Ratgeber

Neue Regeln beim Banking: Was ändert sich?

Ein Artikel von , veröffentlicht am 25.09.2019
Bild: Pixabay CC0 / mobilsicher

Am 14. September 2019 ist die europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive) in Kraft getreten. Eine Folge: Die TAN-Listen auf Papier darf nicht mehr genutzt werden. Viele Nutzer*innen steigen daher auf Banking-Apps um. Wir erklären was sich ändert und worauf Sie achten sollten.

Am 14. September 2019 ist die europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive) in Kraft getreten. Damit soll der Geldtransfer in der EU sicherer und der Markt für neue Zahlungsdienste geöffnet werden.

Doch was bringt diese Richtlinie genau, welche Verfahren gibt es dazu und was ist letztendlich für Nutzer*innen zu tun?

Zwei-Faktor-Authentifizierung soll Sicherheit bringen

Banken müssen in Zukunft bei einer Transaktion nicht nur einen, sondern zwei voneinander unabhängige Sicherheitsmerkmale abfragen. Genannt wird das „Zwei-Faktor-Authentifizierung“. Die abgefragten Sicherheitsmerkmale müssen aus zwei der drei folgenden Kategorien stammen:

  • Wissen: etwas, das Sie wissen, zum Beispiel PIN oder Passwort
  • Besitz: etwas, das Sie besitzen, zum Beispiel Smartphone oder Bankkarte
  • Inhärenz: zum Beispiel biometrische Daten wie Fingerabdruck oder Gesicht

Die bekannten iTAN-Listen auf Papier dürfen die Banken nicht mehr verwenden.

Welche Verfahren gibt es?

Als Ersatz für die iTAN-Listen stehen mehrere Verfahren zur Auswahl. Die gängigsten sind:

TAN-Generator / Kartenlesegerät: Als sicherste Möglichkeit gilt das Überweisen mithilfe eines Kartenlesegerätes, dem sogenannten TAN-Generator. Indem Sie Ihre Bankkarte (Debitcard) durch den TAN-Generator ziehen, erhalten Sie eine TAN, die zeitlich begrenzt und nur für einen bestimmten Auftrag gültig ist. Manchmal kommt hierbei auch ein sogenannter Flickercode zum Einsatz. Dabei müssen Sie mit dem Kartenlesegerät einen Code am Bildschirm einscannen, den Sie in Ihrem Online-Banking-Konto angezeigt bekommen.

Der TAN-Generator hat in etwa die Größe eines Taschenrechners, ist nicht mit dem Internet verbunden und muss extra gekauft werden. Kostenpunkt: Zwischen 15 und 35 Euro. Der zweite Faktor ist hier Ihre Bankkarte.

Smartphone-App: Bei diesem Verfahren müssen Sie eine spezielle App auf dem Smartphone installieren, die Sie von Ihrer Bank genannt bekommen. Diese App müssen Sie einmal mit Ihrem Online-Banking-Konto verknüpfen. Sie erhalten von Ihrer Bank eine genaue Anleitung, mit welchen Schritten Sie das bewerkstelligen. Wenn Sie dann am PC eine Überweisung machen, schickt Ihnen die Bank eine Benachrichtigung in die App. Sie müssen also Ihr Handy zur Hand haben, die App öffnen und die Nachricht bestätigen. Manche Banken schicken auch eine TAN in die App, die Sie dann im PC eintippen müssen. Bei diesem Verfahren haben Sie gleich zwei zusätzliche Faktoren: Einmal das Smartphone, das Sie besitzen müssen und einmal den Code, mit dem Sie die App öffnen.

mTAN (Bestätigung per SMS): Bei diesem Verfahren bekommen Sie die Bestätigung für eine Überweisung per SMS auf Ihr Handy geschickt. Der zweite Faktor ist hier Ihre Handynummer.

Was ist sicherer: SMS oder App?

Das mTAN-Verfahren (Bestätigung per SMS) gilt als angreifbar. So können zum Beispiel bei einem als „SIM-Swapping“ bezeichneten Angriff SIM-Karte und Handynummer von Nutzer*innen kopiert und TANs dadurch umgeleitet werden. Zudem sind SMS nicht verschlüsselt und können leicht abgefangen werden. Die meisten Banking-Trojaner haben es auf dieses Verfahren abgesehen. Expert*innen raten daher von der SMS-Bestätigung weiterhin ab.

Die Smartphone-App zur Freigabe von Transaktionen gilt als sicherer, da die versendeten Benachrichtigungen dort verschlüsselt sind und die App zusätzlich durch einen Code geschützt ist. Ist das Smartphone selber durch ein Schadprogramm infiziert, können aber auch diese Sicherungen umgangen werden.

Handy richtig sichern

Für die Banken ist das Verfahren per App das günstigste – daher drängen sie ihre Kund*innen entschieden zu diesem Weg. Viele Nutzer*innen, die „kritische“ Funktionen wie Banking bisher von Ihrem Handy ferngehalten haben, sehen sich jetzt genötigt, sich auf das Verfahren per App einzulassen.

Insgesamt ist das durchaus ein Schritt in Richtung mehr Sicherheit beim Banking. Allerdings bekommt das Smartphone dadurch auch einen anderen Status. Ein Gerät, das mit dem eigenen Bankkonto verknüpft ist, muss anders gesichert werden, als eines, das nur zum Telefonieren da ist.

Die wichtigsten Sicherheitsregeln sind:

  • Bildschirmsperre mit mindestens sechsstelligem Zahlencode
  • Möglichst aktuelles Betriebssystem.
  • Bei Android ist neben der Android-Version auch die Versorgung mit Sicherheitspatches wichtig.
  • Augen auf beim Herunterladen von Apps. Auch im Play-Store können sich Schadprogramme verbergen.
Mit unserer praktischen Checkliste Android-Smartphone im Alltag sichern haben Sie alle wichtigen Regeln im Blick

Achtung Phishing-Welle

Schon vor der Einführung der zweiten Zahlungsdienstrichtlinie (PSD2) kursierten E-Mails, in denen Bankkunden aufgefordert wurden, persönliche Daten preiszugeben. Das sei für die Umstellung notwendig. Diese Phishing-Welle ist besonders perfide, da Banken derzeit tatsächlich viele Kunden per E-Mail kontaktieren und zur Umstellung auf die neuen Verfahren auffordern.

Aber: Alle seriösen Banken bieten die notwendigen Informationen direkt in ihrem Online-Banking-Konto an. Tippen Sie im Zweifel die Webadresse Ihrer Bank von Hand in die Browser-Adresszeile ein und loggen sich dann in Ihr Konto ein.

Auf keinen Fall sollten Sie Informationen zu Ihrem Bankkonto per Mail verschicken oder auf Links und Anhänge in E-Mails klicken, die angeblich von Ihrer Bank kommen. Sie sollten auf keinen Fall eine Banking-App installieren, wenn Sie dafür die Option „aus unbekannten Quellen“ aktivieren müssen.

Was Phishing ist und wie Sie es erkennen, erfahren Sie in unserem Ratgeber Dauerbrenner Phishing: So schützen Sie sich.

Weitere Artikel

Ratgeber 

Bilder anonymisieren mit ObscuraCam

Digitale Fotos enthalten mehr Informationen, als das, was auf dem Bild zu sehen ist. Zum Beispiel Uhrzeit und Ort der Aufnahme. Die App ObscuraCam entfernt diese Metadaten und kann Bilder auch verpixeln. Wir zeigen, wie es geht, und wo die App Schwächen hat.

Mehr
App-Test 

App-Test: Kindersicherung Screen Time for Kids

Mit der App können Eltern das Smartphone ihres Kindes überwachen und die Nutzung einschränken. Allerdings landen dabei sehr viele Daten beim Anbieter, das Nutzerkonto ist schlecht gesichert und es gehen Informationen an Facebook.

Mehr
Ratgeber 

iOS 12: Die wichtigsten Neuerungen für Privacy und Sicherheit

Die aktuelle Version des mobilen Betriebssystems von Apple glänzt vor allem mit Leistung und Schnelligkeit. Doch auch in Sachen Privacy und Sicherheit hat sich was getan. Vor allem beim Tracking-Schutz, bei der Passwort-Verwaltung und beim Schutz vor ungewolltem Auslesen hat Apple nachgelegt.

Mehr
YouTube-Video 

iOS-Datenschutz: Wie ehrlich sind App-Anbieter?

Im iOS-Store müssen App-Anbieter seit einem halben Jahr eintragen, welche Daten ihre Apps verarbeiten. Aber wie gut funktioniert die neue Funktion „App-Datenschutz“ auf dem iPhone? Wir haben uns das Feature genau angeschaut und bei 25 Apps die Angaben für Sie gegengecheckt.

Ansehen