Menü

Online-Banking und PSD2: Neue Regeln ab September

Mit der Zweiten Europäischen Zahlungsdiensterichtlinie (PSD2) verändert sich das elektronische Banking. Betroffen sind vor allem TAN-Verfahren und das Login.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 387 Beiträge
Von

Wer am 14. September noch eine TAN vom Zettel nutzen will, auch iTAN-Verfahren genannt, dürfte eine böse Überraschung erleben: Die TANs werden nicht mehr funktionieren. Hintergrund ist die Zweite Europäischen Zahlungsdiensterichtlinie PSD2, die neben mehr Wettbewerb im Finanzsektor auch für mehr Sicherheit sorgen soll.

Das betrifft unter anderem die iTAN: Da sie sich nicht dynamisch aus den Überweisungsdaten generieren lässt und bis zur Abfrage zeitlich unbegrenzt gültig ist, hat sie ein grundsätzliches Sicherheitsproblem. Vor allem bei Phishing-Angriffen ist sie äußerst verwundbar. Daher wird die iTAN ab 14. September 2019 EU-weit verboten. Und es stehen noch etliche weitere Änderungen im Online-Banking an; c't beleuchtet diese in der aktuellen Ausgabe 18/2019 genauer.

Aber auch beim elektronischen Bezahlen ändert sich mit der PSD2 einiges, für einige Zahlarten wird die Zwei-Faktor-Authentifizierung Pflicht. Wenn etwa zusätzlich zum Passwort ein Passcode auf das Mobiltelefon geschickt und im PC-Browser abgefragt wird, ist das kein optional zuschaltbares Sicherheitsfeature mehr. Es ist Pflicht. Immerhin ist die Zwei-Faktor-Authentifizierung nicht für alle Zahlarten obligatorisch, insbesondere nicht für die so beliebten Lastschriften und Rechnungskäufe (siehe dazu: PSD2: Was sich ab September 2019 beim elektronischen Bezahlen ändert)

Neue Regeln beim Online-Banking und elektronischen Bezahlen

Erklärtes Ziel der PSD2 ist es, den elektronischen Zahlungsverkehr innerhalb der EU durchschaubarer, bequemer und vor allem sicherer zu machen. Im Grundsatz gilt sie sowohl für Online-Geschäfte als auch für den stationären Handel. Die Richtlinie sieht zudem spürbare Änderungen für elektronische Bankgeschäfte vor.

Einige Banken schaffen im Zuge der Umstellungen, zu denen sie durch PSD2 verpflichtet sind, auch die TAN per SMS ab. Für die sogenannte mTAN gibt es in der Tat etablierte Angriffsszenarien. So kann ein Betrüger beispielsweise das Endgerät, auf dem das Online-Banking betrieben wird, mit einem Trojaner infizieren; beispielsweise über eine Phishing-Mail oder eine beliebige manipulierte App – das passiert vor allem dann gerne, wenn man die App-Quelle nicht genau kennt. Mithilfe der ausgespähten Daten besorgt er sich im Namen des Opfers eine Zweit-SIM-Karte und kann anschließend versteckt angestoßene Überweisungen ausführen.

Zwar bleibt die mTAN gemäß PSD2 erlaubt, das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät aber von ihrer Verwendung ab. Einige Banken haben dies zum Anlass genommen, das mTAN-Verfahren in Kürze abzuschalten und ihre Kunden aufzufordern, auf andere Verfahren umzusteigen. Ob man als Kunde betroffen ist, erfährt man im Zweifel bei seinem Kreditinstitut.

Alle anderen uns bekannten Verfahren, also pushTAN, chipTAN, photoTAN, appTAN und signaturTAN, bleiben vorerst erlaubt – egal, ob man ein dediziertes Gerät oder sein Smartphone dafür nutzt.

Eine weitere wichtige Änderung betrifft das Login ins Online-Banking: Hier ist in Zukunft grundsätzlich ein zweiter Faktor wie bei einer Überweisung erforderlich, in der Praxis also eine TAN. Die Richtlinie spricht an dieser Stelle von der sogenannten Starken Kundenauthentifizierung, die oft unter ihrer englischen Abkürzung "SCA" auftaucht (Strong Customer Authentication).

Die SCA modifiziert die Zwei-Faktor-Authentifizierung: Die beiden Faktoren müssen stets aus zwei der drei Kategorien Besitz, Wissen und Inhärenz stammen. Unter Besitz versteht die PSD2 dabei beispielsweise eine Bankkarte oder ein fest an den Nutzer gebundenes Smartphone. Wissen ist wie bisher vor allem ein PIN oder ein Passwort. Inhärenz meint biometrische Merkmale des Kunden, also beispielsweise einen Fingerabdruck oder einen Gesichtsscan.

Die Kreditinstitute können bei verschiedenen Vorgängen Ausnahmen von der SCA implementieren. Ob sie die möglichen Ausnahme anwenden wollen, entscheiden die Banken und Sparkassern selbst. Kunden kommen deshalb nicht umhin, sich bei ihrem jeweiligen Geldhaus zu informieren und die Mitteilungen zu lesen, die diese in den letzten Wochen per Post oder elektronisch verschickt haben.

Beim Login haben die Kreditinstitute die Möglichkeit, die Frequenz bei der Abfrage des zweiten Faktors auf bis zu 90 Tage auszudehnen. Die zweite mögliche Ausnahme betrifft Kleinbeträge: Die Bank oder Sparkasse kann Überweisungen bis 30 Euro von der SCA ausnehmen. Sie muss aber spätestens nach der fünften solchen Überweisung oder bei Überschreiten einer kumulierten Summe von 100 Euro erneut einen zweiten Faktor abfragen.

Die Bank kann den Kunden außerdem anbieten, vertrauenswürdige Empfänger auf eine Whitelist mit entsprechenden IBANs zu setzen. Viertens kann sie eine Ausnahme machen, wenn das Zielkonto ebenfalls dem Kunden gehört und beim selben Bankhaus geführt wird. Auch Daueraufträge gehören zu den möglichen Ausnahmen.

Für Unsicherheit sorgte in den vergangenen Wochen die Frage, ob Home- und Multibanking über lokale Anwendungen auf dem Desktop weiter zulässig ist. Schließlich müssen die Banken und Sparkassen in Zukunft auch eine dedizierte Schnittstelle anbieten, für die die PSD2 bestimmte Standards einfordert. Vereinfachte Antwort: Ja, Homebanking über HBCI/FinTS darf bankseitig weiterhin angeboten werden. Fast alle Banken, die bisher die zugehörige FinTS-Schnittstelle bereitgestellt haben, werden dies vorerst auch weiterhin tun. Eine Ausnahme ist die ING Deutschland, die nur ein eingeschränktes Angebot bereithalten wird.

Und auch die Anbieter von Home- und Multibanking-Software wollen ihre Anwendungen bis 14. September entsprechend angepasst haben. Inwieweit es Workarounds für Banken wie die ING geben wird, hängt von den Anbietern ab.

(mon)