Banken ist es nicht gestattet, Nachrichten mit Links an Kunden zu versenden.

Die Staatsbank hat das Rundschreiben 50 zur Regelung der Sicherheit bei Online-Banking-Diensten herausgegeben, das Anfang 2025 in Kraft tritt.

Eine der im Rundschreiben genannten neuen Bestimmungen besteht darin, dass Banken ihren Kunden keine SMS-Nachrichten oder E-Mails mit Hyperlinks zum Zugriff auf elektronische Nachrichtenseiten senden dürfen, außer in Fällen, in denen die Kunden dies wünschen.

Diese Anfrage wurde im Zusammenhang mit betrügerischen Nachrichten unter Markennamen (Senden von Nachrichten an die Telefone von Kunden) gestellt, die in letzter Zeit weit verbreitet waren. Das bedeutet, dass die Betrugsnachricht im selben Thread wie die Banknachricht erscheint und Kunden auffordert, auf einen Link zuzugreifen, über den ihre Daten gestohlen werden, wodurch das Risiko eines Geldverlusts besteht.

SMS-Nachrichten mit dem Namen der Bank werden häufig über gefälschte BTS-Stationen an die Telefone der Benutzer gesendet. Da der Betrüger denselben Markennamen verwendet, wird das Telefon im Nachrichtenstream der Bank platziert und verleitet Kunden dazu, auf betrügerische Links zu klicken.

Wenn Sie Banken bitten, keine Nachrichten oder E-Mails mit Links zu versenden, können Sie Kunden dabei helfen zu erkennen, dass es sich bei Nachrichten mit dem Markennamen von KMU, die Kunden dazu verleiten, auf Links zu klicken, um Betrug handelt.

Neben den oben genannten Bestimmungen nennt das Rundschreiben auch zahlreiche weitere Inhalte zum Thema Sicherheit. Beispielsweise wird eine E-Banking-Anwendung die Funktion zum Merken von Passwörtern nicht unterstützen. Gleichzeitig müssen Kreditinstitute über Lösungen verfügen, um illegale Eingriffe in Mobile-Banking-Anwendungen, die auf den Mobilgeräten der Kunden installiert sind, zu verhindern und zu erkennen.

Für Privatkunden müssen Banken über eine Prüffunktion verfügen, wenn Kunden zum ersten Mal auf den Zugang zugreifen oder mit einem anderen Gerät als dem letzten Zugangsgerät darauf zugreifen. Die Kundenüberprüfung umfasst mindestens den Abgleich von SMS-OTP oder Voice-OTP und den Abgleich biometrischer Informationen, wenn Branchenvorschriften die Erfassung und Speicherung biometrischer Kundeninformationen vorschreiben.