Ratgeber

Neue Regeln beim Banking: Was ändert sich?

Ein Artikel von , veröffentlicht am 25.09.2019
Bild: Pixabay CC0 / mobilsicher

Am 14. September 2019 ist die europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive) in Kraft getreten. Eine Folge: Die TAN-Listen auf Papier darf nicht mehr genutzt werden. Viele Nutzer*innen steigen daher auf Banking-Apps um. Wir erklären was sich ändert und worauf Sie achten sollten.

Am 14. September 2019 ist die europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive) in Kraft getreten. Damit soll der Geldtransfer in der EU sicherer und der Markt für neue Zahlungsdienste geöffnet werden.

Doch was bringt diese Richtlinie genau, welche Verfahren gibt es dazu und was ist letztendlich für Nutzer*innen zu tun?

Zwei-Faktor-Authentifizierung soll Sicherheit bringen

Banken müssen in Zukunft bei einer Transaktion nicht nur einen, sondern zwei voneinander unabhängige Sicherheitsmerkmale abfragen. Genannt wird das „Zwei-Faktor-Authentifizierung“. Die abgefragten Sicherheitsmerkmale müssen aus zwei der drei folgenden Kategorien stammen:

  • Wissen: etwas, das Sie wissen, zum Beispiel PIN oder Passwort
  • Besitz: etwas, das Sie besitzen, zum Beispiel Smartphone oder Bankkarte
  • Inhärenz: zum Beispiel biometrische Daten wie Fingerabdruck oder Gesicht

Die bekannten iTAN-Listen auf Papier dürfen die Banken nicht mehr verwenden.

Welche Verfahren gibt es?

Als Ersatz für die iTAN-Listen stehen mehrere Verfahren zur Auswahl. Die gängigsten sind:

TAN-Generator / Kartenlesegerät: Als sicherste Möglichkeit gilt das Überweisen mithilfe eines Kartenlesegerätes, dem sogenannten TAN-Generator. Indem Sie Ihre Bankkarte (Debitcard) durch den TAN-Generator ziehen, erhalten Sie eine TAN, die zeitlich begrenzt und nur für einen bestimmten Auftrag gültig ist. Manchmal kommt hierbei auch ein sogenannter Flickercode zum Einsatz. Dabei müssen Sie mit dem Kartenlesegerät einen Code am Bildschirm einscannen, den Sie in Ihrem Online-Banking-Konto angezeigt bekommen.

Der TAN-Generator hat in etwa die Größe eines Taschenrechners, ist nicht mit dem Internet verbunden und muss extra gekauft werden. Kostenpunkt: Zwischen 15 und 35 Euro. Der zweite Faktor ist hier Ihre Bankkarte.

Smartphone-App: Bei diesem Verfahren müssen Sie eine spezielle App auf dem Smartphone installieren, die Sie von Ihrer Bank genannt bekommen. Diese App müssen Sie einmal mit Ihrem Online-Banking-Konto verknüpfen. Sie erhalten von Ihrer Bank eine genaue Anleitung, mit welchen Schritten Sie das bewerkstelligen. Wenn Sie dann am PC eine Überweisung machen, schickt Ihnen die Bank eine Benachrichtigung in die App. Sie müssen also Ihr Handy zur Hand haben, die App öffnen und die Nachricht bestätigen. Manche Banken schicken auch eine TAN in die App, die Sie dann im PC eintippen müssen. Bei diesem Verfahren haben Sie gleich zwei zusätzliche Faktoren: Einmal das Smartphone, das Sie besitzen müssen und einmal den Code, mit dem Sie die App öffnen.

mTAN (Bestätigung per SMS): Bei diesem Verfahren bekommen Sie die Bestätigung für eine Überweisung per SMS auf Ihr Handy geschickt. Der zweite Faktor ist hier Ihre Handynummer.

Was ist sicherer: SMS oder App?

Das mTAN-Verfahren (Bestätigung per SMS) gilt als angreifbar. So können zum Beispiel bei einem als „SIM-Swapping“ bezeichneten Angriff SIM-Karte und Handynummer von Nutzer*innen kopiert und TANs dadurch umgeleitet werden. Zudem sind SMS nicht verschlüsselt und können leicht abgefangen werden. Die meisten Banking-Trojaner haben es auf dieses Verfahren abgesehen. Expert*innen raten daher von der SMS-Bestätigung weiterhin ab.

Die Smartphone-App zur Freigabe von Transaktionen gilt als sicherer, da die versendeten Benachrichtigungen dort verschlüsselt sind und die App zusätzlich durch einen Code geschützt ist. Ist das Smartphone selber durch ein Schadprogramm infiziert, können aber auch diese Sicherungen umgangen werden.

Handy richtig sichern

Für die Banken ist das Verfahren per App das günstigste – daher drängen sie ihre Kund*innen entschieden zu diesem Weg. Viele Nutzer*innen, die „kritische“ Funktionen wie Banking bisher von Ihrem Handy ferngehalten haben, sehen sich jetzt genötigt, sich auf das Verfahren per App einzulassen.

Insgesamt ist das durchaus ein Schritt in Richtung mehr Sicherheit beim Banking. Allerdings bekommt das Smartphone dadurch auch einen anderen Status. Ein Gerät, das mit dem eigenen Bankkonto verknüpft ist, muss anders gesichert werden, als eines, das nur zum Telefonieren da ist.

Die wichtigsten Sicherheitsregeln sind:

  • Bildschirmsperre mit mindestens sechsstelligem Zahlencode
  • Möglichst aktuelles Betriebssystem.
  • Bei Android ist neben der Android-Version auch die Versorgung mit Sicherheitspatches wichtig.
  • Augen auf beim Herunterladen von Apps. Auch im Play-Store können sich Schadprogramme verbergen.
Mit unserer praktischen Checkliste Android-Smartphone im Alltag sichern haben Sie alle wichtigen Regeln im Blick

Achtung Phishing-Welle

Schon vor der Einführung der zweiten Zahlungsdienstrichtlinie (PSD2) kursierten E-Mails, in denen Bankkunden aufgefordert wurden, persönliche Daten preiszugeben. Das sei für die Umstellung notwendig. Diese Phishing-Welle ist besonders perfide, da Banken derzeit tatsächlich viele Kunden per E-Mail kontaktieren und zur Umstellung auf die neuen Verfahren auffordern.

Aber: Alle seriösen Banken bieten die notwendigen Informationen direkt in ihrem Online-Banking-Konto an. Tippen Sie im Zweifel die Webadresse Ihrer Bank von Hand in die Browser-Adresszeile ein und loggen sich dann in Ihr Konto ein.

Auf keinen Fall sollten Sie Informationen zu Ihrem Bankkonto per Mail verschicken oder auf Links und Anhänge in E-Mails klicken, die angeblich von Ihrer Bank kommen. Sie sollten auf keinen Fall eine Banking-App installieren, wenn Sie dafür die Option „aus unbekannten Quellen“ aktivieren müssen.

Was Phishing ist und wie Sie es erkennen, erfahren Sie in unserem Ratgeber Dauerbrenner Phishing: So schützen Sie sich.

Artikel drucken:

Beitrag teilen:

Weitere Artikel

Ratgeber 

Apple Pay: Wie sicher ist der Bezahldienst fürs iPhone?

Zum Bezahlen an der Kasse das iPhone ans Lesegerät halten – das geht in Deutschland seit 2018. Auch in Apps kann man mit Apple Pay bezahlen. Wie sicher ist die Technik? Und was passiert mit den Daten? Unser Überblick zu Apples Bezahldienst.

Mehr Ratgeber 

Surfen mit Tor (Android)

Das Anonymisierungs-Netzwerk Tor kann dabei helfen, einen Teil der Spuren, die man beim Surfen im Netz hinterlässt, zu verschleiern. Welche Android-Software man für Tor braucht und wie man sie benutzt, erklären wir in den folgenden Abschnitten.

Mehr Ratgeber 

Anleitung: E-Mails verschlüsseln mit OpenKeyChain (Android)

Die von uns empfohlenen Mail-Apps K-9 und FairEmail bringen selbst keine Funktion zur Ende-zu-Ende-Verschlüsselung mit. Wenn Sie E-Mails verschlüsseln möchten, müssen Sie zusätzlich die App OpenKeyChain einrichten. Wir zeigen Schritt für Schritt, wie das geht.

Mehr Ratgeber 

Marcel Bokhorst: “Closed source and privacy protection don’t go together very well”

Marcel Bokhorst from the Netherlands is the developer of the open source Android app FairEmail. Besides transparency and privacy, he thinks that an easy usability is essential for an app’s success. This is why he takes users’ feedback seriously, he told mobilsicher.

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Förderung

Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

Impressum Datenschutz