Ratgeber

Neue Regeln beim Banking: Was ändert sich?

Ein Artikel von , veröffentlicht am 25.09.2019
Bild: Pixabay CC0 / mobilsicher

Am 14. September 2019 ist die europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive) in Kraft getreten. Eine Folge: Die TAN-Listen auf Papier darf nicht mehr genutzt werden. Viele Nutzer*innen steigen daher auf Banking-Apps um. Wir erklären was sich ändert und worauf Sie achten sollten.

Am 14. September 2019 ist die europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive) in Kraft getreten. Damit soll der Geldtransfer in der EU sicherer und der Markt für neue Zahlungsdienste geöffnet werden.

Doch was bringt diese Richtlinie genau, welche Verfahren gibt es dazu und was ist letztendlich für Nutzer*innen zu tun?

Zwei-Faktor-Authentifizierung soll Sicherheit bringen

Banken müssen in Zukunft bei einer Transaktion nicht nur einen, sondern zwei voneinander unabhängige Sicherheitsmerkmale abfragen. Genannt wird das „Zwei-Faktor-Authentifizierung“. Die abgefragten Sicherheitsmerkmale müssen aus zwei der drei folgenden Kategorien stammen:

  • Wissen: etwas, das Sie wissen, zum Beispiel PIN oder Passwort
  • Besitz: etwas, das Sie besitzen, zum Beispiel Smartphone oder Bankkarte
  • Inhärenz: zum Beispiel biometrische Daten wie Fingerabdruck oder Gesicht

Die bekannten iTAN-Listen auf Papier dürfen die Banken nicht mehr verwenden.

Welche Verfahren gibt es?

Als Ersatz für die iTAN-Listen stehen mehrere Verfahren zur Auswahl. Die gängigsten sind:

TAN-Generator / Kartenlesegerät: Als sicherste Möglichkeit gilt das Überweisen mithilfe eines Kartenlesegerätes, dem sogenannten TAN-Generator. Indem Sie Ihre Bankkarte (Debitcard) durch den TAN-Generator ziehen, erhalten Sie eine TAN, die zeitlich begrenzt und nur für einen bestimmten Auftrag gültig ist. Manchmal kommt hierbei auch ein sogenannter Flickercode zum Einsatz. Dabei müssen Sie mit dem Kartenlesegerät einen Code am Bildschirm einscannen, den Sie in Ihrem Online-Banking-Konto angezeigt bekommen.

Der TAN-Generator hat in etwa die Größe eines Taschenrechners, ist nicht mit dem Internet verbunden und muss extra gekauft werden. Kostenpunkt: Zwischen 15 und 35 Euro. Der zweite Faktor ist hier Ihre Bankkarte.

Smartphone-App: Bei diesem Verfahren müssen Sie eine spezielle App auf dem Smartphone installieren, die Sie von Ihrer Bank genannt bekommen. Diese App müssen Sie einmal mit Ihrem Online-Banking-Konto verknüpfen. Sie erhalten von Ihrer Bank eine genaue Anleitung, mit welchen Schritten Sie das bewerkstelligen. Wenn Sie dann am PC eine Überweisung machen, schickt Ihnen die Bank eine Benachrichtigung in die App. Sie müssen also Ihr Handy zur Hand haben, die App öffnen und die Nachricht bestätigen. Manche Banken schicken auch eine TAN in die App, die Sie dann im PC eintippen müssen. Bei diesem Verfahren haben Sie gleich zwei zusätzliche Faktoren: Einmal das Smartphone, das Sie besitzen müssen und einmal den Code, mit dem Sie die App öffnen.

mTAN (Bestätigung per SMS): Bei diesem Verfahren bekommen Sie die Bestätigung für eine Überweisung per SMS auf Ihr Handy geschickt. Der zweite Faktor ist hier Ihre Handynummer.

Was ist sicherer: SMS oder App?

Das mTAN-Verfahren (Bestätigung per SMS) gilt als angreifbar. So können zum Beispiel bei einem als „SIM-Swapping“ bezeichneten Angriff SIM-Karte und Handynummer von Nutzer*innen kopiert und TANs dadurch umgeleitet werden. Zudem sind SMS nicht verschlüsselt und können leicht abgefangen werden. Die meisten Banking-Trojaner haben es auf dieses Verfahren abgesehen. Expert*innen raten daher von der SMS-Bestätigung weiterhin ab.

Die Smartphone-App zur Freigabe von Transaktionen gilt als sicherer, da die versendeten Benachrichtigungen dort verschlüsselt sind und die App zusätzlich durch einen Code geschützt ist. Ist das Smartphone selber durch ein Schadprogramm infiziert, können aber auch diese Sicherungen umgangen werden.

Handy richtig sichern

Für die Banken ist das Verfahren per App das günstigste – daher drängen sie ihre Kund*innen entschieden zu diesem Weg. Viele Nutzer*innen, die „kritische“ Funktionen wie Banking bisher von Ihrem Handy ferngehalten haben, sehen sich jetzt genötigt, sich auf das Verfahren per App einzulassen.

Insgesamt ist das durchaus ein Schritt in Richtung mehr Sicherheit beim Banking. Allerdings bekommt das Smartphone dadurch auch einen anderen Status. Ein Gerät, das mit dem eigenen Bankkonto verknüpft ist, muss anders gesichert werden, als eines, das nur zum Telefonieren da ist.

Die wichtigsten Sicherheitsregeln sind:

  • Bildschirmsperre mit mindestens sechsstelligem Zahlencode
  • Möglichst aktuelles Betriebssystem.
  • Bei Android ist neben der Android-Version auch die Versorgung mit Sicherheitspatches wichtig.
  • Augen auf beim Herunterladen von Apps. Auch im Play-Store können sich Schadprogramme verbergen.
Mit unserer praktischen Checkliste Android-Smartphone im Alltag sichern haben Sie alle wichtigen Regeln im Blick

Achtung Phishing-Welle

Schon vor der Einführung der zweiten Zahlungsdienstrichtlinie (PSD2) kursierten E-Mails, in denen Bankkunden aufgefordert wurden, persönliche Daten preiszugeben. Das sei für die Umstellung notwendig. Diese Phishing-Welle ist besonders perfide, da Banken derzeit tatsächlich viele Kunden per E-Mail kontaktieren und zur Umstellung auf die neuen Verfahren auffordern.

Aber: Alle seriösen Banken bieten die notwendigen Informationen direkt in ihrem Online-Banking-Konto an. Tippen Sie im Zweifel die Webadresse Ihrer Bank von Hand in die Browser-Adresszeile ein und loggen sich dann in Ihr Konto ein.

Auf keinen Fall sollten Sie Informationen zu Ihrem Bankkonto per Mail verschicken oder auf Links und Anhänge in E-Mails klicken, die angeblich von Ihrer Bank kommen. Sie sollten auf keinen Fall eine Banking-App installieren, wenn Sie dafür die Option „aus unbekannten Quellen“ aktivieren müssen.

Was Phishing ist und wie Sie es erkennen, erfahren Sie in unserem Ratgeber Dauerbrenner Phishing: So schützen Sie sich.

Weitere Artikel

Schadprogramme 

Schadprogramme: Was tun bei Infektionen?

Ihr Android-Gerät ist plötzlich extrem langsam, überträgt ungewöhnlich viele Daten, es erscheinen seltsame Warnungen, oder es spielt anderweitig verrückt? Dann könnte es sein, dass Sie sich ein Schadprogramm eingefangen haben. Diese Tipps können Ihnen dann helfen.

Mehr
App-Test 

Navi-Apps im Check: Magic Earth – vorbildlich

Der Anbieter der Navigations-App Magic Earth zeigt viel Respekt für die Privatsphäre der Nutzer. Die App ist kostenlos, werbefrei und bietet umfangreiches Kartenmaterial und viele praktische Funktionen. Seit die Hersteller den Facebook-Tracker aus der App verbannt haben, gibt es wirklich nichts mehr zu meckern.

Mehr
Schwerpunkt 

Alles rund um Trojaner, Viren, Schadprogramme

Bei Computern sind sie lange bekannt, bei Mobilgeräten auf dem Vormarsch: Schadprogramme. Doch wie groß ist das Problem wirklich? Braucht man Virenscanner für Smartphones? Und wie wird man eine Infektion wieder los? Mit unseren Beiträgen bleibt Ihr Smartphone gesund.

Mehr
Messenger 

RCS: Mobilfunk-Messenger soll SMS ablösen

Der Chat-Dienst RCS soll WhatsApp und Co. Konkurrenz machen. Wie die SMS läuft er über das Mobilfunknetz. Für die Entwicklung haben sich weltweit Mobilfunkanbieter mit Google zusammengetan. Doch noch ist einiges zu tun - auch in Sachen Sicherheit.

Mehr