zurück zum Artikel

Online-Banking und PSD2: Neue Regeln ab September

| Markus Montz

Mit der Zweiten EuropÀischen Zahlungsdiensterichtlinie (PSD2) verÀndert sich das elektronische Banking. Betroffen sind vor allem TAN-Verfahren und das Login.

Wer am 14. September noch eine TAN vom Zettel nutzen will, auch iTAN-Verfahren genannt, dĂŒrfte eine böse Überraschung erleben: Die TANs werden nicht mehr funktionieren. Hintergrund ist die Zweite EuropĂ€ischen Zahlungsdiensterichtlinie PSD2, die neben mehr Wettbewerb im Finanzsektor auch fĂŒr mehr Sicherheit sorgen soll.

Das betrifft unter anderem die iTAN: Da sie sich nicht dynamisch aus den Überweisungsdaten generieren lĂ€sst und bis zur Abfrage zeitlich unbegrenzt gĂŒltig ist, hat sie ein grundsĂ€tzliches Sicherheitsproblem. Vor allem bei Phishing-Angriffen ist sie Ă€ußerst verwundbar. Daher wird die iTAN ab 14. September 2019 EU-weit verboten. Und es stehen noch etliche weitere Änderungen im Online-Banking [1] an; c't beleuchtet diese in der aktuellen Ausgabe 18/2019 genauer.

Aber auch beim elektronischen Bezahlen Ă€ndert sich mit der PSD2 einiges, fĂŒr einige Zahlarten wird die Zwei-Faktor-Authentifizierung Pflicht. Wenn etwa zusĂ€tzlich zum Passwort ein Passcode auf das Mobiltelefon geschickt und im PC-Browser abgefragt wird, ist das kein optional zuschaltbares Sicherheitsfeature mehr. Es ist Pflicht. Immerhin ist die Zwei-Faktor-Authentifizierung nicht fĂŒr alle Zahlarten obligatorisch, insbesondere nicht fĂŒr die so beliebten Lastschriften und RechnungskĂ€ufe (siehe dazu: PSD2: Was sich ab September 2019 beim elektronischen Bezahlen Ă€ndert [2])

Neue Regeln beim Online-Banking und elektronischen Bezahlen
Neue Regeln beim Online-Banking und elektronischen Bezahlen

ErklĂ€rtes Ziel der PSD2 ist es, den elektronischen Zahlungsverkehr innerhalb der EU durchschaubarer, bequemer und vor allem sicherer zu machen. Im Grundsatz gilt sie sowohl fĂŒr Online-GeschĂ€fte als auch fĂŒr den stationĂ€ren Handel. Die Richtlinie sieht zudem spĂŒrbare Änderungen fĂŒr elektronische BankgeschĂ€fte vor.

Streitfall TANs per SMS

Einige Banken schaffen im Zuge der Umstellungen, zu denen sie durch PSD2 verpflichtet sind, auch die TAN per SMS ab. FĂŒr die sogenannte mTAN gibt es in der Tat etablierte Angriffsszenarien. So kann ein BetrĂŒger beispielsweise das EndgerĂ€t, auf dem das Online-Banking betrieben wird, mit einem Trojaner infizieren; beispielsweise ĂŒber eine Phishing-Mail oder eine beliebige manipulierte App – das passiert vor allem dann gerne, wenn man die App-Quelle nicht genau kennt. Mithilfe der ausgespĂ€hten Daten besorgt er sich im Namen des Opfers eine Zweit-SIM-Karte und kann anschließend versteckt angestoßene Überweisungen ausfĂŒhren.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externes Video (TargetVideo GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (TargetVideo GmbH) ĂŒbermittelt werden. Mehr dazu in unserer DatenschutzerklĂ€rung [6].

Zwar bleibt die mTAN gemĂ€ĂŸ PSD2 erlaubt, das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) rĂ€t aber von ihrer Verwendung ab. Einige Banken haben dies zum Anlass genommen, das mTAN-Verfahren in KĂŒrze abzuschalten und ihre Kunden aufzufordern, auf andere Verfahren umzusteigen. Ob man als Kunde betroffen ist, erfĂ€hrt man im Zweifel bei seinem Kreditinstitut.

Alle anderen uns bekannten Verfahren, also pushTAN, chipTAN, photoTAN, appTAN und signaturTAN, bleiben vorerst erlaubt – egal, ob man ein dediziertes GerĂ€t oder sein Smartphone dafĂŒr nutzt.

Zweiter Faktor beim Login

Eine weitere wichtige Änderung betrifft das Login ins Online-Banking: Hier ist in Zukunft grundsĂ€tzlich ein zweiter Faktor wie bei einer Überweisung erforderlich, in der Praxis also eine TAN. Die Richtlinie spricht an dieser Stelle von der sogenannten Starken Kundenauthentifizierung, die oft unter ihrer englischen AbkĂŒrzung "SCA" auftaucht (Strong Customer Authentication).

Die SCA modifiziert die Zwei-Faktor-Authentifizierung: Die beiden Faktoren mĂŒssen stets aus zwei der drei Kategorien Besitz, Wissen und InhĂ€renz stammen. Unter Besitz versteht die PSD2 dabei beispielsweise eine Bankkarte oder ein fest an den Nutzer gebundenes Smartphone. Wissen ist wie bisher vor allem ein PIN oder ein Passwort. InhĂ€renz meint biometrische Merkmale des Kunden, also beispielsweise einen Fingerabdruck oder einen Gesichtsscan.

Die Kreditinstitute können bei verschiedenen VorgÀngen Ausnahmen von der SCA implementieren. Ob sie die möglichen Ausnahme anwenden wollen, entscheiden die Banken und Sparkassern selbst. Kunden kommen deshalb nicht umhin, sich bei ihrem jeweiligen Geldhaus zu informieren und die Mitteilungen zu lesen, die diese in den letzten Wochen per Post oder elektronisch verschickt haben.

Beim Login haben die Kreditinstitute die Möglichkeit, die Frequenz bei der Abfrage des zweiten Faktors auf bis zu 90 Tage auszudehnen. Die zweite mögliche Ausnahme betrifft KleinbetrĂ€ge: Die Bank oder Sparkasse kann Überweisungen bis 30 Euro von der SCA ausnehmen. Sie muss aber spĂ€testens nach der fĂŒnften solchen Überweisung oder bei Überschreiten einer kumulierten Summe von 100 Euro erneut einen zweiten Faktor abfragen.

Die Bank kann den Kunden außerdem anbieten, vertrauenswĂŒrdige EmpfĂ€nger auf eine Whitelist mit entsprechenden IBANs zu setzen. Viertens kann sie eine Ausnahme machen, wenn das Zielkonto ebenfalls dem Kunden gehört und beim selben Bankhaus gefĂŒhrt wird. Auch DauerauftrĂ€ge gehören zu den möglichen Ausnahmen.

FĂŒr Unsicherheit sorgte in den vergangenen Wochen die Frage, ob Home- und Multibanking ĂŒber lokale Anwendungen auf dem Desktop weiter zulĂ€ssig ist. Schließlich mĂŒssen die Banken und Sparkassen in Zukunft auch eine dedizierte Schnittstelle anbieten, fĂŒr die die PSD2 bestimmte Standards einfordert. Vereinfachte Antwort: Ja, Homebanking ĂŒber HBCI/FinTS darf bankseitig weiterhin angeboten werden. Fast alle Banken, die bisher die zugehörige FinTS-Schnittstelle bereitgestellt haben, werden dies vorerst auch weiterhin tun. Eine Ausnahme ist die ING Deutschland, die nur ein eingeschrĂ€nktes Angebot bereithalten wird.

Und auch die Anbieter von Home- und Multibanking-Software wollen ihre Anwendungen bis 14. September entsprechend angepasst haben. Inwieweit es Workarounds fĂŒr Banken wie die ING geben wird, hĂ€ngt von den Anbietern ab.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externes Video (TargetVideo GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (TargetVideo GmbH) ĂŒbermittelt werden. Mehr dazu in unserer DatenschutzerklĂ€rung [7].

(mon [8])

URL dieses Artikels:
https://www.heise.de/-4499106

Links in diesem Artikel:
[1] https://www.heise.de/ct/ausgabe/2019-18-Neue-Onlinebanking-Regeln-ab-September-4493813.html
[2] https://www.heise.de/hintergrund/PSD2-Was-sich-ab-September-2019-beim-elektronischen-Bezahlen-aendert-4462070.html
[3] https://www.heise.de/hintergrund/PSD2-Was-sich-ab-September-2019-beim-elektronischen-Bezahlen-aendert-4462070.html
[4] https://www.heise.de/select/ct/2019/18/1566910184083334
[5] https://www.heise.de/news/heiseshow-Zahlungsrichtlinie-PSD2-Was-passiert-mit-unseren-Bankkonten-4220965.html
[6] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[7] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[8] mailto:mon@heise.de

Copyright © 2019 Heise Medien