Ratgeber

Neue Regeln beim Banking: Was ändert sich?

Ein Artikel von , veröffentlicht am 25.09.2019
Bild: Pixabay CC0 / mobilsicher

Am 14. September 2019 ist die europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive) in Kraft getreten. Eine Folge: Die TAN-Listen auf Papier darf nicht mehr genutzt werden. Viele Nutzer*innen steigen daher auf Banking-Apps um. Wir erklären was sich ändert und worauf Sie achten sollten.

Am 14. September 2019 ist die europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive) in Kraft getreten. Damit soll der Geldtransfer in der EU sicherer und der Markt für neue Zahlungsdienste geöffnet werden.

Doch was bringt diese Richtlinie genau, welche Verfahren gibt es dazu und was ist letztendlich für Nutzer*innen zu tun?

Zwei-Faktor-Authentifizierung soll Sicherheit bringen

Banken müssen in Zukunft bei einer Transaktion nicht nur einen, sondern zwei voneinander unabhängige Sicherheitsmerkmale abfragen. Genannt wird das „Zwei-Faktor-Authentifizierung“. Die abgefragten Sicherheitsmerkmale müssen aus zwei der drei folgenden Kategorien stammen:

  • Wissen: etwas, das Sie wissen, zum Beispiel PIN oder Passwort
  • Besitz: etwas, das Sie besitzen, zum Beispiel Smartphone oder Bankkarte
  • Inhärenz: zum Beispiel biometrische Daten wie Fingerabdruck oder Gesicht

Die bekannten iTAN-Listen auf Papier dürfen die Banken nicht mehr verwenden.

Welche Verfahren gibt es?

Als Ersatz für die iTAN-Listen stehen mehrere Verfahren zur Auswahl. Die gängigsten sind:

TAN-Generator / Kartenlesegerät: Als sicherste Möglichkeit gilt das Überweisen mithilfe eines Kartenlesegerätes, dem sogenannten TAN-Generator. Indem Sie Ihre Bankkarte (Debitcard) durch den TAN-Generator ziehen, erhalten Sie eine TAN, die zeitlich begrenzt und nur für einen bestimmten Auftrag gültig ist. Manchmal kommt hierbei auch ein sogenannter Flickercode zum Einsatz. Dabei müssen Sie mit dem Kartenlesegerät einen Code am Bildschirm einscannen, den Sie in Ihrem Online-Banking-Konto angezeigt bekommen.

Der TAN-Generator hat in etwa die Größe eines Taschenrechners, ist nicht mit dem Internet verbunden und muss extra gekauft werden. Kostenpunkt: Zwischen 15 und 35 Euro. Der zweite Faktor ist hier Ihre Bankkarte.

Smartphone-App: Bei diesem Verfahren müssen Sie eine spezielle App auf dem Smartphone installieren, die Sie von Ihrer Bank genannt bekommen. Diese App müssen Sie einmal mit Ihrem Online-Banking-Konto verknüpfen. Sie erhalten von Ihrer Bank eine genaue Anleitung, mit welchen Schritten Sie das bewerkstelligen. Wenn Sie dann am PC eine Überweisung machen, schickt Ihnen die Bank eine Benachrichtigung in die App. Sie müssen also Ihr Handy zur Hand haben, die App öffnen und die Nachricht bestätigen. Manche Banken schicken auch eine TAN in die App, die Sie dann im PC eintippen müssen. Bei diesem Verfahren haben Sie gleich zwei zusätzliche Faktoren: Einmal das Smartphone, das Sie besitzen müssen und einmal den Code, mit dem Sie die App öffnen.

mTAN (Bestätigung per SMS): Bei diesem Verfahren bekommen Sie die Bestätigung für eine Überweisung per SMS auf Ihr Handy geschickt. Der zweite Faktor ist hier Ihre Handynummer.

Was ist sicherer: SMS oder App?

Das mTAN-Verfahren (Bestätigung per SMS) gilt als angreifbar. So können zum Beispiel bei einem als „SIM-Swapping“ bezeichneten Angriff SIM-Karte und Handynummer von Nutzer*innen kopiert und TANs dadurch umgeleitet werden. Zudem sind SMS nicht verschlüsselt und können leicht abgefangen werden. Die meisten Banking-Trojaner haben es auf dieses Verfahren abgesehen. Expert*innen raten daher von der SMS-Bestätigung weiterhin ab.

Die Smartphone-App zur Freigabe von Transaktionen gilt als sicherer, da die versendeten Benachrichtigungen dort verschlüsselt sind und die App zusätzlich durch einen Code geschützt ist. Ist das Smartphone selber durch ein Schadprogramm infiziert, können aber auch diese Sicherungen umgangen werden.

Handy richtig sichern

Für die Banken ist das Verfahren per App das günstigste – daher drängen sie ihre Kund*innen entschieden zu diesem Weg. Viele Nutzer*innen, die „kritische“ Funktionen wie Banking bisher von Ihrem Handy ferngehalten haben, sehen sich jetzt genötigt, sich auf das Verfahren per App einzulassen.

Insgesamt ist das durchaus ein Schritt in Richtung mehr Sicherheit beim Banking. Allerdings bekommt das Smartphone dadurch auch einen anderen Status. Ein Gerät, das mit dem eigenen Bankkonto verknüpft ist, muss anders gesichert werden, als eines, das nur zum Telefonieren da ist.

Die wichtigsten Sicherheitsregeln sind:

  • Bildschirmsperre mit mindestens sechsstelligem Zahlencode
  • Möglichst aktuelles Betriebssystem.
  • Bei Android ist neben der Android-Version auch die Versorgung mit Sicherheitspatches wichtig.
  • Augen auf beim Herunterladen von Apps. Auch im Play-Store können sich Schadprogramme verbergen.
Mit unserer praktischen Checkliste Android-Smartphone im Alltag sichern haben Sie alle wichtigen Regeln im Blick

Achtung Phishing-Welle

Schon vor der Einführung der zweiten Zahlungsdienstrichtlinie (PSD2) kursierten E-Mails, in denen Bankkunden aufgefordert wurden, persönliche Daten preiszugeben. Das sei für die Umstellung notwendig. Diese Phishing-Welle ist besonders perfide, da Banken derzeit tatsächlich viele Kunden per E-Mail kontaktieren und zur Umstellung auf die neuen Verfahren auffordern.

Aber: Alle seriösen Banken bieten die notwendigen Informationen direkt in ihrem Online-Banking-Konto an. Tippen Sie im Zweifel die Webadresse Ihrer Bank von Hand in die Browser-Adresszeile ein und loggen sich dann in Ihr Konto ein.

Auf keinen Fall sollten Sie Informationen zu Ihrem Bankkonto per Mail verschicken oder auf Links und Anhänge in E-Mails klicken, die angeblich von Ihrer Bank kommen. Sie sollten auf keinen Fall eine Banking-App installieren, wenn Sie dafür die Option „aus unbekannten Quellen“ aktivieren müssen.

Was Phishing ist und wie Sie es erkennen, erfahren Sie in unserem Ratgeber Dauerbrenner Phishing: So schützen Sie sich.

Weitere Artikel

YouTube-Video 

E-Mail-App K-9 Mail einrichten: So geht’s! (Android)

K-9 Mail ist eine App, in die man verschiedene E-Mail-Konten einbinden kann. Wir empfehlen K-9 Mail, da die E-Mail-App vorbildlich mit Ihren Daten umgeht. Hier erfahren Sie Schritt für Schritt, wie Sie sie einrichten und Ihre Postfächer hinzufügen.

Ansehen
Standort 

„Wo ist“: Verlorene iPhones auch offline finden

Wenn Sie Ihr iPhone verloren haben, können Sie es in der Regel über die integrierte Ortungsfunktion lokalisieren. Mit dem Update auf iOS 13 funktioniert das jetzt auch, wenn das Gerät keinen Zugang ins Internet hat. Wir erklären, wie die clevere neuartige Methode funktioniert.

Mehr
Ratgeber 

Kurz vorgestellt: Passwort-Manager KeePass fürs Smartphone

Passwort-Manager helfen, viele verschiedene sichere Passwörter im Alltag zu verwalten. Wir empfehlen dafür das Programm KeePass, da es Passwörter nicht im Internet speichert und als offenes Projekt von vielen Beteiligten kontrolliert wird. Das Programm können Sie auch auf dem Smartphone nutzen.

Mehr
Backup 

Anleitung: Android-Daten mit Helium sichern

Bei Android ist es schwierig, Apps und App-Daten lokal auf dem Rechner oder einer SD-Karte zu speichern. Helium versucht, diese Lücke zu schließen. Wir zeigen Schritt für Schritt, wie Sie mit der App ein Backup anlegen.

Mehr