c't 18/2019
S. 66
Hintergrund
PSD2 und Banking
Aufmacherbild
Bild: Thorsten Hübner

Zweitschlösser

Neue Onlinebanking-Regeln ab September

Viele Kreditinstitute haben ihre Kunden in den letzten Wochen darüber benachrichtigt, dass ihnen merkliche Änderungen im elektronischen Banking-Alltag bevorstehen. Wir haben uns angeschaut, was dahintersteckt.

Sonntag, der 15. September. Sie wollen sich in Ihr Onlinebanking einloggen – und plötzlich fordert Ihre Bank schon beim Login eine TAN an. Auf dem Bildschirm steht außerdem nicht mehr, unter welcher Nummer die angeforderte TAN auf Ihrer Papierliste steht. Da fällt Ihnen das Schreiben Ihres Kreditinstituts wieder ein. Es hatte Ihnen vor ein paar Wochen mitgeteilt, dass Ihre iTAN-Liste auf Papier ab 14. September aufgrund einer neuen EU-Richtlinie nicht mehr gültig ist. Sie hatten das im Alltagsstress dummerweise ignoriert – und können jetzt nicht klären, ob das Geld aus der letzten eBay-Versteigerung schon da ist. Und nun?

Video: Nachgehakt

Diese kleine Horrorgeschichte hat einen ganz nüchternen Hintergrund: In wenigen Wochen ändern sich im gesamten EU-Raum die Sicherheitsverfahren für das elektronische Banking. Grund dafür ist die Zweite Europäische Zahlungsdiensterichtlinie (PSD2), die am 14. September vollständig in Kraft tritt. Es handelt sich um dieselbe Richtlinie, die auch bei elektronischen Bezahlvorgängen spürbare Änderungen bringt [1][2]. Die Banken führen aufgrund der PSD2 allerdings nicht nur vorgeschriebene Änderungen wie die Abschaffung der iTAN durch: Viele Kreditinstitute legen bei der Gelegenheit auch gleich die mTAN ad acta.

Zwar behalten Banken und Sparkassen viele gebräuchliche TAN-Verfahren wie etwa pushTAN oder chipTAN bei; für viele Nutzer bleibt in diesem Punkt also alles wie gehabt. Um einen zweiten Faktor bereits beim Einloggen ins Online-Banking kommt aber im Grundsatz niemand herum – egal, ob der Kunde sich über den Browser, eine Mobil-App der Bank, ein Homebanking-Programm auf dem Desktop oder eine Multibanking-App auf dem Smartphone einloggt. Allerdings gibt es nicht nur neue Hürden: Bei einigen Vorgängen dürfen es die Banken ihren Kunden auch einfacher machen, etwa bei Überweisungen von Kleinbeträgen.

Die neuen Anforderungen, insbesondere die Zwei-Faktor-Authentifizierung beim Login, sollen die Sicherheit des elektronischen Bankings erhöhen. Zugleich dürften die Banken neben der Sicherheit den Komfort ihrer TAN-Verfahren weiter verbessern. Auch Alternativen sind denkbar: Eine Sicherheits-App könnte auch mit kryptografischen Schlüsseln arbeiten. Dann wäre nicht einmal mehr die Eingabe einer TAN erforderlich. Einige Banken, etwa die Postbank, gehen bereits in solche Richtungen.

Neue Sicherheitsstufe: Auch für die Anmeldung im Onlinebanking ist spätestens ab dem 14. September eine Zwei-Faktor-Authentifizierung wie bei Überweisungen erforderlich.

Nicht immer sind die Neuerungen leicht verständlich, wie uns Leserzuschriften in den letzten Wochen gezeigt haben – trotz aller Informationskampagnen der Geldhäuser. Auch dass einige Banken und Sparkassen kurzfristig die mTAN abschaffen und viele Kunden zu einem spontanen Wechsel des TAN-Verfahrens zwingen, stieß auf Unverständnis. Manche Bankkunden könnten die obligatorischen Schreiben ihrer Bank auch ganz ignoriert haben und wissen immer noch nicht, was auf sie zukommt. Wir wollen Ihnen daher eine Orientierungshilfe zu den TAN-Verfahren geben, die Geldhäuser mit größerem Kundenkreis zukünftig anbieten wollen; dazu haben wir die beiden bedeutenden Startup-Banken Fidor und N26 gefragt. Auf Seite 68 finden Sie eine Übersicht – ohne Anspruch auf Vollständigkeit. Wir haben uns zudem bewusst auf Privatkunden beschränkt, um Konfusion zu vermeiden.

Videos