Mitte September wurden die Sicherheitsstandards beim Online-Banking verstärkt. Die Umsetzung der Payment Service Directive 2 verläuft allerdings nicht so flüssig, wie gehofft.
TAN-Listen gehören mit der PSD2 der Vergangenheit an
In früheren Zeiten wurden Überweisungen mit verschiedenen Nummern verifiziert. Die TAN wurde durch die Ausführung einer Überweisung generiert und in bestimmten Listen, den TAN-Listen, gespeichert. Diese stellen allerdings ein statisches System dar und sind unabhängig vom Überweisungsbetrag sowie dem Empfänger-Konto. Auf Basis dieser Kriterien wurden die TAN-Listen von der EU als unsicher eingestuft und nun durch eine neue Richtlinie der Zahlungsdienstleister ersetzt. Die Payment Service Directive 2, kurz PSD2, soll dieses Problem seit September lösen.
Neue Zwei-Faktor-Authentifizierung
Wer sich bisher in seinem Online-Banking-Account anmelden wollte, dem mussten Nutzername sowie Passwort bekannt sein. Weiter waren keine Angaben nötig, um einen Zugriff zu erhalten. Mit der PSD2 benötigen Nutzer neben Username und Passwort nun allerdings einen zweiten Faktor, der die Identität der Person bestätigt, die sich anmelden möchte.
Diese Bestätigung kann beispielsweise durch einen Code stattfinden, der per SMS oder Mail versandt wird. Der Nutzer muss diesen anschließend auf der Seite seines Online-Banking eintragen und auf diese Weise bestätigen, dass er auch wirklich derjenige ist, der er zu sein vorgibt.
Neben SMS und Mail können auch einige Apps zur Authentifizierung genutzt werden und die geforderte Verifizierung liefern.
Probleme bei der Umsetzung
Seit der Payment Service Directive 2 im September eingeführt wurde, gab es immer wieder Probleme mit dessen Funktionsweise.
So beschwerten sich einige Kunden, keinen Zugriff auf ihren Account zu erhalten oder keine Verbindung zu ihrem Online-Banking aufbauen zu können. Die Finanzaufsicht Bafin registrierte ab Mitte September zudem einen Anstieg der Schwierigkeiten, die aus der Nutzung von Online-Banking-Accounts resultieren. Die Verbindung des Problemanstiegs mit der Einführung der PSD2 scheint somit offensichtlich.
Bei vielen Nutzern funktioniert außerdem immer noch die bisherige Anmeldeform, die nur Usernamen und Passwort verlangt. Die PSD2 fordert zwar eine Zwei-Faktoren-Authentifizierung, doch hat sich diese wohl noch nicht erfolgreich durchgesetzt.