Mehr Sicherheit ab Samstag: Was sich beim Onlinebanking ändert

Das Update soll das Onlinebanking sicherer machen. Erst einmal sorgt es aber für Ärger und Verwirrung. Besonders bei den Kunden der Postbank. Das Institut wollte die Vorgaben der PSD2-Richtlinie bereits Anfang der Woche statt wie gesetzlich vorgeschrieben erst ab Samstag erfüllen.

Ab dann nämlich müssen Kunden sich gleich zwei Mal ausweisen, wenn sie auf ihr Onlinekonto zugreifen wollen. Zusätzlich zur Pin brauchen sie dann bereits für das Einloggen etwa eine Tan oder ihren Fingerabdruck. Technisch ist diese Umstellung für die Banken jedoch eine Herausforderung, wie das Beispiel der Postbank zeigt.

Bei ihr gab es nach dem Update der Systeme erhebliche Probleme. Kunden konnten zeitweise nicht mehr auf ihr Konto zugreifen. „Es ist einfach nur frustrierend“, schreibt ein Kunde, „weil man es immer wieder verzweifelt versucht in der Hoffnung, dass es jetzt klappt“. Ein anderer fragte: „Wer zahlt denn die Säumniszuschläge, wenn ich nicht überweisen kann?“

Mehr als 1500 Beschwerden zur Postbank zählte das Onlineportal allestörungen.de am Morgen nach der Umstellung auf einen Schlag. Eine Postbank-Sprecherin bestätigte auf Anfrage die Probleme – ebenso wie die Vermutung, dass sie mit der Umsetzung der PSD2-Richtlinie zusammenhängen. Dabei haben es die Änderungen auch ohne Pannen in sich.

DIE NEUEN VORSCHRIFTEN

Bankkonten sollen künftig besser vor Angriffen von Hackern geschützt sein. Bereits für das Einloggen ins Onlinekonto müssen sich Kunden deshalb nun doppelt authentifizieren. Zur Auswahl stellt der Gesetzgeber dafür drei Möglichkeiten: etwas, was nur der Kunde weiß (Passwort); etwas, was nur der Kunde besitzt (Tan-Generator, Smartphone); etwas, das individuell zum Kunden gehört (Fingerabdruck, Gesicht). Die meisten Banken lösen das, in dem sie zusätzlich zur Pin die Eingabe einer Tan verlangen. Und zwar eben nicht erst bei der Überweisung sondern bereits beim Einloggen ins Onlinebanking. Die Tan generieren die Kunden dabei wie bislang auch: zum Beispiel über eine spezielle App auf dem Smartphone oder über einen Tan-Generator.

Viele Institute nehmen die Umstellung allerdings auch zum Anlass, bei den angebotenen Tan-Verfahren auszusieben. So stellen gleich mehrere Häuser in diesen Tagen die SMS-Tan ein (auch MobileTan oder M-Tan genannt). Bei diesem Verfahren wird dem Kunden die Tan per SMS aufs Handy geschickt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt bereits seit Jahren davor, dass das nicht sicher sei. Immer wieder sei es Betrügern gelungen, SMS umzuleiten und Tan-Nummern abzufangen. Die Berliner Sparkasse stellt das SMS-Tanverfahren deshalb bis Ende Oktober ein. Auch die Consorsbank will sich davon trennen. Die Postbank hat es bereits abgeschaltet.

Keine Wahl haben die Banken derweil bei der iTan: also den Tan-Listen auf Papier. Sie sind mit diesem Wochenende Geschichte.

DIE UMSETZUNG

Was die Sache kompliziert macht: Banken setzen die neuen Vorgaben im Detail sehr unterschiedlich um. So verlangen manche Institute künftig tatsächlich bei jedem Login ins Onlinekonto eine zweite Authentifizierung wie die Eingabe einer Tan. Dafür haben sich etwa Postbank, Targobank und DKB entschieden. Andere Institute nutzen die Möglichkeit in der Gesetzgebung aus und fragen die Tan für den Login ins Onlinebanking lediglich alle 90 Tage ab. Diesen Weg gehen zum Beispiel Sparkassen, Volksbanken und Santander.

Während Kunden künftig häufiger eine Tan brauchen, um überhaupt erst ins Onlinebanking zu kommen, brauchen sie für die Überweisungen selbst seltener ein Einmalpasswort. Summen unter 30 Euro können Kunden nämlich nun auch ohne Tan-Eingabe überweisen – allerdings auch das nicht unbegrenzt: Spätestens nach fünf Überweisungen oder wenn sich die Beträge auf 150 Euro summieren, müssen Kunden wieder eine Tan eingeben.

BANKING PER APP

Einen Unterschied macht es künftig, ob der Kunde fürs Onlinebanking eine App auf dem Smartphone nutzt oder sich via Laptop auf der Internetseite seiner Bank einloggt. Smartphonenutzer sind dabei im Vorteil. Anders als beim Onlinebanking brauchen sie bei den meisten Banken nämlich keine zusätzliche Tan, um die App zu öffnen und ihren Kontostand abzufragen. Es reicht, wenn sie dafür wie bisher die App per Passwort, Fingerabdruck oder Face-ID freischalten.

Der Grund: Der Besitz des Smartphones wird von den Regulierern als zweiter Sicherheitsfaktor gewertet. Die meisten Banken verlangen jedoch, dass die Kunden einmalig mit einer Tan bestätigen, dass sie ihrem Smartphone vertrauen. Auf diese sogenannte Gerätebindung setzen etwa Deutsche Bank, DKB und Berliner Volksbank. Bei der Berliner Sparkasse müssen Kunden dagegen auch bei der App alle 90 Tage eine Tan eingeben.

DIE GEFAHR

Betrüger nutzen derzeit die Verunsicherung vieler Bankkunden in Zusammenhang mit der PSD2-Umsetzung aus. „Es kursieren Phishing-Mails, in denen Bankkunden aufgefordert werden, ihre Kundendaten zu bestätigen“, warnt das Landeskriminalamt Rheinland-Pfalz. Kriminelle greifen auf diese Weise sensible Bankdaten ab. Wer eine Mail bekommt, die vermeintlich von seiner Bank stammt, sollte daher die Mailadresse des Absenders prüfen, keinen Link in der Mail anklicken und erst recht keine Login-Daten preisgeben. „Kein seriöses Kreditinstitut wird Sie bitten Ihre Zugangsdaten per verlinktem oder angehängtem Formular einzugeben“, warnt die ING.

Die Postbank will die technischen Probleme nach eigenen Angaben inzwischen wieder in den Griff bekommen haben. Dennoch häuften sich im Netz am Mittwochmorgen wieder die Beschwerden, weil Kunden zeitweise nicht auf ihr Konto zugreifen konnten.