Neue Regeln beim Online-Banking: Das erwartet Kunden jetzt

• Im Rahmen der "PSD2" wird das iTAN-Verfahren abgeschafft
• Online-Zahlungen sollen sicherer werden, Wettbewerb soll gefördert werden
• Künftig Zwei-Faktor-Authentifizierung nötig

Zahlungsverkehr sicherer gestalten

Online-Banking soll sicherer werden. Dazu werden neue Regeln eingeführt. Ab dem 14. September dürfen Banken das sogenannte iTAN-Verfahren - Überweisungen mit der Eingabe einer sechststelligen Ziffernfolge (TAN) von einer gedruckten Liste - nicht mehr anbieten. TAN-Listen werden somit im Rahmen der neuen europäischen Zahlungsdiensterichtlinie ("Payment Service Directive" oder auch "PSD2") abgeschafft. Grund für diesen Schritt sei die Sicherheit des Zahlungsverkehrs, denn Kriminelle würden immer wieder versuchen, auf jegliche Art an TAN-Listen zu kommen. "Wenn Sie sorgsam mit der TAN-Liste umgehen und Ihren Computer nach aktuellen Standards sichern, bietet die TAN-Liste ausreichenden Schutz. Gerät ihre TAN-Liste aber in die Hände Dritter, kann keine Sicherheit gewährleistet werden", zitiert n-tv die Postbank.

Dynamisches Legitimationsverfahren

Aus diesem Grund müssen Transaktionsnummern künftig dynamisch generiert werden, so schreibt es Brüssel nun vor. Die TAN wird also bei jedem Auftrag neu erstellt und ist zeitlich begrenzt gültig. Es gilt künftig die gesetzliche Pflicht zur "starken Kundenauthentifizierung". Kunden müssen ihre Identität auf mindestens zwei von drei Arten nachweisen. Dabei gibt es die Kategorien "Wissen", "Besitz" und "Sein". "Wissen" beschreibt etwas, worüber lediglich der Kunde Kenntnis hat, wie beispielsweise die Geheimnummer oder PIN. Beim "Besitz" kommen Dinge zum Einsatz, über die nur der Kunde verfügt, wie sein Smartphone oder auch die Original-Zahlungskarte. "Sein" schließlich beschreibt biometrische Merkmale, die dem Kunden zuzuordnen sind, wie der Fingerabdruck.

Diese Zwei-Faktor-Authentifizierung muss ab Mitte September aber nicht nur bei Zahlen durchgeführt werden, sondern kommt bereits beim Login zum Einsatz. "Wer sich künftig in sein Online-Banking einloggen möchte, benötigt nicht mehr nur Benutzernamen und Passwort bzw. Kontonummer und PIN, sondern muss seine Identität in einem weiteren Schritt auch noch mit einem Sicherheitsverfahren bestätigen", so die Postbank.

Auch beim Online-Shopping benötigt man künftig also neben einer PIN noch eine TAN, die beispielsweise per SMS aufs Handy gesendet wird. Einige Institute schaffen allerdings auch dieses Verfahren ab und greifen stattdessen auf Verfahren wie pushTAN, AppTAN oder chipTAN zurück. In einigen Fällen ist auch das Photo-TAN-Verfahren möglich. Dabei wird ein Barcode mit dem Handy abfotografiert, bevor anschließend eine TAN generiert wird. Daneben werden auch die Regeln bei Online-Zahlungen mit Karten strenger. Insbesondere bei Kreditkarten, da hier Nummer, Prüfziffer und Ablaufdatum leicht ausgespäht werden können, heißt es bei n-tv. Daher findet auch an dieser Stelle ab Mitte August die Zwei-Faktor-Authentifizierung Anwendung.

Drittanbieter erhalten Zugriff auf Daten

Darüber hinaus soll durch die "PSD2" der Wettbewerb in diesem Bereich gefördert werden. So werden künftig nicht mehr nur Banken Zugriff auf Kontodaten haben, sondern müssen diesen auch Drittanbietern wie Finanz-Startups (Fintechs) gewähren. Dabei müssten Kunden aber nicht fürchten, dass nun jeder Zugriff auf private Daten erhalte, erklärt n-tv. Drittanbieter erlangen erst nach ausdrücklicher Zustimmung der Kunden über eine neue Schnittstelle Zugriff auf bestimmte Daten, heißt es weiter.

Allerdings gibt es auch Bedenken bezüglich des neuen Verfahrens: "Das mTAN-Verfahren ist zwar praktisch und benutzerfreundlich, birgt aber leider auch einige Risiken. Unter Umständen können Kriminelle die zur Authentifizierung verschickten SMS-Nachrichten abfangen oder umleiten. So besteht die Gefahr, dass die in der SMS enthaltende TAN missbraucht wird", warnt das Bundesamt für Sicherheit in der Informationstechnik.

Redaktion finanzen.net