Funktioniert das Onlinebanking bei Ihnen reibungslos? Die Payment Services Directive2 (PSD2) sollte mehr Sicherheit für Bankgeschäfte im Internet bieten. Doch viele Nutzer empfinden die neuen Sicherheitsstufen als umständlich. Einige haben sogar Probleme an ihre Bankguthaben zu kommen. Die erste Erfahrungen sind widersprüchlich.
„Ich will, dass Ruhe ist um meine Konten!“ – Diese gallische Maxime, allgemein bekannt seit den 70er Jahren, ist leicht dahingesagt. In der Praxis erweist es sich mitunter als schwierig, das Bankkonto vor unbefugten Einsichten und Transaktionen zu schützen. Besonders im Internet sind Geldgeschäfte mit Risiken verbunden, und die PSD2 soll hier gegensteuern. Die Bundesanstalt für Finanzdienstleistungsaufsicht, kurz Bafin, sieht nur vereinzelt Probleme.
Seit September 2019 besteht für das Banking im Internet die Authentifizierung aus zwei Faktoren. Die Bafin ließ nun verlauten: nur in wenigen Einzelfällen seien Probleme aufgetreten. Die Stiftung Warentest fand aber heraus, dass Bankkunden mit der neuen Anmeldeprozedur unzufrieden sind. Gründe gibt es dafür einige. Unkenntnis und ein unübersichtliches und kompliziertes Verfahren gehören sicher dazu. Auch technische Unzulänglichkeiten wurden von den Bankkunden als Quelle des Unmuts genannt.
Kundenzufriedenheit oft mangelhaft
Die Kunden konnten nach der Umstellung auf das neue Sicherheitsverfahren ihr Onlinekonto oft nicht nutzen. Gründe waren Schwierigkeiten beim Anmelden und Apps, die nicht funktionierten. Weiteres Manko war der teils mangelhafte Service der Banken, denn einige Banken waren telefonisch zeitweise nicht erreichbar. Besonders bei der Postbank und der Commerzbank waren die Online-Kunden oft unzufrieden, aber auch bei der DKB und der ING konnte test.de kritische Stimmen vernehmen.
Besonders überraschend für einige Bankkunden war die nun auch für die Kontoanmeldung notwendige TAN. Bisher war diese nur für Überweisungen notwendig, nun soll sie auch – eben als „zweiter Faktor“ – schon bei der Abfrage des Kontostandes oder der Umsätze angegeben werden. Bei einigen Banken wird die TAN bei jeder Abfrage verlangt, andere fragen sie nur alle drei Monate ab.
Phishing wie eh und je
Das neue Verfahren macht es zwar für Kriminelle erheblich schwerer, an die vollständigen Kundendaten zu gelangen oder unbefugt Geld vom Konto abzuheben. Zur Zeit nutzen Cyberkriminelle allerdings die entstandene Unsicherheit der Bankkunden aus, um ihren illegalen Geschäften nachzugehen. So warnen wir in den letzten Wochen immer häufiger vor sogenannten Phishing-Mails. Die aktuelle Variante dieser Betrugsmasche fordert von den Opfern die Angabe ihrer Kontodaten, weil dies im Rahmen der Neuregelungen durch die Payment Service Directive 2 (PSD2) notwendig geworden sei. Das Portal, auf dem die Eingabe erfolgt, ist allerdings gefälscht. Täuschend echt der Webseite der Bank nachempfunden, führt es den ahnungslosen Online-Banker in die Irre, um so an seine Daten zu gelangen.
PSD2: Sicherer, aber komplizierter
In der PSD2 sind Maßnahmen zusammengefasst, die besonders das Onlinebanking für Verbraucher sicherer machen sollen. War bisher nur die Eingabe des Benutzernamens und des Kennworts notwendig, wird nun noch eine von der Bank herausgegebene TAN abgefragt. Diese Identifizierungsnummer wird einmalig generiert, gilt nur kurzzeitig und ist nur für das Login gültig.
Die Banken haben sich aber für unterschiedliche Methoden bei der Umsetzung der neuen Richtlinie entschieden. Von einigen Kreditinstituten wird tatsächlich eine TAN versandt, andere realisieren das Kontrollverfahren mittels einer App oder durch den schon lange bekannten TAN-Generator. Wichtig bleibt, dass sie die Anforderungen der Direktive umsetzen. In dieser wurde festgelegt, dass das Anmeldeverfahren aus zwei Komponenten bestehen soll, die aus drei Bereichen ausgewählt werden: nämlich aus den Sektoren Wissen, Besitz und Inhärenz.
Wissen, Besitz und Inhärenz
Zunächst also geht es um Wissen: Nutzername und Passwort sind dem Nutzer bekannt, aber auch ein Hacker kann sie in Erfahrung bringen. Deshalb braucht es einen zweiten Weg, um die Anmeldung abzusichern. Also wird der Anmeldung eine zusätzliche Komponente aus dem Bereich „Besitz“ hinzugefügt. Anzunehmen ist, dass der Kunde sein Handy nur allein nutzt, ein möglicher Hacker hat hier keinen Zugriff. Dem Onlinekunden wird durch eine App der Bank eine TAN auf seinem Handy mitgeteilt, die er zur Bestätigung des Vorgangs verwendet. Auch ein externer TAN-Generator – ebenfalls im Besitz des Users – kann für diesen zweiten Faktor der Anmeldung Verwendung finden.
Das dritte Merkmal wird als Inhärenz bezeichnet. Auf Deutsch ist damit eine Anhaftung gemeint, also etwas, dass nur dem Bankkunden unmittelbar eigen ist. Gemeint ist ein Fingerabdruck oder eine Identifizierung durch Gesichtserkennung.
Einfach gesagt: für das Anmeldeverfahren sind Benutzername und Kennwort Pflicht. Auswählen kann die Bank, ob sie für den weiteren Faktor eine App, einen Generator oder biometrische Daten verwendet.
Neuerungen sind oft mit Unwägbarkeiten und Unsicherheit verbunden. Das TAN-Verfahren war auch bei Überweisungen mindestens gewöhnungsbedürftig, warum sollte es bei der Authentifizierung anders sein? Und Phishing 2.0 war irgendwie zu erwarten. Wenn aber die Banken ihren Service trotz Sparzwang optimieren und alle Beteiligten ihre Server fit halten, um eine optimale Verschlüsselung zu gewährleisten, könnte die neue Methode durchaus erfolgreich sein.
Ihre Erfahrungen mit dem aktuellen Onlinebanking sind gefragt
Welche Erfahrungen haben Sie mit dem neuen Onlinebanking gemacht? Läuft bei Ihnen alles reibungslos oder haben Sie Schwierigkeiten an Ihr Bankkonto zu kommen? Interessant ist auch die Frage, wie gut deutsche Bankkunden aus dem Ausland an ihr Kunden kommen. Über die Kommentare unterhalb des Artikels können Sie Ihre Erfahrungen mitteilen und mit unseren Lesern über das Thema diskutieren.
Meine Erfahrungen sind grottenschlecht. Das Verfahren ist so mies wie die Institution die es ins Leben gerufen hat. An die immer wieder betonte Sicherheit für den Kunden glaube ich auch nicht. Die Anleitung meiner Bank zur Einrichtung von PSD2 nicht zu gebrauchen. Die Videos dazu strotzen vor Werbung. Richtig ist der Zugang zu meinem Geld und Konto wurde erschwert und zwar für mich. Bestimmt nicht für einen Hacker oder Betrüger. Bei meinem Online-Händler komme ich seit diesem PSD2 nicht mehr in mein Konto. Das alles trotz Kundenservice, Passwortwechsel usw. aber er freut sich mich bald wieder begrüßen zu dürfen. Dauernd muss ich jetzt mein Handy laden weil ich ja Push Nachrichten über Zahlungen bekommen die persönlich an der Ladenkasse mit Pin geleistet habe. Service sieht bei mir anders aus. So etwas ist einfach nur nervend.