App statt SMS, heißt es jetzt beim Online-Banking. Foto: APA

In den kommenden Wochen und Monaten ändern sich im gesamten EU-Raum die Sicherheitsverfahren für das Online-Banking. Die Banken schaffen nicht nur die TAN-Liste (Transaktionsnummer) auf Papier ab, viele legen auch die mTAN ad acta, berichtet das Techmagazin c’t .

PSD2

Die Zweite Europäische Zahlungsdiensterichtlinie, kurz PSD2, verpflichtet Banken und Kunden grundsätzlich zu einer starken Kundenauthentifizierung (SCA). Gemeint ist die Zwei-Faktor-Authentifizierung mit einer Erweiterung: Die beiden Faktoren müssen aus zweien der drei Kategorien Wissen (PIN oder Passwort), Besitz (Bankkarte oder Mobiltelefon) und Inhärenz (biologische Merkmale) stammen.

In manchen Staaten müssen ab dem 14. September Kunden schon beim Log-in ins Banking eine TAN eingeben oder sich per zweitem Faktor identifizieren. In Österreich wurde das Datum von der Finanzmarktaufsicht verschoben – ohne ein genaues Datum zu nennen.

TAN-Liste auf Papier

Die PSD2 stellt Mindestanforderungen an die Sicherheit von TAN-Verfahren. Für das Verbot der iTAN – einer TAN-Liste auf Papier – war mitentscheidend, dass sie dem Kunden vor der Überweisungsauflösung nicht gemeinsam mit der Empfänger-IBAN und dem Betrag angezeigt wird. So eine vom ersten Faktor unabhängige Kontrollmöglichkeit ist jedoch Pflicht.

c’t-Redakteur Markus Montz erklärt: "Da die umstrittene, per SMS verschickte mTAN diese Anforderungen erfüllt, bleibt sie grundsätzlich erlaubt." Aufgrund von Kostenargumenten nutzen trotzdem viele Banken die Chance, um sich von dem Verfahren zu trennen. So wollen Banken, dass sich ihre Kunden eine Smartphone-App installieren, die künftig dazu verwendet wird, Überweisungen zu authentifizieren – was bei vielen Nutzern derzeit für Ungemach sorgt. Allerdings bieten Banken auch Alternativen an. (red, 16.8. 2019)