Mit PSD2 soll die sogenannte „starke Kundenauthentifizierung“ eingeführt werden. „Dies bedeutet für Sie mehr Sicherheit im Zahlungsverkehr. Online- und Kartenzahlungen müssen nun grundsätzlich durch zwei unabhängige Merkmale aus den Kategorien Wissen, Besitz und Inhärenz bestätigt werden“, erklärt die Deutsche Bundesbank.
„Wissen“ beinhaltet etwas, was der Verbraucher kennt, zum Beispiel eine PIN oder ein Passwort. „Besitz“ bedeutet, dass die Identifizierung über einen Gegenstand erfolgt, den nur der Kunde besitzt, klassischerweise das Smartphone oder einen TAN-Generator, der Transaktionsnummern (TANs) erzeugt. Inhärenz („Anhaftung“) erfolgt über ein Merkmal, das individuell an den menschlichen Körper gekoppelt ist. Aktuell ist das meist der Fingerabdruck.
„Letztlich bedeutet dies, dass Sie beim Bezahlen im Internet oder auch beim Login in das Online-Banking z.B. neben der Eingabe von Benutzerkennung und PIN zukünftig auch eine TAN eingeben müssen,“ so die Bundesbank. „Dabei werden nur noch TAN-Verfahren erlaubt sein, bei denen für jede Transaktion jeweils eine neue TAN generiert wird (das dynamische TAN-Verfahren).“ Die meisten Banken bieten auch mehrere Verfahren an. Wir haben die Nutzerfreundlichkeit der wichtigsten Verfahren getestet und vergeben dabei Bewertung von einem Stern (nicht überzeugend) bis zu drei Sternen (sehr überzeugend).
Eine zwangsläufig unvollständige Übersicht der Angebote auf dem Markt:
Photo-Tan (getestet bei Comdirect)
Login über Passwort, jede Transaktion muss durch eine Photo-Transaktionsnummer freigegeben werden. Um die zu bekommen, lade ich mir schnell und unkompliziert die photoTAN-App aufs Handy. Die Bank stellt mir, sobald ich eine Transaktion ausführen lassen will, ein kleines Quadrat mit vielen roten, blauen und grünen Pünktchen – ähnlich wie ein QR-Code – auf den Computer, direkt unter die Überweisungs- oder Ordermaske. Dann öffne ich die App und halte das Handy an den Rechner, so dass es das Quadrat scannen kann. Das geht flott und unkompliziert, auch leicht schräg oder aus größerer Entfernung. Nach einem Sekundenbruchteil erscheint die TAN auf dem Handy.
Bewertung: Unkompliziert, pannenfrei, etwas langsamer als das Mobile-TAN-Verfahren. Aber man muss eben immer Rechner und Handy oder Tablet und Handy einsetzen. (3 Sterne)
(Hauke Reimer)
i-tan-Karte (getestet bei flatex)
Der Billigbroker liefert eine echte Sparversion, und das ziemlich analog: Ich bekomme ein scheckkartengroßes Pappkärtchen, auf dem eine Ziffern-Matrix abgedruckt ist. Die Spalten sind durchnummeriert von 1 bis 9, die Zeilen haben Buchstaben von A bis M. Ins Konto einloggen läuft über das Passwort, danach geht es wie beim Schiffe versenken: Wer etwas überweisen oder eine Aktie kaufen will, bekommt von der Bank eine Kombination vorgegeben, zum Beispiel D2, A1 und C7. In den jeweiligen Feldern stehen dann Zahlenkombinationen, die in eine Maske auf dem Bildschirm eingetragen werden. In D2 steht zum Beispiel „hadu“, in A1 „b51 und in C7 „7nt3“. Die gebe ich ein und kann dann loslegen.
Bewertung: Simpel, problemlos, das Raussuchen der Zahlen ist etwas mühsam – und man muss die Karte immer dabei haben. Wenn man sie verliert oder sie geklaut wird: Schnell sperren lassen. (2 Sterne)
(Hauke Reimer)
„BestSign“-Verfahren (getestet bei der Postbank)
Die Verwirrung begann für mich im vergangenen Jahr. Die Postbank änderte das Sicherheitsverfahren. Eigentlich hatte ich mich als langjähriger Nutzer an die Zugangsnummer (die der Kontonummer entsprach) und mein Passwort gewöhnt. Die TAN für mobile Überweisungen wurde mir bequem auf mein Handy gepusht. Alles super. Doch damit war dann 2018 irgendwie Schluss. Ich wechselte zum „BestSign-Verfahren“ der Postbank. Da hatte sich die Marketingabteilung ein nettes Wort ausgedacht. Die Zugangsnummer bekam zwei zusätzliche Buchstaben (die ich anfangs regelmäßig vergessen habe). Außerdem musste ich eine zweite App herunterladen, mit der Überweisungen bestätigt und freigegeben werden.
Was mich dann völlig aus der Bahn geworfen hat: Die App forderte mich auf, ein „Seal One Gerät“ zu aktivieren. Bitte, was?! Ich lernte, dass es sich dabei um besonders sicheres Verfahren handeln musste, um ein mobiles Gerät mit dem Konto zu verknüpfen. Ich weiß nicht mehr wie, jedenfalls habe ich im Jahr 2018 irgendwie mein Handy als Seal One Gerät aktiviert – und ein weiteres dazu. Seitdem kursieren zwei Seal One Geräte in meinem Account, aber nur eines funktioniert. Eine Überweisung ist komplizierter geworden als vorher. Um einen Betrag freizugeben, muss ich in eine zweite App wechseln. Vorher muss ich aber jedes Mal noch einmal händisch zusätzlich mein Passwort eingeben, obwohl ich per Face ID bereits im Konto angemeldet bin.
Bewertung: Für Nutzer, die das mobile Tan-Verfahren gewohnt sind, wird es eher unbequemer. (1 Stern)
(Christian Schlesiger)
chip-TAN (getestet bei der Frankfurter Sparkasse)
Angeblich das sicherste, aber auch eines der nervigsten Verfahren. Einloggen auch hier über Passwort. Vorher muss ich bei der Bank einen TAN-Generator kaufen. Das kleine, taschenrechnerähnliche Gerät, kostet 20 Euro. Sobald ich meinen Auftrag am PC oder Laptop abgesendet habe, erscheint auf dem Bildschirm eine animierte Grafik, aus seltsam flackernden schwarzen und weißen Balken. Jetzt muss ich meine EC-Karte in den TAN-Generator stecken und den dann vor die Grafik, am Bildschirm halten. So werden die Auftragsdaten auf den Generator übertragen.
Der Generator wirft eine TAN aus, die ich dann am Rechner eingeben muss. So läuft es in der Theorie. In der Praxis funktioniert es oft nicht, zum Beispiel, wenn ich den Generator nicht ganz glatt und sauber an die Grafik auf dem Bildschirm halte. Dann geht das Spiel von vorne los. Ärgerlich auch: Die Batterie des Generators ist relativ schnell leer. Ärger ist programmiert, wenn ich jetzt gerade meine Aktie verkaufen will, der Generator aber keinen Saft mehr hat und ich erst losziehen muss, um eine Batterie zu kaufen.
Bewertung: Super sicher, aber auch super kompliziert. Ich muss den Generator und meine EC-Karte immer dabei haben. Häufig klappt es nicht, weil der Generator die Daten auf dem Schirm nicht sauber ablesen kann. (1 Stern)
(Hauke Reimer)
HBCI Signatur (getestet bei der Oldenburgischen Landesbank)
Die Regionalbank mit propagiertem bundesweitem Anspruch treibt ihre Kunden gerne mit ihren komplizierten Sicherheitsverfahren in den Online-Banking-Wahnsinn. Seit Jahren setzt die OLB auf das HBCI-Verfahren, bei dem eine Schlüsseldatei auf dem heimischen Rechner generiert und von der Bank abgesegnet werden muss, bevor das Online-Banking sich per Passwort öffnen lässt. So weit, so kompliziert. Seit neuestem aber ist zudem noch eine App notwendig, selbstverständlich in unterschiedlichen Varianten für verschiedene Browser und Betriebssysteme, die bei weitem nicht immer problemlos öffnet und funktioniert. Wer die Login-Verfahren anderer Banken gewohnt ist, verzweifelt hier gerne mal vor dem Bildschirm – und lehnt sich dann in dem guten Gewissen zurück, auf diese Weise immerhin Zeit zum Nachdenken zu bekommen: Etwa darüber, zu welcher Bank man sein Girokonto vielleicht umziehen sollte.
Bewertung: sicheres Verfahren, leider wenig praktikabel, zudem sehr problemanfällig (1 Stern)
(Simon Book)
Mobile TAN (getestet bei Consorsbank)
Einloggen über Passwort auch hier. Die Bank bekommt meine Handynummer. Wenn ich eine Transaktion abschließen will, fordere ich per Klick in der Auftragsmaske eine mobile TAN an. Sehr schnell kommt die dann per SMS aufs Handy, ich kann sie eintragen und fertig. Einfacher geht es kaum. Wenn ich keinen Handyempfang habe, funktioniert es aber nicht.
Bewertung: Unkompliziert, kostenlos, geht auch am schnellsten. Und das Handy habe ich ohnehin immer dabei. (3 Sterne)
(Hauke Reimer)
Mobile TAN (getestet bei der Sparkasse)
Die Sparkasse erlaubt es nicht, dass die TAN per SMS auf das gleiche Gerät geschickt wird, mit dem man auch im Onlinebanking eingeloggt ist. Wenn man im Ausland ist, ist das absolut unpraktikabel. Die einzige Möglichkeit, dann Geld zu transferieren ist, sich mit einem fremden Gerät ins Onlinekonto einzuloggen, die deutsche Sim-Karte ins Handy zu packen und zu hoffen, dass die TAN ankommt. Tut sie aber meiner Erfahrung nach nicht immer.
Bewertung: Vor allem im Ausland unpraktikabel. Und ob das die sicherste Variante ist, wage ich auch zu bezweifeln, wenn ich keinen eigenen Laptop dabei habe, um mich auf dem Onlinekonto einzuloggen. (1 Stern)
(Jacqueline Goebel)
VR Secure Go und VR Secure Sign App (Volks- und Raiffeisenbanken)
Die Volks- und Raiffeisenbanken setzen aktuell noch das Mobile-TAN verfahren ein. Da dies aber 2020 eingestellt wird, haben sie mir prophylaktisch bereits eine App namens „VR Secure Go“ ans Herz gelegt. Dort kann ich mich aber nicht registrieren, weil „die BLZ nicht aufgelöst werden kann“. Erklärungen: Fehlanzeige. Erst über Rückfragen des IT-Dienstleisters stellt sich heraus, dass aktuell noch nicht alle Volks- und Raiffeisenbanken am neuesten Bankverfahren teilnehmen. Dementsprechend stehen mehrere Apps zur Verfügung, mir wurde schlicht die falsche empfohlen. Das ist zwar nicht schön, aber immerhin funktioniert die App „meiner Bank“ (namens „VR Secure Sign“) sofort.
Bewertung: Der Umstieg auf die App ist nicht binnen Minuten erledigt, funktioniert aber reibungslos. Insofern man die richtige ausgewählt hat. (2,5 Sterne)
(Christina Hollender)
ING Diba App
Die iPhone-App der ING Diba App ist praktisch, um den Überblick über meine Kontobewegungen und den aktuellen Stand zu behalten. Auch einfache Korrespondenz mit der Bank wie Kontoauszüge oder Änderungen der AGBs kann ich hier immer lesen. Allerdings ist die App nur passiv. Um Bankgeschäfte wie Überweisungen zu tätigen, muss ich dann wieder ins Internet.
Bewertung: -
(Stefan Hajek)
