Ab September tritt eine neue EU-Richtlinie in Kraft, die das Online-Banking sicherer machen soll. Sie schafft die klassische TAN-Liste ab und führt eine „starke Kundenauthentifizierung“ ein. Was genau verbirgt sich dahinter?
Wer Online-Banking macht, gibt seine Transaktionen entweder mit einem TAN-Verfahren oder einem Signaturverfahren frei. Die „indizierte TAN“ – kurz iTAN genannt – hat als Sicherheitsverfahren jetzt jedoch ausgedient. Ab dem 14. September 2019 tritt die zweite Stufe der Zahlungsdiensterichtlinie („PSD2“) in Kraft, die den Zahlungsverkehr in den EU-Staaten neu regelt. Zu den wesentlichen Änderungen gehört unter anderem die Abschaffung der iTAN. Dabei muss der Kunde zur Freigabe einer Transaktion eine ganz bestimmte Nummer einer Liste eingeben. „Einige Banken verzichten schon seit vielen Jahren auf die iTAN – so auch die Postbank. Modernere Sicherheitsverfahren haben sich längst etabliert, sodass der Wegfall der iTAN in Deutschland für die Mehrheit der Bankkunden keine große Umstellung mehr bedeutet“, sagt Kerstin Lerch-Palm.
Mit zwei Faktoren das Online-Banking bestätigen
Eine „starke Kundenauthentifizierung“ gehört ebenso zu den Neuerungen, die verpflichtend sind. Von Überweisungen im Online-Banking kennt man das schon: Man tippt seine Überweisung in die Online-Maske ein und gibt seine Zahlung mit einem bevorzugten Sicherheitsverfahren – dem zweiten Faktor – frei. Auch beim Bezahlen im Internet mit einer Kreditkarte konnte es in Einzelfällen vorkommen, dass die Identität des Kunden mit einem zweiten Faktor bestätigt werden musste. Zum Beispiel, wenn ein ungewöhnlich großer Einkauf stattfand. Künftig müssen sich Kunden auch beim Login mit der sogenannten „Zwei-Faktor-Authentifizierung“ identifizieren. Das Gesetz sieht dabei vor, dass zwei Identifikationsmerkmale dreier unterschiedlicher Sicherheitskategorien miteinander kombiniert werden müssen:
Wissen: Etwas, das man weiß, zum Beispiel PIN oder Passwort
Besitz: Etwas, das man hat, zum Beispiel Kreditkarte oder Smartphone
Sein: Etwas, das einem zu eigen ist, zum Beispiel biometrische Faktoren wie Fingerabdruck, Gesichtserkennung oder Stimme
Ganz im Zeichen der Sicherheit
Wer sich also künftig in sein Online-Banking einloggen möchte, benötigt nicht nur Benutzernamen und Passwort bzw. Kontonummer und PIN, sondern muss seine Identität in einem weiteren Schritt auch noch mit einem Sicherheitsverfahren bestätigen. Das kann zum Beispiel eine mit Generator erzeugte chipTAN sein. Besonders einfach und PSD2-konform für Postbank Kunden ist dabei die Nutzung des kostenlosen Signaturverfahrens Postbank BestSign mobil, das als App „BestSign“ oder integriert im Postbank Finanzassistenten zur Verfügung steht. Denn nach nur einmaliger Registrierung und künftigem Login mit Fingerabdruck (TouchID) oder Gesichtserkennung (FaceID) entfällt die bisher geforderte Eingabe eines Passworts – auch nach dem Login, zum Beispiel bei der Freigabe einer Überweisung.
Quelle: Postbank