PSD2: Was ändert sich für mich beim Online-Banking?

D.Lehmann
PSD2
Quelle
"Online Banking" von Daniel Foster, via Flickr. CC BY-NC-SA 2.0

Seit dem 14. September 2019 ist die zweite Zahlungsdiensterichtlinie (Payment Services Directive 2, kurz PSD2) in der gesamten EU anzuwenden. Die Richtlinie schreibt vor, dass jeder elektronische Zahlungsvorgang über die sogenannte Zwei-Faktor-Authentisierung gesichert sein muss. Dabei erfolgt die Identifizierung des Nutzers über mindestens zwei physisch voneinander getrennte Wege.

 In der Praxis kann das beispielsweise über die Eingabe eines Passworts auf der Anmeldeseite des Bankinstituts und über einen TAN-Generator, möglicherweise in Form einer App auf dem Smartphone, umgesetzt werden. Auf diese Weise wird sichergestellt, dass Dritte keinen Zugriff erhalten, selbst wenn ein Passwort oder die PIN in falsche Hände geraten sein sollte. Neben den Zahlungsvorgängen müssen auch einfache Kontozugriffe so geschützt sein.
 

iTAN-Listen dürfen nicht mehr verwendet werden

Zudem dürfen nun die klassischen iTAN-Listen auf Papier nicht mehr genutzt werden, da diese wiederholt für Betrugsfälle missbraucht wurden. Elektronische TAN haben den Vorteil, dass der generierte Code konkret auf einen Zahlungsbetrag und Zahlungsempfänger erstellt wird. Dies ist bei iTAN nicht möglich.

Welche Verfahren eine Bank anbietet, um die Zwei-Faktor-Authentisierung zu gewährleisten, ist ihr freigestellt. Sollten die wählbaren Optionen nicht in Frage kommen, bleibt als Kunde nur der Umzug zu einem anderen Anbieter. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, dass beim Online-Banking stets zwei Geräte zum Einsatz kommen. Möchte man einen Vorgang beispielsweise nur über das Smartphone abschließen und ist dieses zuvor aber durch Schadsoftware angegriffen worden, könnten Kriminelle leicht die Informationen für die Authentisierung abgreifen.

 

Diese Verfahren sind bei Banken am gängigsten:

chipTAN: Über ein eigenständiges Gerät, den TAN-Generator, sowie die Karte mit Chip ihres Anbieters können Sie selbst Codes erstellen. Funktioniert auch mit mobilen Geräten.

pushTAN: Viele Institute haben eine eigene App für das Smartphone entwickelt, über die die nötigen TAN für Kontozugriffe oder Bezahlvorgänge generiert werden. Die Anmeldung erfolgt mittels eines Passworts oder über einen hinterlegten Fingerabdruck.

mTAN: Verfahren, bei dem der Code per SMS an eine zuvor hinterlegte Nummer geschickt wird. Hiervon rät das BSI ebenfalls ab, da diese relativ simpel abgefangen werden können. Einige Banken bieten diese Methode deshalb schon nicht mehr an. 

Mehr Informationen finden Sie auch in unserer aktualisierten Handreichung Online-Einkaufen und Online-Banking und in der Anleitung Bankgeschäfte online.

Sie haben noch Fragen zum Thema Banking und Bezahlverfahren?
Der nächste Digitale Stammtisch dazu findet am 8. Oktober in Neuss statt.
Am 17. Oktober bieten wir außerdem den Online-Vortrag Digitalisierung im Finanzwesen an. Hier geht es zu allenTerminen: https://www.digital-kompass.de/termine