1 33 Table of Contents 35 48

dbb magazin 7-8/2019

senioren Mehr Sicherheit im Online-Banking Die Zwei-Faktor- „Komplizierung“ Kaum hat sich die ältere Generation mit dem Internet und lebenserleichternden Maßnah­ men wie Online-Banking angefreundet und begriffen, wie es geht, drängen die Banken scheinbar ohne Not auf Komplizierung: Auf einmal sollen Nutzerinnen und Nutzer die „Zwei-Faktor-Authentifizierung“ anwenden, und zwar ab dem 14. September 2019 weitgehend ver­ pflichtend. „Schuld“ an dem zusätzlichen Schritt beim Einloggen ist eine EU-Richtlinie, die jetzt in nationales Recht umgesetzt wird. Der europäische Gesetzgeber hat damit einen wich­ tigen Schritt zu mehr Sicherheit im Zahlungsverkehr getan. „Zweite Zahlungsdienste­ richtlinie über die Starke Kun­ denauthentifizierung im elek­ tronischen Zahlungsverkehr“ (Payment Service Directive 2, PSD 2) nennt sich die Verord­ nung, die Online-Banking si­ cherer machen soll und bereits im Januar 2019 zu nationalem Recht geworden ist. Für die Umsetzung hatten die Markt­ teilnehmer allerdings Zeit bis zum 14. September 2019. Viele Kunden haben bereits die ent­ sprechenden Schreiben ihrer Banken erhalten und sind viel­ leicht sogar schon im „System“. Anderen wird der Brief in den kommenden Wochen zugehen und sie zum Handeln auffor­ dern. Bisher waren Kunden beim Online-Banking damit vertraut, sich einfach mit der Konto­ nummer oder einem Benutzer­ namen sowie einem Passwort auf den Internetseiten der Bank anzumelden. Einige Ban­ ken forderten zusätzlich noch eine Zahlen- oder Buchstaben­ kombination, die nicht über die Tastatur eingegeben werden durfte, sondern per Mausklicks absolviert werden musste. Hierbei spricht man von einer „Ein-Faktor-Authentifizierung“, weil der Zugang nur über einen Anmeldeschritt hergestellt wurde, der auf Wissen basiert – also Benutzername, Pass- wort und/oder Zahlenkombi­ nation. Dass dies relativ unsi­ cher ist, beweisen viele Fälle von Datenklau, die in den ver­ gangenen Jahren bei diversen Anbietern von Online-Dienst­ leistungen immer wieder für Schlagzeilen gesorgt haben. << Starker Schutz ist gefragt Sicherer soll der Anmeldepro­ zess mit einemWeiteren „star­ ken“ Authentifizierungsschritt werden, der zusätzlich auf Besitz oder Inhärenz basiert: Besitz würde dabei bedeuten, dass ein zusätzlicher Code zum Beispiel auf einem anderen Ge­ rät – etwa demMobiltelefon oder Tablet – eingegeben wer­ den muss, um den Zugang freizuschalten oder einen Zahlungsauftrag auszulösen. Inhärenz wäre ein körpereige­ nes Merkmal des Nutzers, also ein Fingerabdruck oder die Ge­ sichtserkennung. Außerdem regelt die Richtlinie PSD 2, wann eine starke Authentifi­ zierung nötig ist und welche Ausnahmen es gibt. Grundsätzlich ist die Zwei-Faktor-Authentifizierung nicht neu. Sie war für den Zahlungsverkehr bisher nur nicht verpflichtend. Nutzer von Microsoft- oder Apple-Pro­ dukten zum Beispiel kennen das Prozedere schon länger, weil sie ihre Zugänge zu den entsprechenden Online-Dienst­ leistungen und damit zu ihren eigenen sensiblen Nutzerdaten bei den Technikgiganten frei­ willig mit starker Authentifi­ zierung absichern können. Jetzt soll die starke Authenti­ fizierung den elektronischen Zahlungsverkehr verpflichtend schützen. Zwar ist die Zahlung an der Kasse per Kredit- oder EC-Karte auch eine elektroni­ sche Zahlung. Dort ändert sich aber erst einmal nichts, denn der Besitz der EC- oder Kredit­ karte erfüllt in Verbindung mit einer Unterschrift oder der Per­ sönlichen Identifikationsnum­ mer (PIN) bereits die Anforde­ rung, eine Zahlung über zwei Faktoren zu legitimieren. Wird aber zum Beispiel eine Online-Überweisung beauf­ tragt oder werden die Kredit­ kartendaten bei einem Online- Händler eingegeben, genügen die bisher übliche Transaktions­ nummer (TAN) auf Papier bei der EC-Karte oder gar keine wei­ tere Legitimation bei der Kredit­ karte dazu nicht mehr. Hier muss die Starke Kundenauthen­ tifizierung mit einer sogenann­ ten dynamischen Verknüpfung in Bezug auf Empfänger und Betrag erweitert werden. Das mobile mTAN-Verfahren, bei der zu jeder Überweisung eine TAN per SMS auf das Han­ dy des Kunden gesendet wird, bleibt zwar erlaubt, dürfte aus Sicherheitsgründen aber eben­ falls bald abgeschafft werden. Die meisten Kreditinstitute bieten mehrere Alternativen an, wie Kunden ihre Aufträge künf­ tig legitimieren können. Am komfortabelsten dürfte für die meisten das Systemmit einer gesonderten Sicherheitsapp auf dem Smartphone sein, über die Transaktionsnummern sicher übermittelt werden können. << Sicherer, aber auch komplizierter Wie genau diese Apps ausge­ staltet sind, kann von Bank zu Bank verschieden sein. Neben dieser Möglichkeit werden von © Colourbox.de/Cherezov Kirill , MEV 34 dbb > dbb magazin | Juli/August 2019

RkJQdWJsaXNoZXIy Mjc4MQ==