Online-Banking und PSD2: Neue Regeln ab September
Mit der Zweiten Europäischen Zahlungsdiensterichtlinie (PSD2) verändert sich das elektronische Banking. Betroffen sind vor allem TAN-Verfahren und das Login.
Wer am 14. September noch eine TAN vom Zettel nutzen will, auch iTAN-Verfahren genannt, dürfte eine böse Überraschung erleben: Die TANs werden nicht mehr funktionieren. Hintergrund ist die Zweite Europäischen Zahlungsdiensterichtlinie PSD2, die neben mehr Wettbewerb im Finanzsektor auch für mehr Sicherheit sorgen soll.
Das betrifft unter anderem die iTAN: Da sie sich nicht dynamisch aus den Überweisungsdaten generieren lässt und bis zur Abfrage zeitlich unbegrenzt gültig ist, hat sie ein grundsätzliches Sicherheitsproblem. Vor allem bei Phishing-Angriffen ist sie äußerst verwundbar. Daher wird die iTAN ab 14. September 2019 EU-weit verboten. Und es stehen noch etliche weitere Änderungen im Online-Banking an; c't beleuchtet diese in der aktuellen Ausgabe 18/2019 genauer.
Aber auch beim elektronischen Bezahlen ändert sich mit der PSD2 einiges, für einige Zahlarten wird die Zwei-Faktor-Authentifizierung Pflicht. Wenn etwa zusätzlich zum Passwort ein Passcode auf das Mobiltelefon geschickt und im PC-Browser abgefragt wird, ist das kein optional zuschaltbares Sicherheitsfeature mehr. Es ist Pflicht. Immerhin ist die Zwei-Faktor-Authentifizierung nicht für alle Zahlarten obligatorisch, insbesondere nicht für die so beliebten Lastschriften und Rechnungskäufe (siehe dazu: PSD2: Was sich ab September 2019 beim elektronischen Bezahlen ändert)
Streitfall TANs per SMS
Einige Banken schaffen im Zuge der Umstellungen, zu denen sie durch PSD2 verpflichtet sind, auch die TAN per SMS ab. Für die sogenannte mTAN gibt es in der Tat etablierte Angriffsszenarien. So kann ein Betrüger beispielsweise das Endgerät, auf dem das Online-Banking betrieben wird, mit einem Trojaner infizieren; beispielsweise über eine Phishing-Mail oder eine beliebige manipulierte App – das passiert vor allem dann gerne, wenn man die App-Quelle nicht genau kennt. Mithilfe der ausgespähten Daten besorgt er sich im Namen des Opfers eine Zweit-SIM-Karte und kann anschließend versteckt angestoßene Überweisungen ausführen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Zwar bleibt die mTAN gemäß PSD2 erlaubt, das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät aber von ihrer Verwendung ab. Einige Banken haben dies zum Anlass genommen, das mTAN-Verfahren in Kürze abzuschalten und ihre Kunden aufzufordern, auf andere Verfahren umzusteigen. Ob man als Kunde betroffen ist, erfährt man im Zweifel bei seinem Kreditinstitut.
Alle anderen uns bekannten Verfahren, also pushTAN, chipTAN, photoTAN, appTAN und signaturTAN, bleiben vorerst erlaubt – egal, ob man ein dediziertes Gerät oder sein Smartphone dafür nutzt.
Zweiter Faktor beim Login
Eine weitere wichtige Änderung betrifft das Login ins Online-Banking: Hier ist in Zukunft grundsätzlich ein zweiter Faktor wie bei einer Überweisung erforderlich, in der Praxis also eine TAN. Die Richtlinie spricht an dieser Stelle von der sogenannten Starken Kundenauthentifizierung, die oft unter ihrer englischen Abkürzung "SCA" auftaucht (Strong Customer Authentication).
Die SCA modifiziert die Zwei-Faktor-Authentifizierung: Die beiden Faktoren müssen stets aus zwei der drei Kategorien Besitz, Wissen und Inhärenz stammen. Unter Besitz versteht die PSD2 dabei beispielsweise eine Bankkarte oder ein fest an den Nutzer gebundenes Smartphone. Wissen ist wie bisher vor allem ein PIN oder ein Passwort. Inhärenz meint biometrische Merkmale des Kunden, also beispielsweise einen Fingerabdruck oder einen Gesichtsscan.
Ausnahmen
Die Kreditinstitute können bei verschiedenen Vorgängen Ausnahmen von der SCA implementieren. Ob sie die möglichen Ausnahme anwenden wollen, entscheiden die Banken und Sparkassern selbst. Kunden kommen deshalb nicht umhin, sich bei ihrem jeweiligen Geldhaus zu informieren und die Mitteilungen zu lesen, die diese in den letzten Wochen per Post oder elektronisch verschickt haben.
Beim Login haben die Kreditinstitute die Möglichkeit, die Frequenz bei der Abfrage des zweiten Faktors auf bis zu 90 Tage auszudehnen. Die zweite mögliche Ausnahme betrifft Kleinbeträge: Die Bank oder Sparkasse kann Überweisungen bis 30 Euro von der SCA ausnehmen. Sie muss aber spätestens nach der fünften solchen Überweisung oder bei Überschreiten einer kumulierten Summe von 100 Euro erneut einen zweiten Faktor abfragen.
Die Bank kann den Kunden außerdem anbieten, vertrauenswürdige Empfänger auf eine Whitelist mit entsprechenden IBANs zu setzen. Viertens kann sie eine Ausnahme machen, wenn das Zielkonto ebenfalls dem Kunden gehört und beim selben Bankhaus geführt wird. Auch Daueraufträge gehören zu den möglichen Ausnahmen.
Homebanking
Für Unsicherheit sorgte in den vergangenen Wochen die Frage, ob Home- und Multibanking über lokale Anwendungen auf dem Desktop weiter zulässig ist. Schließlich müssen die Banken und Sparkassen in Zukunft auch eine dedizierte Schnittstelle anbieten, für die die PSD2 bestimmte Standards einfordert. Vereinfachte Antwort: Ja, Homebanking über HBCI/FinTS darf bankseitig weiterhin angeboten werden. Fast alle Banken, die bisher die zugehörige FinTS-Schnittstelle bereitgestellt haben, werden dies vorerst auch weiterhin tun. Eine Ausnahme ist die ING Deutschland, die nur ein eingeschränktes Angebot bereithalten wird.
Und auch die Anbieter von Home- und Multibanking-Software wollen ihre Anwendungen bis 14. September entsprechend angepasst haben. Inwieweit es Workarounds für Banken wie die ING geben wird, hängt von den Anbietern ab.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(mon)