Last Updated on 9. März 2020 by Helmut Achatz

Einfach war gestern – Onlinebanking ist deutlich sicherer, aber auch komplizierter geworden, weil die EU neue Regeln eingeführt hat, vor allem die Zwei-Faktor-Authentifizierung. Was es damit auf sich hat.

Wissen, Besitz, Biometrie – das sind die drei Schlüssel, um an sein Onlinekonto und -depot zu kommen. Mussten Onlinebankkunden früher nur ihre PIN und eine TAN eingeben, so braucht’s heute etwas mehr. Der Grund für diesen Einschnitt: Sensible Daten benötigen besonderen Schutz. Das betrifft insbesondere Daten, die im Zahlungsverkehr verwendet werden. Für sicheres Bezahlen und zum Schutz vor Hacker-Angriffen verwenden Onlinedienstleister die Zwei-Faktor-Authentifizierung. Neben einem starken Passwort oder einer PIN (Persönliche Identifikationsnummer) benötigt der Nutzer noch etwas, das er besitzt, wie ein Smartphone oder eine Karte – und schließlich kommt dann noch die Biometie ins Spiel, das heißt, er muss sich beispielsweise per Fingerabdruck oder Gesichtsgeometrie ausweisen. Nur so erhält er Zugang zum Onlinebanking, seinem E-Mail-Postfach oder Amazon-Konto.

Was ist Zwei-Faktor-Authentifizierung?

In der Vergangenheit waren Benutzername oder PIN und Passwort ausreichend, um Zugang zu Online-Diensten zu erhalten. Je sensibler ein Zugang ist, desto stärker muss das Passwort sein. Es besteht aus mindestens zehn Zeichen, Groß- und Kleinbuchstaben sowie Sonderzeichen. Experten raten, Passwörter nicht mehrfach zu verwenden: Sollte das Passwort in die falschen Hände geraten, hat ein Datendieb Zugang zu allen Nutzerkonten. Das Passwort sollte auch nicht einfach mit dem Nutzer zusammenhängen, sprich, Geburtstage der Kinder oder der Name des Haustieres sind tabu.

Bis zu einem gewissen Grad ist die Sicherheit der persönlichen Daten von der eigenen Gewissenhaftigkeit abhängig. Noch wirksamer ist allerdings die Zwei-Faktor-Authentifizierung. Sie beruht auf zwei voneinander unabhängigen Merkmalen, die einen Nutzer eindeutig identifizieren. Die Faktoren stammen aus verschiedenen Kategorien und sind eine Kombination aus

  • Wissen,
  • Besitz und/oder
  • Biometrie

Das heißt, ein Nutzer meldet sich zunächst mit seinem Benutzernamen und seinem Passwort an. Man spricht hier von Wissen, das idealerweise nur der Nutzer hat. Mit diesem Wissen erhält er noch keinen Zugriff auf Daten, sondern gelangt an eine weitere Barriere. Zur Überwindung dieser Grenze versendet der Onlineanbieter anschließend einen Bestätigungscode an ein Gerät, dass sich im Besitz des Nutzers befindet. Hierbei handelt es sich meist um ein Smartphone, Tablet oder PC. Alternativen zum Code sind USB-Tokens oder Chipkarten. Wird ein Fingerabdruck verwendet, spricht man von einem biometrischen Merkmal. Diese hardwaregestützten Verfahren bieten ein hohes Maß an Sicherheit. Es reicht nicht aus, entweder ein Zugangsgerät oder Zugangsdaten zu klauen. Ein Dieb benötigt beides, um an die Nutzerkonten zu gelangen.

PSD2 verändert Onlinebanking

Mit der zweiten europäische Zahlungsdiensterichtlinie „PSD2“ sind neuen Vorgaben für das Onlinebanking in Kraft getreten. Die Zwei-Faktor-Authentifizierung ist seit dem 14. September 2019 Standard und hat das bisherige TAN-(Transaktion)-Verfahren abgelöst. Die Papierlisten entsprachen nicht mehr den aktuellen Sicherheitsstandards. Überweisungen werden heute mit dem Smartphone oder einen TAN-Generator freigegeben. Für Postbank-Kunden endete das Mobile-TAN-Verfahren übrigens schon am 11. August 2019, denn zu diesem Zeitpunkt wurde das einfache Onlinebanking deaktiviert – „für maximale und komfortable Sicherheit beim Onlinebanking“ (O-Ton Postbank).

Der Vorteil heutiger TAN-Verfahren ist, dass die Transaktionsnummern jeweils für eine konkrete Überweisung generiert werden müssen. Beim Papierverfahren erhielten die Nutzer Listen, die so lange ihre Gültigkeit behielten, bis der gesamte Block verbraucht war. Die neuen Verfahren stellen sicher, dass die TANs nach nur wenigen Minuten ihre Gültigkeit verlieren.

Die Banken unterscheiden zwischen vier Verfahren zur Anmeldung mit verschiedenen Authentifizierungsfaktoren:

  • chipTAN: Die TAN wird mit einem Generator, einem kleinen Lesegerät, und der EC-Karte generiert. Dieses Verfahren gilt als das sicherste beim Onlinebanking.
  • mTAN/smsTAN: Die TAN wird per SMS auf das Smartphone geschickt.
  • TAN-App: Banken bieten unabhängig von ihrer Onlinebanking-App eine weitere App an, die auf dem Smartphone installiert wird, und bei Bedarf TANs generiert.
  • photoTAN: Bei diesem Verfahren wird ein Muster ähnlich dem eines QR-Codes mit dem Smartphone abfotografiert. Im Anschluss wird aus diesem Muster die TAN generiert.

Gefahr von Hacker-Attacken verkleinert

Phishing, Identitätsdiebstahl sowie weitere betrügerische Versuche, an Nutzerdaten zu gelangen, erfolgen heute überwiegend online. Die Wahrscheinlichkeit, dass Hacker gleichzeitig an Passwörter und die entsprechende Hardware der Nutzer gelangen, ist sehr gering. Damit reduziert die Zwei-Faktor-Authentifizierung die Gefahr dieser Attacken erheblich.

Der Mensch ist aber faul und sucht nach Wegen, die Zwei-Faktor-Authentifizierung zu umgehen oder zu deaktivieren. Klar, die Anmeldung ist aufwendiger. Beim chipTAN-Verfahren muss der Generator immer mitgeführt werden. Wer sein Endgerät wechselt, muss die TAN-App und die photoTAN in der Regel neu einrichten. Und das Internet ist voll mit Tipps und Tricks, um die lästige Sicherheitsprozedur in nur wenigen Schritten auszuschalten. Damit lässt sich der Aufwand bei der Anmeldung zwar reduzieren. Diese Zeitersparnis geht allerdings auf Kosten der Datensicherheit.

Onlinebanken und Finanzdienstleister geben ihren Kunden häufig selbst Möglichkeiten, den Aufwand zu reduzieren, ohne dabei auf Sicherheit zu verzichten. So bieten sie beispielsweise an, den zweiten Faktor nur alle 90 Tage abzufragen. Und beim Smartphone können alternativ zur TAN-Eingabe Fingerabdruck oder Gesichtserkennung genutzt werden.

Onlinedienste bieten die Möglichkeit zur Zwei-Faktor-Authentifizierung. Häufig ist die Funktion vorhanden, aber standardmäßig deaktiviert. Ein genauer Blick lohnt sich. Die doppelte Überprüfung kostet den Nutzer zwar Zeit, aber dieser Aufwand lohnt sich: Die zweite Barriere schützt die Daten effektiv, falls Passwort oder PIN trotz aller Vorsicht dennoch in die falschen Hände geraten.

Posted by Helmut Achatz

Vorruheständler, Journalist, Börsianer, Vorstand VHS Olching, Wirtschaftsingenieur,

Kommentar verfassen