<< Mehr zum Thema Finanzieren von Unternehmen

Neue Vorschriften: Online-Banking wird sicherer

Seit Mitte September 2019 sind die gedruckten iTAN-Listen Geschichte. Bankkunden müssen bei Online-Überweisungen andere Sicherheitsverfahren nutzen - zum Beispiel photoTAN.

Quelle: iStock / Getty Images Plus

Um Geldgeschäfte im Internet sicherer zu machten, hatte die EU bereits vor einiger Zeit die seit 2007 bestehende Zahlungsdiensterichtlinie (engl.: Payment Services Directive, PSD) überarbeitet. Die Neufassung - Richtlinie (EU) 2015/2366, besser bekannt als "PSD 2" - trat Anfang 2016 in Kraft und musste bis 2018 in nationales Recht umgesetzt werden. Nach einer Übergangsfrist gelten seit Mitte September dieses Jahres neue Vorschriften für das Online-Banking und das Bezahlen im Internet per Kreditkarte. Nun besteht für Banken und Kreditinstitute die gesetzliche Pflicht, eine "starke Kundenauthentifizierung" einzuführen.

Zwei-Faktor-Authentifizierung und dynamische TANs

Wollte man bislang bei einem x-beliebigen Online-Shop mit der Kreditkarte bezahlen, reichte es aus, die eingegebene Kreditkartennummer mit dem dreistelligen Prüfcode auf der Rückseite zu legitimieren. Dies funktioniert nun nicht mehr. Jetzt muss die Authentifizierung durch zwei voneinander unabhängige Komponenten erfolgen. Laut Bundesbank stehen dafür drei unterschiedliche Kategorien zur Verfügung: "Wissen" (Passwort / PIN), "Besitz" (Smartphone / TAN-Generator) und "Inhärenz" (z. B. ein biometrisches Merkmal wie der Fingerabdruck). Bei Kreditkartenzahlungen und beim Online-Banking muss man nun schon beim Login seine Identität zusätzlich bestätigen, z. B. durch eine SMS aufs Handy oder einen per App generierten Code.

Die gestiegenen Sicherheitsvorgaben gelten auch für Bankgeschäfte, die man über das Internet abwickelt. Eine der wichtigsten Änderungen betrifft daher das iTAN-Verfahren. Wer das Verfahren nicht kennt: Gemeint sind TAN-Listen, die auf Papier ausgedruckt und dann per Post verschickt wurden. Um beim Online-Banking eine Überweisung vorzunehmen, musste man diesen Vorgang mit einer der vorliegenden TANs bestätigen. Anschließend konnte sie durchgestrichen werden. Zum Beginn des Online-Banking-Zeitalters versprach das Verfahren noch einen gewissen Schutz, jetzt gilt es aber als technisch überholt - und als leicht manipulierbar.

Mit PSD 2 darf man solche "statischen" TANs - statisch, weil sie schon vorhanden sind - nicht mehr verwenden. Stattdessen müssen die Bestätigungscodes "dynamisch" erzeugt werden. Dynamisch heißt hier, dass der Code erst dann erstellt wird, wenn er benötigt wird - zum Beispiel für die Überweisung. Dies soll verhindern, dass Cyberkriminelle die TANs abfangen und für ihre Zwecke nutzen können. Um TANs dynamisch zu erzeugen, gibt es mehrere Möglichkeiten: mit einem speziellen Lesegerät für die Bankkarte (chipTAN), mit einer SMS (mobileTAN) oder mit einer geeigneten Smartphone-App: per appTAN, pushTAN - oder eben per photoTAN.

Wie funktioniert PhotoTAN?

Das Sicherheitsverfahren nutzt man entweder über das Smartphone oder über ein externes Lesegerät. Am Ablauf des Online-Bankings ändert sich aber grundsätzlich nichts. Hat man beispielsweise am Computer alle Daten für die Überweisung eingegeben, wählt man als Bestätigungsverfahren die Option photoTAN aus. Im Anschluss erscheint eine bunte Grafik, die in ihrer Form an einen QR-Code erinnert - nur nicht in Schwarz-Weiß, sondern mit verschiedenen Farben. Mit der App oder dem Lesegerät fotografiert man diese Grafik ab, woraufhin eine siebenstellige TAN erscheint. Nachdem man diese eingegeben hat, führt die Bank den Auftrag aus.

Nutzt man die Mobile-Banking-App seiner Bank, etwa um Überweisungen von seinem Smartphone aus zu tätigen, wird das Verfahren noch stärker vereinfacht. Der Grund dafür heißt "Gerätebindung". Die ist bei normalen Destop-PCs nicht möglich, beim Smartphone kann man hingegen Banking- und photoTAN-App direkt miteinander koppeln. Nach der Eingabe der Überweisungsdaten in der Banking-App wird dann automatisch die photoTAN-App geöffnet und die TAN erzeugt. Diese lässt sich dann einfach in die Banking-App übernehmen, um den gewünschten Auftrag zu bestätigen. Der Vorteil von "photoTAN push": Der Schritt des Einscannens der Grafik entfällt.

Bevor man das photoTAN-Verfahren nutzen kann, muss man sich dafür von seiner Bank freischalten lassen. Dazu gehört auch, dass man die photoTAN-App seiner Bank herunterlädt oder sich das externe Lesegerät besorgt. Bei einigen Anbietern sind die TAN-Generatoren kostenpflichtig, andere Banken bieten sie als kostenloses Extra zum Girokonto an.

Jetzt gratis anmelden und wir unterstützen Sie mit Informationen und aktuellen Lernangeboten!