Starke Authentifizierung erforderlich Eine neue EU-Richtlinie soll Onlinebanking sicherer machen

Durch eine neue EU-Richtlinie, die am 14. September inkrafttritt, reicht zukünftig für Bankkunden die Eingabe von normaler Nutzerkennung und Pin beim Login auf das Konto künftig nicht mehr aus.
23.06.2019, 20:41
Lesedauer: 3 Min
Zur Merkliste
Von Veronika Csizi

In diesen Wochen erhalten alle Bankkunden Post von ihren Kreditinstituten. Denn spätestens am 14. September beginnt für die Inhaber von Girokonten, Geldkonten und Depots eine neue Ära. Von diesem Tag an greift in Deutschland eine neue EU-Richtlinie. Sie trägt den sperrigen Namen Payment Services Directive oder PSD 2. Für die Bürger bedeutet sie vor allem zweierlei: Zum einen reicht die Eingabe von normaler Nutzerkennung und Pin beim Login auf das Konto künftig nicht mehr aus. Zum anderen wird das Bezahlen von Onlinekäufen etwa auf Kreditkarte komplizierter.

Für jeden Zugriff und jede Transaktion ist ab 14. September zwingend eine sogenannte starke Authentifizierung erforderlich. Das bedeutet: Egal ob man auf sein Konto zugreifen oder im Netz bezahlen will, muss man künftig auf zwei verschiedene Arten seine Identität belegen. Und: Zwei Passwörter reichen dafür nicht. Der Nutzer muss sich auf zwei unterschiedliche Arten ausweisen. Dazu müssen aus den drei Bereichen „Wissen“, „Inhärenz“ und „Besitz“ zwei Merkmale erfüllt sein. Zu „Wissen“ (etwas, das nur der Kunde weiß) gehören die Pin oder eine ID. Zu „Inhärenz“ zählen biometrische Kennzeichen wie Fingerabdruck, Iris-Scan oder die Stimme. Mit „Besitz“ (etwas, das nur der Kunde hat) gehört die Handy-Sim oder ein Tan-Generator.

Einige Ausnahmen

Ausnahmen von der starken Authentifizierung sind allerdings möglich: zum Beispiel wenn es um Kleinstbeträge geht oder auch für eine Auswahl von Shops oder Diensten, die der Kunde für vertrauenswürdig hält und auf eine „White List“ setzt, der die Bank zustimmt. Nicht betroffen sind zudem via Telefon ausgelöste Kontobewegungen, von Händlern ausgelöste Zahlungen etwa für Abonnements oder auch Einsätze der Karten außerhalb des europäischen Wirtschaftsraum, das heißt in anderen Ländern als der EU sowie Norwegen, Liechtenstein und Island.

Für Einsätze der Kreditkarte etwa in der Schweiz, in den USA, in der Türkei oder in Israel gilt das neue Regelwerk also nicht. Die zweite Neuerung, die die PSD 2 mit sich bringt, ist eine stille Revolution: Banken verlieren die alleinigen Rechte auf die Daten ihrer Kunden und müssen Drittanbietern künftig einen Zugriff aufs Konto gewähren – falls diese es erlauben.

Lesen Sie auch

Onlineeinkäufe zum Beispiel werden mit den neuen Regelungen sicherer, aber auch aufwendiger. Der Handel befürchtet sogar, dass nicht wenige Kunden von den Neuerungen und Herausforderungen irritiert sein und Transaktionen bei Onlinekäufen entnervt abbrechen könnten. Wer mit Kreditkarte im Netz zahlt, braucht bislang lediglich die Kartennummer, das Ablaufdatum und die Prüfziffer. Künftig wird das aber nicht reichen. Verlangt wird dann ein zweiter Faktor wie ein Sicherheitscode. Händler, die ihre Bezahlsysteme bereits auf eine solche Zwei-Faktor-Authentifizierung umgestellt hätten, berichteten jedoch von mehr Kaufabbrüchen und gesunkenen Umsätzen, heißt es beim europäischen Dachhandelsverband Euro Commerce.

Auch wer ab 14. September weiter ohne Hindernis sein Konto checken will, muss sich mit den Veränderungen bei seiner Bank auseinandersetzen. So werden Benutzername und Passwort künftig nicht mehr reichen, um aufs Onlinekonto zuzugreifen. Wie bei der Überweisung üblich, wird man in Zukunft schon beim Login neben dem Passwort eine zusätzliche Tan eingeben müssen.

Schon jetzt bieten Banken verschiedene Methoden an, um ein zusätzliches Einmal-Passwort zu generieren. Bislang braucht man das allerdings erst, wenn man Geld überweisen will. Künftig muss man die zusätzliche Tan bereits generieren, um sich überhaupt beim Onlinebanking einzuloggen.

Nicht bei jeder Bank sind die Anforderungen gleich hoch

Gängige Verfahren sind zum Beispiel App-Tan oder Push-Tan, bei denen die Tan in einer selbst Pin-gesicherten App auf dem Smartphone generiert wird. Eine Alternative ist die Photo-Tan, die entweder mit einem gesonderten Gerät oder aber ebenfalls über eine App funktioniert. Auch die Chip-Tan ist eine Option, bei der die Tan über einen externen Generator erzeugt wird. Noch bieten viele Institute auch die Mobile-Tan an, bei der die Bank die Tan per SMS zuschickt.

Mit ihr wird man künftig aber wohl nicht mehr auf alle Banking-Funktionen zugreifen können. Einige Banken wie die Berliner Sparkasse schalten sie gerade komplett ab. Die Postbank verabschiedet sich bis August von der Mobile-Tan. Nicht bei jeder Bank sind die Anforderungen gleich hoch. Bei der ING etwa gilt die neue Regelung nur für Girokonten, nicht aber für andere Konten. Während man die herkömmlichen iTan-Listen aus Papier bei den meisten Banken ab September entsorgen kann, rät die ING, selbige unbedingt aufzuheben. Denn man brauche sie, um die Banking-App für das Smartphone neu zu installieren. Auch ob die zwei starken Authentifizierungsmerkmale bei jedem Login oder nur alle 90 Tage abgefragt werden, hängt von der Bank ab.

Tan-Systeme sind zudem in manchen Fällen nur noch mit einem einzigen Endgerät nutzbar. So weist die Sparda-Bank Berlin darauf hin, dass ihr Verfahren Secure-Go, das in einer App die Tan generiert, nur mit einem einzigen für den Vorgang zugelassenen Gerät funktioniert. Mit anderen Worten: Man kann die App nicht abwechselnd auf Smartphone und iPad nutzen.

Jetzt sichern: Wir schenken Ihnen 1 Monat WK+!
Mehr zum Thema
Lesermeinungen

Das könnte Sie auch interessieren

Das Beste mit WK+