Wer anderen Zugriff auf sein Konto gewährt, muss sicher sein, dass es dennoch gut geschützt ist. Und so fordert die Zahlungsrichtlinie besondere Sicherheitsmaßnahmen.
Für Apple-Nutzer dürfte die Entwicklung zwar eher kalter Kaffee sein, sich etwa mit dem eigenen Fingerabdruck zu identifizieren. Nutzer des neuesten iPhone X können nun sogar ihr Gesicht zur Freischaltung des eigenen Telefons nutzen. Doch für Bankkunden ist all das noch Zukunftsmusik.
Sicherheit im Onlinebanking
Bei diesem Autorisierungsverfahren müssen Nutzer lediglich ihre Kontonummer oder einen Nutzernamen eintragen und eine dazugehörige PIN eingeben. Bitkom hält diese Autorisierung für sehr unsicher. Sie sei lediglich für Umsatzabfragen oder den Zugang zur Nachrichtenbox geeignet.
Indizierte Transaktionsnummer (iTAN) sind Transaktionsnummern, die von der Bank auf einer Liste in einem Index zusammengestellt wurden. Für Überweisungen müssen sie dann eine bestimmte TAN der Liste eingeben. Laut Bitkom besteht bei Verwendung von iTAN nur ein geringes Risiko eines Datenabgriffs. Wenn auch Manipulationen durch zwischengeschaltete Schadsoftware während der Eingabe der TAN möglich sind.
(Quelle: Bitkom)
Mobile TAN werden per SMS-Nachricht an den Bankkunden übertragen. Jeder eingeleitete Buchungsvorgang des Kunden muss mit der dazugehörigen verschickten mTAN bestätigt werden. Weil Smartphones, die die SMS-TAN empfangen, heute aber häufig mit dem Internet verbunden sind, besteht auch hier die Gefahr eines illegalen Abgriffs der TAN. Bitkom ordnet SMS-TAN als unsicher ein.
Über ein Lesegerät erzeugt der Bankkunde mit seiner EC-Karte eine TAN. Verschiedenste Varianten von smart-TAN, Chip-TAN bis zu e-TAN gelten laut Bitkom als sichere Authentifikationswege.
Viele Sparkassen und VR-Banken nutzen das Verfahren: Der Kunde muss weiterhin eine Karte in einen TAN-Generator stecken. Sobald er eine Überweisung im Onlinebanking ausführt, erscheint ein Schwarz-Weiß-Code auf dem Bildschirm. Diesen muss er dann mit seinen TAN-Generator samt EC-Karte einscannen. Aus den Daten des Schwarz-Weiß Codes liest der Generator die Überweisungsdetails und kreiert eine zugehörige TAN, die dann im Onlinebanking eingegeben werden muss. Bitkom schätzt die Verwendung als mindestens so sicher wie das iTAN-Verfahren.
Kunden müssen bei einer Überweisung einen Code auf dem PC-Bildschirm mit ihrem Smartphone scannen. Anschließend halten sie zur Verifizierung ihre NFC-fähige EC-Karte an das Smartphone. Über das Internet (oder auch per Hand) wird dann eine TAN übertragen. Nicht alle Smartphones und EC-Karten sind für dieses Verfahren ausgestattet. Laut Bitkom besteht dafür aber ein geringes Risiko, dass Hacker Daten abgreifen können.
Sie wählen sich meist mit einer Persönlichen Identifikationsnummer (PIN) im Onlinekonto ein und bestätigen ihre Überweisungen mit einer Transaktionsnummer (TAN). Die kann von einer Liste auf Papier stammen, sogenannte iTANs, von einem Tan-Generator oder einer Nachricht auf dem Handy (mTAN).
Bislang stand es Banken und Kunden weitgehend offen, mit welcher TAN-Variante sie eine Zahlung auslösen. Ab Januar gibt es strenge Vorschriften für die sogenannte „starke Kundenauthentifizierung“:
Beim Zugriff auf sein Geld muss der Kunden mindestens zwei von drei Merkmalen erfüllen: Wissen, Besitz und Inhärenz. Die Inhärenz, also etwas das der Nutzer ist, wäre beispielsweise über einen Fingerabdruckscanner nachweisbar. Die PIN zählt zum Merkmal Wissen, Besitz wäre ein TAN-Generator.
TAN-Listen jedoch sind unter der neuen Richtlinie nicht mehr möglich. In Deutschland sind sie ohnehin schon Auslaufmodell, seit die Finanzaufsicht BaFin 2015 höhere Anforderungen an die Sicherheit bei Onlinezahlungen forderte. Die letzten Nutzer von Tan-Listen müssten sich spätestens im Januar von ihren Papierbögen verabschieden. Eigentlich. Denn für die Einführung der neuen Sicherheitsanforderungen gilt eine Übergangsfrist von 18 Monaten.
Nur wer kleine Summen zahlt, unter 30 Euro, kann das künftig ohne die sichere Identifizierung machen.
Und Kunden ohne Onlinebanking? Müssen auch sie von ihrer Bank mit TAN-Generatoren ausgestattet werden, um künftig bei Onlinebestellungen noch mit ihrer IBAN zahlen zu können?
Nein, denn die sogenannten Sepa-Lastschriften sind von der Richtlinie ausgenommen. Damit gewähren Bankkunden dem Shop eine Ermächtigung zur Abbuchung des fälligen Rechnungsbetrages.
Neu ist auch, dass Kunden wohl nicht nur bei Überweisungen ein zweites Sicherheitsmerkmal benötigen. Künftig soll die starke Authentifizierung nach Vorgaben der Richtlinie mit zwei Merkmalen auch beim Zugriff auf das Onlinekonto angewendet werden. Ob und wie das im Detail umgesetzt wird, ist derzeit noch nicht klar.
Haftungsgrenze sinkt
Wird das Konto trotz der starken Sicherungsmerkmale geknackt, können Kunden weiterhin auf Unterstützung durch ihre Bank hoffen. Auch dann, wenn Beträge ohne ihre Genehmigung abgebucht werden, bleiben sie üblicherweise nicht auf dem Schaden sitzen. Bislang konnten Banken ihre Kunden mit maximal 150 Euro am Schaden beteiligen. Diese Summe sinkt nun auf 50 Euro.