Insofern halte ich dieses Angebot im eBanking als innovativ und richtungsweisend.
Meines Wissens sind User-Managed Security Anpassungen im e-Banking einzigartig in der Schweiz. Bekannt sind mir solche Beispiele von umfassenderen User-Managed Security Einstellungen nur von den beiden türkischen Banken GarantiBank und YapiKredi.
Stefan Brunner geht davon aus, dass per Ende 2017 bereits 60 Prozent der e-Banking-Kunden mit aktiver Nutzung das neue Login-Verfahren verwenden werden. Ich persönlich erwarte deutlich tiefere Werte. In einem Jahr können wir hier möglicherweise ein erstes Zwischenfazit ziehen…