Zwei-Faktor-Authentisierung wird Pflicht beim Online-Banking

Die Zwei-Faktor-Authentisierung

Die Zwei-Faktor-Authentisierung oder Mehrfaktor-Authentisierung besteht aus mindestens zwei unterschiedlichen, voneinander physisch getrennten Wegen der Kundenidentifizierung. Das kann beispielsweise bedeuten, dass Sie "Wissen" benötigen, etwa ein Passwort oder eine Pin, und dass Sie zudem ‚Besitz‘ nachweisen müssen, womöglich über einen TAN-Generator oder eine App auf Ihrem Smartphone. Damit kann sichergestellt werden, dass Ihr Konto sicher ist – selbst wenn Ihr Passwort kompromittiert worden ist. Ein weiterer Faktor kann die ‚Biometrie‘ sein, also die Abfrage eines Fingerabdrucks oder eines Gesicht-Scans.

Die bisher als zweiter Faktor häufig kursierenden iTAN-Papierlisten sind nach der neuen Richtlinie nicht mehr zulässig. Diese wurde in der Vergangenheit wiederholt für Phishing-Betrug missbraucht und sind seit mehr als zehn Jahren nicht mehr auf einem angemessenen Sicherheitsniveau.

PSD2 lässt jedoch auch Ausnahmen zu. Sosind zum Beispiel kontaktlose Kartenzahlungen –egal ob mit einer echten Karte oder mit ihrem virtuellen Abbild auf dem Smartphone – bis zu einem Betrag von 50€ von der Regelung befreit. Auch der Abruf von Kontostand und Umsätzen kann von der Richtlinie ausgenommen werden. Es obliegt dem Ermessen eines Kreditinstituts, inwieweit von diesen Ausnahmen Gebrauch gemacht wird.

Was ändert sich jetzt für mich?

Welche Möglichkeiten der Zwei-Faktor-Authentisierung gibt es?

Die Optionen der Zwei-Faktor-Authentisierung sind sehr vielfältig. In der Kategorie ‚Wissen‘ können Informationen wie Passwörter, PINs, Codes oder Antworten auf Geheimfragen geprüft werden. Die Kategorie ‚Besitz‘ fragt ab, ob der Kommunikationspartner Zugriff auf zum Beispiel eine Chipkarte, einen TAN-Generator, ein Smartphone mit einer eindeutigen ID oder ein Token hat. Unter den Bereich ‚Biometrie‘ fällt der Check von Fingerabdrücken, Gesichtsabgleichen, Retina-Scans. Wie die jeweiligen Methoden von den Banken ausgestaltet und miteinander verknüpft werden, können die Unternehmen eigenständig festlegen und somit auch ihr Sicherheitsniveau für Log-Ins und Transaktionen definieren.

Vom Einsatz der mTan, die per SMS an die Kunden versendet wird, rät das BSI seit einigen Jahren ab. Diese Codes können mit einfachen Mitteln abgefangen werden, indem Kriminelle zum Beispiel eine zweite Sim-Karte für die beim Online-Banking hinterlegte Nummer beschaffen!

Meine iTAN-Liste ist nicht mehr gültig. Was nun?

Da PSD2 bereits seit März in Kraft getreten ist, sind alle Banken seitdem bemüht, ihre Systeme umzurüsten. Darüber informieren die Banken ihre Kunden und zeigen Wege auf, wie die Kunden die neuen Authentisierungsmöglichkeiten nutzen können. Sollten Sie bisher keine Benachrichtigung erhalten haben, sprechen Sie Ihre Bank direkt auf die neue EU-Richtlinie an.

Die Papierlisten haben für mich immer gut funktioniert. Warum darf ich sie nicht mehr verwenden?

Die iTAN-Listen werden durch elektronische TAN Verfahren abgelöst, da nur auf die TAN nur so bei jeder neuen Zahlung mit Zahlungsbetrag und Zahlungsempfänger verbunden werden kann. Der generierte Authentifizierungscode gilt speziell für den Zahlungsbetrag und den Zahlungsempfänger, denen der Zahler beim Auslösen des Vorgangs zugestimmt hat.

Welches Verfahren ist für mich das Richtige?

Jede Bank kann selbst entscheiden, welche der aktuellen Authentisierungsverfahren sie an ihre Kunden weitergeben möchte. In einigen Fällen stellen die Finanzhäuser mehrere Optionen für die Kundschaft zur Auswahl, aus denen jeder Kontoinhaber wählen und den individuell besten Kompromiss aus Handhabung und Sicherheit für sich wählen kann.

Meine Bank bietet das Authentisierungsverfahren, das ich verwenden möchte, nicht an.

Falls Ihre Bank Ihnen nicht die gewünschte Methode ermöglichen kann oder möchte, bleibt Ihnen nur ein Umzug Ihres Kontos zu einem der Wettbewerber. Hierbei sollten Sie zusätzlich darauf achten, dass Ihre neue Bank die Authentisierung physisch trennt. Das heißt beispielsweise, dass die Passwort-Eingabe und die Überprüfung Ihres Fingerabdrucks nicht auf einem einzigen Gerät oder Smartphone erfolgen sollte. Ist das Gerät mit Schadsoftware infiziert sein, können beide Faktoren für Kriminelle zugänglich werden. Daher ist es empfehlenswert, zwei Geräte beim Onlinebanking zu benutzen, sodass die Sicherheitsfaktoren immer unabhängig voneinander sind.