Sicher, aber kompliziert

Um das Online-Banking ebenso wie das Einkaufen im Internet und im stationären Handel sicherer zu machen, hat die EU-Kommission die überarbeitete Zahlungsdiensterichtlinie 2 (Payment Service Directive 2, PSD 2) erlassen. Dazu gehört die Einführung der starken Kundenauthentifizierung – auch Zwei-Faktor-Authentifizierung genannt – zum 14. September 2019. Das trifft alle Nutzer von Online-Banking, die Zahlungen auslösen oder sich zum Online-Banking anmelden wollen.

Die starke Kundenauthentifizierung wird ab Mitte September beim Log-In zum Online-Banking, bei einer Zahlung sowie bei einer Service-Aktion – etwa einer Adressänderung – abgefragt. Bisher hat es ausgereicht, wenn sich Verbraucher beispielsweise für das Online-Banking mit ihrer ID-Nummer – etwa dem VR-NetKey – sowie einer PIN-Nummer oder einem Passwort authentifiziert haben. Nun wird es komplizierter, da die Anforderungen verschärft werden. Konkret bedeutet das, dass sich Verbraucher mit zwei von drei möglichen Faktoren ausweisen müssen:

• Wissen (zum Beispiel PIN oder Passwort),
• Besitz (zum Beispiel Girokarte mit TAN-Generator oder Smartphone),
• Biometrie (zum Beispiel Fingerabdruck).

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat Ende August mitgeteilt, dass Kreditkartenzahlungen im Internet auch nach dem 14. September vorübergehend ohne starke Kundenauthentifizierung möglich sind. Grund dafür sei, dass bei vielen Zahlungsempfängern „erheblicher Anpassungsbedarf besteht“, so die Behörde. Wie lange die Erleichterungen gelten, wurde nicht mitgeteilt. Die Bestimmungen betreffen ausschließlich Kreditkartenzahlungen im Internet, nicht aber das Online-Banking.

Ja. In bestimmten Situationen ist nur der Einsatz eines Authentifizierungsfaktors nötig. Das ist zum Beispiel der Fall, wenn Verbraucher Beträge bis 30 Euro zahlen oder wenn sie Zahlungen auf ein anderes eigenes Konto im selben Kreditinstitut vornehmen. Auch beim Log-In zum Online-Banking ist es möglich, dass die Transaktionsnummer (TAN) nur alle 90 Tage eingegeben werden muss. Jede Bank kann eigenverantwortlich festlegen, ob sie ihren Kunden ein vereinfachtes Verfahren anbietet. Entscheidet sie sich für die strengen Sicherheitskriterien, müssen die Kunden immer die starke Authentifizierung mit zwei Faktoren nutzen.

Aktuell bieten die Volksbanken und Raiffeisenbanken ihren privaten Kunden diese Verfahren an, um im Rahmen von PSD 2 sicher zu bezahlen:

• Die TAN-App VR-SecureGo,
• die Sm@rt-TAN plus,
• die Sm@rt-TAN photo.

Einige Banken haben sie tatsächlich noch im Gebrauch: Papierlisten mit durchnummerierten Transaktionsnummern, die sogenannten iTAN-Listen. Die Volksbanken und Raiffeisenbanken haben das Verfahren aus Sicherheitsgründen bereits 2011 abgeschafft. Die SMS-TAN, auch mTAN genannt, bei der die Kunden eine Kurznachricht mit einem Code auf ihr Smartphone erhalten, ist ebenfalls ein Auslaufmodell: Viele Volksbanken und Raiffeisenbanken bieten das Verfahren nicht mehr an oder stellen es in den kommenden Monaten ein.

VR-SecureGo funktioniert auf dem Smartphone oder Tablet. Zunächst muss die App im Google Play Store für Smartphones mit Android-Betriebssystem oder im Apple Store für iOS-Systeme heruntergeladen und installiert werden. Anschließend müssen sich die Bankkunden sowohl in der App als auch im Online-Banking registrieren. Ist die Anwendung freigeschaltet, wird die TAN in die App (Push-TAN) übermittelt. Diese wird dann im Online-Banking oder in der VR-BankingApp eingegeben. Werden BankingApp und SecureGo auf einem Smartphone verwendet, kann die TAN automatisch übertragen werden.

Um das Sm@rt-TAN plus Verfahren zu nutzen, benötigen die Kunden Zugang zum Online-Banking, einen TAN-Generator und ihre GiroCard. Nun loggen sie sich in das Online-Banking ein, geben die Überweisungsdaten aus und wählen entweder das optische oder das manuelle Sm@rt-TAN plus Verfahren.

Bei der optischen Erkennung erscheint beim Online-Banking eine animierte Grafik auf dem Bildschirm des Laptop oder PCs. Daraufhin stecken Kunden ihre GiroCard in den TAN-Generator, drücken die Taste „F“ und halten den Generator vor die Grafik. Anschließend bestätigen sie auf dem TAN-Generator die IBAN sowie den Betrag. Das Gerät zeigt daraufhin eine TAN an, die die Nutzer in der Online-Banking-Anwendung eingeben. Das löst die Überweisung aus.

Die manuelle Erfassung funktioniert ähnlich: Haben Nutzer diese Variante ausgewählt, scannen sie jedoch nicht die animierte Grafik, sondern geben den auf dem Bildschirm angegebenen Code sowie vorgegebene Stellen der IBAN ein.

Auch wer das Sm@rt-TAN photo Verfahren einsetzen möchte, braucht Zugang zum Online-Banking, einen entsprechenden TAN-Generator und die GiroCard. Nun bereiten die Nutzer eine Überweisung in der Online-Banking-Maske vor und wählen das Sm@rt-TAN photo Verfahren aus. Anschließend stecken sie die GiroCard in den TAN-Generator, drücken auf „Scan“ und fotografieren mit dem Generator die Grafik auf dem Display im Online-Banking ab. Mit dem Generator bestätigen sie dann die IBAN sowie den Geldbetrag und erhalten daraufhin eine TAN, die sie im Online-Banking eingeben. Der Unterschied zur Sm@rt-TAN plus optische Methode: Bei Sm@rt-TAN photo wird ein Farbmatrix-Code ähnlich eines QR-Codes zur Datenübertragung eingesetzt. Dadurch sind keine Größenanpassungen der Grafik oder weitere Einstellungen notwendig.

Experten schätzen Verfahren wie die TAN-App oder Sm@rt-TAN als sehr sicher ein. Beispiel TAN-Generator: Das Gerät ist nicht mit dem Internet verbunden und bietet daher in Kombination mit der Girocard, die nur sehr schwer zu fälschen ist, einen hohen Schutz. „Das Sicherheitsniveau der neuen Legitimationsverfahren übersteigt das Schutzniveau älterer Methoden wie die iTAN. Dafür sind sie komplizierter zu bedienen“, sagt Julian Grigo, Bereichsleiter Digital Banking und Financial Services beim Digitalverband Bitkom. Grigo verweist zudem auf das hohe Eigeninteresse der Kreditinstitute an sicheren Verfahren: „Für Banken und Zahlungsdienste ist das Kundenvertrauen von existenziellem Wert, daher setzen sie die neuesten Sicherheitsstandards ein und arbeiten mit externen Sicherheitsspezialisten, die die Banksysteme mit Angriffsszenarien auf ihre Sicherheit hin untersuchen.“

Trotz des hohen Schutzniveaus sind auch moderne Legitimationsverfahren nicht komplett vor Betrug gefeit. „Ein hoher Unsicherheitsfaktor ist und bleibt der Mensch“, sagt Julian Grigo. „Selbst das sicherste TAN-Verfahren bringt nichts, wenn die Verbraucher etwa nicht überprüfen, ob die in der App angezeigten Kontodaten mit denjenigen auf der Rechnung übereinstimmen.“