IBAN-Namensabgleich wird Pflicht für EU-Banken, Betrugsgefahr bleibt

Banken müssen künftig bei Überweisungen im Euroraum vor der Freigabe prüfen, ob der Name des Zahlungsempfängers und die eingegebene internationale Bankkontonummer (IBAN) mit den Daten des Zielkontos übereinstimmen. Der Zahlende wird binnen Sekunden über das Ergebnis des Checks informiert und kann auf dieser Basis entscheiden, ob er das Geld transferiert oder nicht. Die Banken müssen entsprechende EU-Vorgaben ab dem 9. Oktober umsetzen.

Bisher müsse ein Zahler den Daten vertrauen, die ihn per Rechnung oder E-Mail erreichen, sagt Ingo Beyritz, Leiter Zahlungsverkehr beim Bundesverband deutscher Banken (BdB). „Allein anhand dieser Daten können Sie als Zahler nicht entscheiden: Sind das saubere Daten?“ Künftig würden Daten zwischen Geldhäusern für den Zahler transparent abgeglichen, bevor die Zahlung ausgeführt wird, erläutert Beyritz. Denn obwohl nach Umfragen bis zu zwei Drittel der Menschen anderes vermuten, prüft bisher keine Bank, ob die IBAN und der Empfängername zusammengehören.

Weiterer Baustein der EU gegen Betrug im digitalen Raum

Diese sogenannte Empfängerüberprüfung (Verification of Payee, kurz: VOP) ist Teil einer EU-Verordnung (EU 2024/886). Ziel ist, insbesondere beim Online-Banking für zusätzliche Sicherheit zu sorgen. Die Empfängerüberprüfung bei Euro-Überweisungen wird auch am Bankschalter durchgeführt, wenn dort ein Überweisungsbeleg abgeben wird. Vom 9. Juli 2027 an gilt die EU-Vorgabe innerhalb der gesamten Europäischen Union.

Zwar hatte die Zweite Europäische Zahlungsdiensterichtlinie (PSD2) die Banken beim Thema Sicherheit mit der obligatorischen Zwei-Faktor-Authentifizierung stärker an die Kandare genommen. Die PSD2 entstand allerdings schon zwischen 2013 und 2015. Da legten Experten und Politik ihr Hauptaugenmerk darauf, dass Betrüger allein mit erbeuteten Onlinebankingpasswörtern keinen Schaden mehr anrichten können.

Enkeltrick und Co

Doch längst haben Cyberkriminelle sich darauf eingestellt. Mit Maschen, von denen inzwischen allzu oft zu lesen ist: Täter täuschen ein potenzielles Opfer, sodass dieses glaubt, dass eine IBAN zu einem bestimmten Empfänger gehört. An diesen überweist es dann Geld, obwohl das Konto einer ganz anderen Person gehört. Meist bauen die Täter zusätzlich zeitlichen Druck auf, gaukeln zum Beispiel eine behördliche Strafe, eine drohende Inhaftierung, eine vom angeblichen Bankberater erkannte Fehlbuchung oder einen notleidenden Angehörigen vor – Senioren werden zum Beispiel häufig Opfer des „Enkeltricks“. Der scheinbare Zeitdruck soll die Opfer davon abhalten, ihr Handeln zu überdenken.

In gutem Glauben authentifizieren sich die Opfer willentlich. Zupass kommt den Tätern dabei auch die SEPA-Echtzeitüberweisung, nach der die Empfängerbank die Überweisung innerhalb von zehn Sekunden gutschreiben muss.

Nicht immer muss es sich um Betrug handeln, wenn die Bank bei einer Empfängerüberprüfung dem Kunden zurückmeldet, dass mit den Daten etwas nicht stimmt. Etwa dann, wenn auf der Überweisung der Name steht, den der Zahlende vom Ladenschild kennt, die Bank das Konto aber unter dem Namen des Firmeninhabers führt.

Social Engineering bleibt möglich

Ein Allheilmittel gegen die psychologischen Strategien der Betrüger ist der neue IBAN-Namensabgleich jedoch nicht. In einem typischen Szenario lassen die Täter das Opfer zum Beispiel glauben, an eine Organisation zu überweisen, obwohl das Empfängerkonto einer Privatperson gehört. Zwar würden die neuen Sicherheitsvorkehrungen hier anschlagen. Doch dann müsste es dem Täter nur gelingen, das Opfer durch eine plausibel erscheinende Erklärung zum Ignorieren der Warnmeldung zu überreden.

Denn mit der neuen Überprüfung müssen die Banken zwar ihre Kunden auf Diskrepanzen hinweisen – es steht dem Kunden aber frei, den Betrag dennoch zu transferieren. Bevor jemand auf diese Weise zum Betrugsopfer wird, gibt es nun aber zumindest eine weitere Hürde.

Neuer Service soll möglichst kostenlos sein

Die Privatbanken in Deutschland sind aus Sicht ihres Dachverbandes BdB technisch auf die Umsetzung vorbereitet. „Wir erwarten keine Probleme dabei“, sagt Beyritz.

Zusätzliche Entgelte und Gebühren für die Kundschaft sollte der neue Service nach Maßgabe der Europäischen Union nicht nach sich ziehen. Der BdB informiert: „Weder Zahler noch Zahlungsempfänger zahlen für die Empfängerüberprüfung.“

Nicht alle Staaten im Euro-Zahlungsverkehrsraum machen mit

Der Euro-Zahlungsverkehrsraum („Single Euro Payments Area“/SEPA) umfasst die 27 Staaten der Europäischen Union sowie Großbritannien, Norwegen, Liechtenstein, Island, die Schweiz, Monaco, Andorra, Vatikanstadt und San Marino. Die IBAN („International Bank Account Number“) soll Überweisungen, Lastschriften und Kartenzahlungen in diesen 36 Ländern grenzüberschreitend standardisieren und so beschleunigen.

Die Nicht-EU-Staaten Island, Liechtenstein und Norwegen können entscheiden, ob sie die EU-Vorgaben zur Empfängerüberprüfung übernehmen. Für Überweisungen von und nach Großbritannien sowie der Schweiz ist keine Empfängerüberprüfung vorgesehen.

(nen)