Die Haftung verschiebt sich

Mit der kommenden Zahlungsdiensteregulierung der Europäischen Union verschiebt sich die Haftung für Betrug spürbar in Richtung der Banken und Zahlungsdienstleister. Was bisher oft beim getäuschten Kunden hängenblieb, wird künftig stärker den Instituten zugeordnet, insbesondere bei bestimmten Betrugsformen, bei denen sich Angreifer als die Bank ausgeben. Die politische Einigung über das neue Regelwerk ist Ende 2025 erzielt worden, und die Richtung ist klar: mehr Verantwortung für die Institute.

Diese Verschiebung ist kein technisches Detail, sondern eine grundlegende Veränderung der Anreize. Solange der Kunde den Schaden trug, hatte die Bank einen begrenzten finanziellen Anreiz, in die Betrugsabwehr zu investieren. Wenn die Bank den Schaden trägt, ändert sich das schlagartig: Jeder erfolgreiche Betrug wird zu ihrem unmittelbaren Verlust. Die Betrugsabwehr wird damit von einer Frage des Kundenservice zu einer Frage der eigenen Bilanz.

Warum das die Prüfprozesse betrifft

Wenn die Bank für den Betrug haftet, rücken ihre Prüfprozesse in den Mittelpunkt. Denn es sind die Prüfprozesse, die darüber entscheiden, ob ein betrügerischer Vorgang erkannt und gestoppt wird oder ob er durchgeht. Eine Bank, deren Prüfprozesse Betrug zuverlässig erkennen, trägt wenig Schaden. Eine Bank, deren Prüfprozesse veraltet sind und Betrug durchlassen, zahlt für jeden Fall, den ein Kunde meldet. Die Qualität der Prüfprozesse wird damit unmittelbar bilanzwirksam.

Das betrifft besonders die Authentifizierung, also die Prüfung, ob derjenige, der einen Vorgang auslöst, auch der ist, der er vorgibt zu sein. Eine starke, moderne Authentifizierung erschwert den Betrug, weil sie es dem Angreifer schwer macht, sich als der Kunde auszugeben. Eine schwache Authentifizierung lädt den Betrug ein. Wer die Authentifizierung nicht modernisiert, schafft die Einfallstore, durch die der Betrug kommt, für den die Bank nun haftet.

Die neue Rechnung

Die Verschiebung der Haftung verändert die wirtschaftliche Rechnung der Betrugsabwehr. Bisher musste die Bank den Aufwand für die Modernisierung der Prüfprozesse gegen einen diffusen Nutzen abwägen, der vor allem dem Kunden zugutekam. Künftig steht dem Aufwand ein konkreter, eigener Nutzen gegenüber: die vermiedenen Schäden, für die sonst die Bank aufkommen müsste. Die Investition in die Betrugsabwehr rechnet sich damit unmittelbar.

Diese neue Rechnung sollte jede Bank anstellen. Wie hoch sind die zu erwartenden Betrugsschäden unter der neuen Haftungsregel? Wie viel davon ließe sich durch modernisierte Prüfprozesse und eine starke Authentifizierung vermeiden? Was kostet die Modernisierung? Aus diesen Größen ergibt sich, wie dringlich die Modernisierung ist, und in den meisten Fällen wird sie sich als lohnend erweisen, weil die vermiedenen Schäden den Aufwand übersteigen.

Was moderne Betrugsabwehr leistet

Moderne Betrugsabwehr beruht nicht mehr allein auf starren Regeln, sondern auf einer Analyse des Verhaltens. Sie erkennt, wenn ein Vorgang vom üblichen Muster des Kunden abweicht, wenn eine Anmeldung von einem ungewöhnlichen Ort kommt, wenn ein Zahlungsempfänger neu und verdächtig ist. Diese verhaltensbasierte Analyse fängt Betrug ab, den starre Regeln durchlassen, und sie passt sich an neue Betrugsmuster an, statt auf veraltete Regeln angewiesen zu sein.

Zugleich muss die moderne Betrugsabwehr die berechtigten Vorgänge möglichst ungestört lassen. Eine Abwehr, die zu viele echte Vorgänge blockiert, verärgert die Kunden und behindert das Geschäft. Die Kunst besteht darin, den Betrug zu erkennen, ohne die berechtigten Kunden zu behelligen. Genau hier zeigt sich die Qualität der Systeme: Sie müssen treffsicher genug sein, um den Betrug zu fangen und die echten Kunden durchzulassen.

Authentifizierung als Schwachstelle

Die meisten Betrugsfälle setzen an der Authentifizierung an. Der Angreifer versucht, sich als der Kunde auszugeben, um in dessen Namen zu handeln, oder er bringt den Kunden dazu, die Authentifizierung selbst durchzuführen, ohne den Betrug zu durchschauen. Eine schwache Authentifizierung, die sich leicht überwinden oder austricksen lässt, ist deshalb die Einladung zum Betrug, für den die Bank künftig haftet. Die Stärke der Authentifizierung entscheidet maßgeblich über das Betrugsrisiko.

Moderne Authentifizierung verbindet mehrere Faktoren und prüft den Kontext. Sie fragt nicht nur ein Passwort ab, sondern verlangt einen zweiten Faktor, und sie prüft, ob der Vorgang zum üblichen Verhalten des Kunden passt. Eine Anmeldung von einem unbekannten Gerät, aus einem ungewöhnlichen Land oder zu einer untypischen Zeit löst zusätzliche Prüfungen aus. Diese kontextbezogene, mehrstufige Authentifizierung macht es dem Angreifer schwer, sich als der Kunde auszugeben, und senkt damit das Betrugsrisiko erheblich.

Die Grenze der Technik: der getäuschte Kunde

Eine besondere Herausforderung sind die Betrugsfälle, bei denen nicht die Technik überwunden, sondern der Kunde getäuscht wird. Der Angreifer bringt den Kunden dazu, eine Zahlung selbst auszulösen, indem er ihn täuscht, etwa indem er sich als die Bank ausgibt. Hier versagt die beste Authentifizierung, weil der Kunde sich ja korrekt authentifiziert, nur eben für einen Vorgang, den er aufgrund der Täuschung für berechtigt hält. Diese Fälle sind besonders heikel, weil die neue Regulierung gerade bei der Vortäuschung der Bankidentität die Haftung verstärkt zur Bank verschiebt.

Gegen diese Fälle hilft nur eine Kombination aus Aufklärung und intelligenter Überwachung. Die Bank muss ihre Kunden über die Betrugsmaschen aufklären, damit sie die Täuschung durchschauen. Und sie muss die Vorgänge überwachen, um verdächtige Muster zu erkennen, etwa eine ungewöhnliche Zahlung an einen neuen Empfänger, die auf eine Täuschung hindeuten könnte. Wo die Überwachung anschlägt, kann die Bank eingreifen, bevor der Schaden entsteht, und so auch die Fälle abfangen, in denen der Kunde getäuscht wurde.

Prozesse statt Einzelmaßnahmen

Die Betrugsabwehr unter der neuen Haftungslage ist keine Sache einzelner Maßnahmen, sondern durchdachter Prozesse. Es genügt nicht, hier eine starke Authentifizierung und dort eine Überwachung zu haben. Die Maßnahmen müssen zu einem Prozess verbunden sein, der den Vorgang von der Auslösung bis zur Ausführung begleitet und an den richtigen Stellen prüft. Ein solcher Prozess fängt den Betrug an mehreren Punkten ab und lässt ihn nicht durch, weil eine einzelne Maßnahme versagt hat.

Diese Prozesse müssen zudem überprüfbar und anpassbar sein. Die Betrugsmaschen entwickeln sich weiter, und die Prozesse müssen mitwachsen. Eine Bank, die ihre Betrugsabwehr als statische Einrichtung behandelt, fällt zurück, sobald die Angreifer neue Wege finden. Eine Bank, die ihre Prozesse laufend überprüft und an die neuen Maschen anpasst, bleibt den Angreifern auf den Fersen. Unter der neuen Haftungslage ist diese laufende Anpassung kein Luxus, sondern eine wirtschaftliche Notwendigkeit.

Der Kunde als Verbündeter

Bei aller Technik und allen Prozessen bleibt der Kunde ein wichtiger Verbündeter in der Betrugsabwehr. Ein aufgeklärter, wachsamer Kunde, der die Betrugsmaschen kennt und im Zweifel nachfragt, ist eine zusätzliche Verteidigungslinie, die kein System ersetzt. Die Bank, die ihre Kunden aufklärt und in die Lage versetzt, den Betrug zu erkennen, gewinnt einen Verbündeten, der ihr hilft, die Schäden zu vermeiden, für die sie nun haftet.

Diese Aufklärung ist deshalb keine Nebensache, sondern Teil der Betrugsabwehr. Eine Bank, die ihre Kunden regelmäßig und verständlich über die aktuellen Maschen informiert, senkt das Betrugsrisiko, weil ihre Kunden die Täuschung eher durchschauen. Die Investition in die Aufklärung der Kunden zahlt sich damit unter der neuen Haftungslage unmittelbar aus, denn jeder Kunde, der einen Betrug durchschaut, erspart der Bank den Schaden.

Jetzt handeln, bevor die Schäden kommen

Die Verschiebung der Haftung wird wirksam, ob die Banken vorbereitet sind oder nicht. Wer seine Prüfprozesse und seine Authentifizierung jetzt modernisiert, ist vorbereitet, wenn die Haftung greift, und vermeidet die Schäden, die sonst auf ihn zukämen. Wer wartet, zahlt für jeden Betrugsfall, der durch seine veralteten Prozesse rutscht, und holt die Modernisierung dann unter dem Druck der Schäden nach.

Mehr zum Thema: PSD3 ist beschlossen. Banken haben 18 Monate, um ihre Authentifizierung zu bauen. und PSD3 und das Consent-Dashboard: Warum Kunden künftig ihre Zustimmungen verwalten können müssen..

Wir helfen Ihnen, Ihre Prüfprozesse und Ihre Authentifizierung auf die neue Haftungslage vorzubereiten, sodass Sie die Betrugsschäden vermeiden, für die Sie künftig haften. Strategie und Umsetzung aus einer Hand. Beginnen Sie mit einer Potenzialanalyse.