Euro Security logo white
Sichere Zahlungen im digitalen Zeitalter: PSR-Anforderungen und die Relevanz von Device Identification

November 21, 2025

Kritische Infrastrukturen

Ein Gastbeitrag von Dirk Mayer, Head of Anti-Fraud Consultants bei RISK IDENT

Der digitale Zahlungsverkehr erfordert robuste Sicherheitsmaßnahmen, um dem zunehmenden Betrug entgegenzuwirken. Die Payment Services Regulation (PSR) legt hierfür umfassende Rahmenbedingungen fest. Ein Schlüsselelement zur Erfüllung dieser Anforderungen ist die Device Identification. Die praktische Bedeutung zeigt sich im Urteil des Oberlandesgerichts (OLG) Dresden und den ersten Erkenntnissen zur Haftungsumkehr aus Großbritannien.

Die Anforderungen der PSR an die Betrugsprävention

Die PSR ist auf dem Weg. Am 16.6.25 wurde der neue Vorschlag vom Rat angenommen. Der nächste Schritt sind die Trilogverhandlungen. Die Verabschiedung wird zum Jahresende erwartet. Die neue Direktive zielt darauf ab, die Sicherheit und Effizienz elektronischer Zahlungen zu erhöhen. Wesentliche Punkte betreffen die Betrugsprävention und die Haftung.

Sie schreibt Zahlungsdienstleistern (ZDL) eine Reihe von Pflichten vor:
  • Starke Kundenauthentifizierung (SCA) bei Zahlungsvorgängen: Für uns nichts Neues. Die Aktivierung einer mobilen Anwendung auf einem neuen Gerät erfordert ebenfalls SCA und die Nutzung unterschiedlicher Kommunikationskanäle.
  • Name/IBAN-Abgleich: Auch dies ist nicht neu und bereits ab Oktober 2025 verpflichtend.
  • Transaktionsüberwachungsmechanismen: ZDL sind verpflichtet, effektive Systeme zur Transaktionsüberwachung zu implementieren, die potenziell betrügerische Transaktionen erkennen und verhindern sollen. Das klingt selbstverständlich, hier haben jedoch viele Institute noch einen erheblichen Nachholbedarf.
    Die vorgeschriebenen Mechanismen basieren auf der Analyse früherer Zahlungsvorgänge. Dabei dürfen explizit auch Sitzungs- und Gerätedaten, einschließlich IP-Adressbereiche und Gerätekennungen (Device Identifiers), genutzt werden. Ein “ungewöhnlicher” Zahlungsvorgang sollte eine weitere Untersuchung auslösen.
  • Betrugsdaten-Sharing: Die PSR fordert den Informationsaustausch zwischen ZDL über betrügerische Aktivitäten. Wesentlich dürften hier das Pooling von Kontonummern (IBANs) und Devices Identifier werden, die aus Betrugsversuchen bekannt sind.
  • Verhinderung von Spoofing: Zur Verhinderung von Spoofing wird die Zusammenarbeit von Telekommunikationsunternehmen und ZDL gefordert.
  • Haftungsregelung: Der ZDL haftet grundsätzlich für nicht autorisierte Zahlungsvorgänge, so weit, so bisheriges Recht. Entgegen der bisherigen Praxis reicht hierbei jedoch nicht der Nachweis der Autorisierung, denn die Enthaftung setzt grobe Fahrlässigkeit oder eine betrügerische Absicht des Zahlers voraus und die Beweislast liegt beim ZDL. Insbesondere gilt dies für Fälle von Impersonation Fraud, bei dem ein Kunde glaubt, auf eine Anforderung der Bank zu reagieren. Bei Nichteinhaltung der Autorisierungsanforderungen der PSR haftet das Institut. Der fehlende Einsatz von Sicherungsoptionen wird zumindest die Argumentation der Zahlungsdienstleister zur Enthaftung schwer beeinträchtigen.

Erste Erfahrungen aus Großbritannien stützen die PSR

Die Bedenken, Kunden könnte die veränderte Haftungsregelung zu einem unvorsichtigen Handeln oder gar zu einer Zusammenarbeit mit Betrügern verleiten (Moral Hazard), sind kaum mehr haltbar: Die ersten Ergebnisse aus Großbritannien zeigen, dass nur 2 Prozent der Rückforderungen wegen grober Fahrlässigkeit der Kunden abgelehnt wurden.
Gleichzeitig sollte die gemeldete Erstattungsquote von 86 Prozent ein Weckruf für europäische Zahlungsdienstleister sein: Der Wert liegt in Deutschland aktuell nicht einmal bei der Hälfte. Die Praxis der Rückerstattung verschob sich in UK bereits mit der sich abzeichnenden gesetzlichen Regelung; dennoch ist die Quote seit der Einführung des Gesetzes am 07. Oktober 2024 noch einmal deutlich gestiegen.

Das Urteil des OLG Dresden – Konsequenzen für die Praxis

Das Urteil des OLG Dresden vom 05.05.2025 illustriert die Komplexität der Haftungsverteilung bei Online-Betrugsfällen. In diesem Fall wurde ein Bankkunde Opfer eines “Social Engineering”-Angriffs. Betrüger erlangten über Phishing-E-Mails und gefälschte Anrufe (Spoofing) Zugangsdaten zum Online-Banking des Kunden und manipulierten ihn dazu, “Aufträge” in seiner TAN-App freizugeben. Das Geld war verloren, ein absoluter Standardfall.

Das Gericht stellte fest:
  • Die Zahlungen waren vom Kunden nicht autorisiert, da er im Zeitpunkt der Freigaben nicht wusste, dass er Überweisungen tätigte, sondern von einer “technischen Aktualisierung” ausging.
  • Die Sparkasse konnte die technische Authentifizierung der Vorgänge belegen; das S-pushTAN-Verfahren wurde als SCA-konform bewertet.
  • Das Gericht sah eine grob fahrlässige Pflichtverletzung des Kunden im Umgang mit Phishing-Nachrichten und gefälschten Anrufen, sowie in der mangelnden Überprüfung der App-Anzeigen. Der Kunde hatte die ihm zugänglichen Sicherheitshinweise der Bank nicht beachtet und sich über deutliche Warnsignale hinweggesetzt.
  • Entscheidend war jedoch der Aspekt eines Mitverschuldens der Bank. Das OLG Dresden kürzte den Schadensersatzanspruch der Bank gegenüber dem Kunden um 20 Prozent. Der Grund: Die Sparkasse hatte keine starke Kundenauthentifizierung beim Login ins Online-Banking verlangt. Dies ermöglichte den Betrügern, nach einem einfachen Login mit nur Benutzername und statischer PIN, Zugang zu sensiblen Daten zu erhalten. Diese Nachlässigkeit bei der Zugangssicherung wurde als “mitursächlich” für den Betrug angesehen, da sie vorbereitende Maßnahmen der Betrüger ohne weiteres Zutun des Kunden ermöglichte.

IP-Adresse und die Notwendigkeit qualitativ hochwertigerer Device Identification

Ein interessanter Punkt im Urteil ist die Rolle der IP-Adresse:
  • Die Sparkasse hatte festgestellt, dass die IP-Adressen, von denen die betrügerischen Online-Banking-Zugriffe ausgingen, nicht den üblichen IP-Adressen des Klägers entsprachen.
  • Das Gericht stellte jedoch fest, dass die Abweichung der IP-Adresse allein keine hinreichende Grundlage für eine Warnung oder die Verweigerung der Transaktionsausführung war. Es führte aus, dass eine IP-Adresse kein zur Kundenauthentifizierung geeignetes Merkmal sei. da sie “keine belastbaren Rückschlüsse auf die Person des Nutzers zulässt”. Die Transaktionsüberwachungsmechanismen der Bank erkannten in den vorliegenden Fällen (Limiterhöhungen, Überweisungen an unbekannte Konten) keine “Auffälligkeiten”, die über das übliche Kundenverhalten hinausgingen und eine Intervention gerechtfertigt hätten.
  • Dennoch hat das OLG Dresden die Teilschuld der Sparkasse explizit mit dem Fehlen einer starken Kundenauthentifizierung beim Login in das Online-Banking begründet, die den Betrügern den Zugriff auf sensible Daten ermöglichte.
Hier setzt die qualitativ höhere Bedeutung der Device Identification an:
  • Während eine IP-Adresse lediglich den Netzwerk-Zugangspunkt identifiziert und oft dynamisch ist oder von Dritten genutzt werden kann, erfasst die Device Identification spezifische, persistente Merkmale des Endgeräts, z.B. Hardware-Konfiguration, Software-Fingerabdrücke, Systemfonts, installierte Plugins, Verhaltensmuster bei der Gerätenutzung. Diese “Device Identifiers” sind viel stabiler und eindeutiger als eine IP-Adresse – und sie sind als “Besitz” zulässiger Faktor der SCA.
  • Die PSR erlaubt explizit die Verarbeitung von “Gerätedaten, einschließlich Gerätekennungen” für die Transaktionsüberwachung. Dies unterstreicht die regulatorische Anerkennung ihres Wertes für die Prävention.
  • Im vorliegenden Fall hätte eine Lösung, die Device Identification als Teil der Transaktionsüberwachung (bzw. hier als Element der SCA beim Login) einsetzt, den Zugriff der Betrüger erkannt. Die Erkennung eines unbekannten Geräts hätte eine sofortige, spezifische Warnung oder eine zusätzliche, gezielte SCA-Anforderung auslösen können, um den Zugriff der Betrüger auf sensible Daten zu verhindern.

Die Entscheidung des OLG ist dabei gerade unter den neuen Anforderungen der PSR sehr ernst zu nehmen. Die Maßnahmen der beklagten Sparkasse waren nach dem aktuellen Stand der Anforderungen zwar ausreichend, entsprachen aber nicht dem aktuellen Stand der Technik in Bezug auf die Betrugsprävention.

Fazit

Das Urteil des OLG Dresden ist ein klares Signal an alle Zahlungsdienstleister: Der konsequente Aufbau einer Betrugsprävention unter Einsatz der aktuellen Standards ist essenziell für die Minimierung von Betrugsrisiken und zur Vermeidung von Mitverschuldensvorwürfen. Eine weitere Ausrichtung der Rechtsprechung an den klar formulierten Anforderungen der PSR wäre nicht überraschend. Bei einer der PSR vergleichbaren Rechtslage sollten die Erfahrungen aus UK Rückerstattungen ein klares Signal sein. Der Business-Case ist unfraglich.

Related Articles

Bedeutung von Zusammenarbeit und Innovation im Fokus

Nov. 24, 2025

Herrmann beim Forum Sicherheit und Innovation der Friedrich-Alexander-Universität Erlangen-Nürnberg Beim Forum Sicherheit und Innovation an der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) hat Bayerns Innenminister Joachim Herrmann am Montag die zentrale...

OneSat von Airbus für den ersten omanischen Satelliten ausgewählt

Nov. 24, 2025

Space Communication Technologies (SCT), der nationale Satellitenbetreiber Omans, hat Airbus Defence and Space einen Auftrag für OmanSat-1, einem hochmodernen, vollständig rekonfigurierbaren, hochdurchsatzfähigen OneSat-Telekommunikationssatelliten einschließlich des...

Black Friday: Die Hälfte geht auf Schnäppchenjagd

Nov. 24, 2025

Im Schnitt werden 312 Euro ausgegeben – rund 11 Prozent mehr als im Vorjahr Online-Shops aus China polarisieren: Die eine Hälfte meidet sie, die andere Hälfte hat dort bereits bestellt 4 von 10 Jüngeren würden die KI allein auf Einkaufsbummel schicken Wenn mit dem...

Share This