2-Faktor-Authentifizierung: Verbraucherschützer vs. Hürden beim Online-Banking
Finanzinstitute setzen vor allem auf das App-basierte, nur online funktionierende pushTAN-Verfahren, monieren die Verbraucherzentralen. Alles andere sei teuer.
(Bild: Motortion Films/Shutterstock.com)
Die Zwei-Faktor-Authentifizierung (2FA) macht das Online-Banking sicherer, kann Nutzern aber auch kaum oder nur mit recht hohem finanziellen Aufwand überwindbare Hindernisse in den Weg stellen. Zu diesem Schluss kommt der Bundesverband der Verbraucherzentralen (vzbv) nach einer Untersuchung der Authentisierungsverfahren von 25 Banken und Sparkassen.
Die Finanzinstitute setzen laut der am Donnerstag veröffentlichten Kurzstudie vor allem auf das App-basierte, eine Online-Verbindung erfordernde pushTAN-Verfahren. Dabei wird eine Transaktionsnummer als Push-Nachricht an eine spezielle Mobilanwendung auf dem Smartphone gesendet, was teils Angriffe ermöglicht.
2FA – viele benötigen eine Online-Verbindung
Dieses Verfahren haben alle überprüften Anbieter kostenfrei implementiert. Nur knapp ein Fünftel – die ApoBank, die Deutsche Bank sowie die Commerzbank und ihre Tochter Comdirect – stellten alternativ ein App-basiertes photoTAN-Verfahren zur Verfügung, das auch offline funktioniert.
Auslöser für den Test waren laut dem vzbv immer wieder von Bürgern vorgebrachte Beschwerden beim Frühwarnnetzwerk der Verbraucherzentralen, das rein qualitativ auffällige Sachverhalte aus dem Beratungsalltag erfasst. Betroffene monierten demnach etwa, dass eingeführte TAN-Verfahren abgeschafft oder technisch umgestellt wurden. Einige fühlten sich komplett vom Online-Banking ausgeschlossen, da sie das angebotene Prozedere nicht nutzen konnten oder wollten.
Empfohlenes Verfahren ist kostenpflichtig
Mit Ausnahmen von Neobanken wie N26 oder Klarna boten alle einbezogenen Finanzhäuser mindestens ein alternatives Verfahren an, wenn Nutzer nicht über ein Smartphone verfügen. Die Advanzia Bank und Santander verlangten dafür aber mindestens den Besitz einer SIM-Karte und eines Mobiltelefons ohne Internetverbindung: Sie boten lediglich das von Experten als unsicher eingeschätzte mTAN-Verfahren als Alternative an, bei dem der Versand der benötigten Nummer als SMS erfolgt.
Bei den anderen Instituten war es auch möglich, über zusätzliche Hardware eine pushTAN, photoTAN oder chipTAN bereitzustellen. Bei dem zuletzt genannten, von Fachleuten empfohlenen Verfahren, errechnet eine spezialisierte Hardware in Kombination mit der Girocard die TAN nach einem Scan der Auftragsdaten. Für diese Hardware-gestützten Verfahren verlangten alle einschlägigen 18 Anbieter den kostenpflichtigen Erwerb eines Zusatzgerätes. Die Preisspanne dafür reichte von 9,81 Euro bis 179,90 Euro.
chipTAN-Verfahren
Zudem machten die Verbraucherschützer vor allem bei Privat- und Direktbanken "Insellösungen" aus, bei denen ein proprietäres Gerät nur bei dem jeweiligen Finanzhaus genutzt werden kann. Besonders teure chipTAN-Geräte für Blinde oder Sehbehinderte wurden nur in zwei Fällen angeboten.
Generell kommt das besonders sichere, eigens für den Zahlungsverkehr entwickelte chipTAN-Verfahren der Analyse zufolge mit einer Ausnahme nur bei Genossenschaftsbanken und Sparkassen zum Tragen. Die Postbank habe diese Nachweismöglichkeit im Mai abgeschafft. Für Verbraucher, die ein Verfahren mit gesonderter Hardware nutzen, verursachte dies erneute Kosten für die Anschaffung eines gesonderten Geräts. Auch sonst hätten Kompatibilitätsprobleme bei Sparkassen dazu geführt, dass Hardware ersetzt werden musste.
Beim Einsatz von Kreditkarten in Online-Shops ist ebenfalls das App-basierte TAN-Verfahren das einzige, das alle untersuchten Banken und Sparkassen anbieten. Im Gegensatz zum Online-Banking ist aber auch das mTAN-Verfahren im E-Commerce noch stark verbreitet. Bei 17 der 25 untersuchten Institute ist es möglich, diese Option zur Authentisierung zu verwenden.
Einfach, sicher und kostenlos
"Menschen, die kein Smartphone für Bankgeschäfte nutzen wollen oder können, müssen häufig zusätzliches Geld in die Hand nehmen", kritisiert Dorothea Mohn, Leiterin Team Finanzmarkt beim vzbv. "Dabei gibt es gute Gründe, warum man seine Bankgeschäfte nicht mit dem Smartphone verknüpfen kann oder möchte."
Die jüngst auch als Geißel der Menschheit bezeichnete 2FA machte die EU fürs Online-Banking mit der Zahlungsdienste-Richtlinie PSD2 obligatorisch. Kunden müssen damit zwei von drei möglichen, voneinander unabhängigen Sicherheitsfaktoren wie Wissen und Besitz benennen, um ihre Identität nachzuweisen.
Der vzbv appelliert an die EU-Kommission, bei der laufenden Evaluation der PSD2 sicherzustellen, dass Anbieter mindestens ein kostenloses basiertes Verfahren anbieten müssen, das sicher ist und von möglichst allen Verbrauchern leicht verwendet werden kann. Die anstehende Revision der Richtlinie ist laut Mohn eine echte Chance, den Finanzalltag der Bürger ein Stück leichter zu machen. Abstriche bei der Sicherheit seien dafür nicht nötig.
(bme)
