Neue Regeln beim Online-Banking: Das ändert sich mit der PSD2

  • Aussage

  • mad.de
  • 8816 Aufrufe 3 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Neue Regeln beim Online-Banking: Das ändert sich mit der PSD2

    Bislang hatten nur Sie und Ihre Bank Zugriff auf Ihr Bankkonto. Mit der zweiten europäischen Zahlungsrichtlinie PSD2 ändert sich das: Ab September können auch Dritte auf Ihr Konto zugreifen - vorausgesetzt, Sie lassen das zu. Außerdem gibt es an der Zwei-Faktor-Authentifizierung (siehe Video) künftig kein Vorbeikommen mehr.

    Viele Verbraucher bekamen in den vergangenen Wochen Post von ihrer Bank. Der Inhalt der Briefe ist meist sehr juristisch gehalten, denn die Geldinstitute müssen ihre Kunden über wichtige Änderungen informieren: Ab September greifen die Regelungen der zweiten europäischen Zahlungsdiensterichtlinie PSD2. Was sich erst einmal sperrig anhört, ist eigentlich gar nicht so kompliziert.

    PSD2: Das ändert sich für Bankkunden
    Von Bedeutung der neuen Richtlinie sind drei Änderungen: Auf Konten können künftig auch Drittanbieter zugreifen, wenn Kunden dem zustimmen. Außerdem müssen Bankkunden sich beim Zugriff auf ihr Online-Banking ab dem 14. September immer mit der Zwei-Faktor-Methode identifizieren. Und schließlich müssen auch Kartenzahlungen im Internet künftig immer mit zwei Faktoren freigegeben werden.

    Künftig Zugriff durch Drittanbieter möglich
    Mit dem Zugriff durch Drittanbieter sind Anbieter gemeint, die die Infrastrukturen von Banken nutzen, ohne selbst solche zu betreiben, erklärt der Bankenverband. Konkret sind das Dienste, die Zahlungen auslösen, Kontoinformationen sammeln und bündeln und Dienste, die Zahlungskarten herausgeben. Drittanbieter können nicht nur neue Dienstleister sein, sondern im Prinzip auch andere Banken.
    Solchen Dienstleistern können Kunden künftig erlauben, auf ihr Konto zuzugreifen, zum Beispiel wenn sie im Internet einkaufen oder aber verschiedene Konten bei unterschiedlichen Geldinstituten in einer Übersicht dargestellt haben wollen. Die Erlaubnis des Kunden ist immer die Voraussetzung dafür, dass ein Drittanbieter Zugriff auf das Konto bekommt. Die Dienstleister unterliegen der Aufsicht der Bundesanstalt für Finanzdienstleistungen (Bafin).

    Änderungen beim Online-Banking und Online-Shopping
    Einloggen ins Online-Banking nur mit einem Passwort wird bald der Vergangenheit angehören. Denn ab dem 14. September gilt laut Bankenverband die gesetzliche Pflicht zur sogenannten starken Kundenauthentifizierung. Das heißt, jeder Kunde muss sich immer mit zwei von drei möglichen Faktoren identifizieren. Infrage kommen hier etwa biometrische Merkmale wie ein Fingerabdruck (Faktor "Sein"), eine PIN (Faktor "Wissen") oder ein Smartphone (Faktor "Besitz").

    Dieses Verfahren wird auch bei jeder Transaktion Pflicht. Die Eingabe von Zahlenkombinationen der iTAN-Listen aus Papier werden zukünftig eingestellt. Für Aufträge muss eine eigens generierte TAN genutzt werden. Bei Kartenzahlungen im Internet werden sich Verbraucher künftig ebenfalls grundsätzlich mit zwei Faktoren identifizieren müssen.

    Quelle: Neue Regeln beim Online-Banking: Das ändert sich mit der PSD2 - CHIP

  • Ende der iTAN: Neue Sicherheitsverfahren fürs Online-Banking

    appTAN, photoTAN, chipTAN
    Ende der iTAN: Neue Sicherheitsverfahren fürs Online-Banking
    10.9.2019 von Heiko Bauer
    Das einst bekannteste Sicherheitsmedium, die iTAN, verschwindet zugunsten zahlreicher neuer Verfahren, die aber nicht immer sicherer sind. Wir stellen chipTAN und Co. vor.

    Spätestens am 14. September 2019 ist es vorbei mit der gedruckten TAN-Liste, auf der in der Regel ein- bis zweihundert sechsstellige Zahlen darauf warten, eine Transaktion oder einen anderen Vorgang im Online-Banking zu autorisieren und dann zu verfallen.

    In ihren Anfangszeiten Ende des vergangenen Jahrtausends war es noch möglich, dafür irgendeine dieser TANs vom Zettel abzulesen und einzugeben. Da es leider auch Gaunern genügte, per Phishing eine beliebige der Ziffernfolgen abzugreifen, um eine Überweisung durchzuführen, wurde Mitte des letzten Jahrzehnts die heute noch weit verbreitete indizierte TAN-Liste (iTAN) eingeführt. Ab sofort wurde für die Freigabe eines Vorgangs eine bestimmte TAN angefordert.

    Einfallsreiche Übeltäter überlisten TAN-Liste

    Doch auch die Kriminellen sind kreativ und fanden neue Wege, an das Geld anderer Leute zu kommen. Besonders gefährlich ist die Man-in-the-Middle-Attacke. Dabei werden die Bankkunden beispielsweise per Spam-Mail auf eine gefälschte Webseite ihrer Bank gelotst. Dort loggen sie sich vermeintlich in ihr Konto ein und sollen mittels iTAN angeblich ihre Daten bestätigen; etwa, damit der Zugang nicht eingeschränkt wird.

    Tatsächlich greift ein zwischengeschalteter Betrüger (Man in the Middle) gleichzeitig auf das echte Konto des Opfers zu und führt dort eine Transaktion durch. Die benötigte iTAN wird dann auf der Fake-Seite angefordert. Das Problem ist nun, dass nirgends ersichtlich ist, wofür die dort eingegebene TAN wirklich verwendet wird. Das böse Erwachen für die Geprellten kommt meist erst, wenn der Verlust auf der Kontoübersicht erscheint.

    Hier liegt nun der entscheidende Sicherheitsvorteil moderner, elektronischer Freigabeverfahren. Bei ihnen wird mit der TAN angezeigt, welcher Vorgang tatsächlich durchgeführt wird. Steht dort, dass 3000 Euro auf die Cayman-Inseln verschwinden wollen, ist also Vorsicht geboten. Mit der Abschaffung der iTAN trägt die EU dem in der neuen Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) Rechnung. Darüber hinaus müssen die Banken künftig auch für den Login zum Online-Banking einen zweiten Sicherheitsfaktor einrichten.

    SMS-TAN: Besser, aber nicht gut genug

    Mit der Verbreitung der Mobiltelefone wurde die TAN per SMS (auch mobileTAN, mTAN) populär. Hier wird an eine hinterlegte Telefonnummer eine direkt an die entsprechende Transaktion gebundene, nur begrenzte Zeit gültige TAN per Kurznachricht gesendet. In dieser steht zusätzlich, welcher Vorgang gerade durchgeführt wird.
    Problematisch ist, dass für den SMS-Empfang heute größtenteils Smartphones zum Einsatz kommen. Im Gegensatz zu Tastenhandys ohne Internet-Funktion sind diese durch Schadsoftware angreifbar. Ein aufgespielter Trojaner kann dann zum Beispiel die SMS mit der TAN im Hintergrund an einen Betrüger weiterleiten.

    In der Vergangenheit wurden zudem Angriffe bekannt, bei denen es den Kriminellen gelungen ist, sich eine Zweit-SIM für die registrierte Telefonnummer zu beschaffen.

    Dann doch gleich als App

    Nicht an die Telefonnummer, sondern an das Smartphone gebunden und deshalb sicherer als die TAN per SMS ist die appTAN (auch pushTAN, VR-SecureGO/VR-SecureSIGN, TAN2go und andere). Die je nach Kreditinstitut erforderliche App muss nach der Installation zunächst aktiviert werden und empfängt die TANs dann von der Bank zusammen mit den Transaktionsdaten.Um sie abzulesen, muss die App in der Regel erst entsperrt werden.

    Bei der BestSign-App der Postbank und der Banking-to-go-App der ING wird gar keine TAN mehr verwendet. Dort werden nach dem Entsperren die Daten der Transaktion angezeigt, die dann direkt per Button bestätigt wird. BestSign lässt sich alternativ mit einem Zusatzgerät durchführen, das per USB oder Bluetooth mit dem PC oder Laptop verbunden wird.

    Die ING bietet mit photoTAN ebenfalls ein Verfahren mit speziellem Zusatzgerät an. Dieses berechnet die TAN, wenn beim Abschluss einer Transaktion eine bunte Punktegrafik gescannt wird.

    Bei anderen Instituten, die photoTAN verwenden, etwa die Deutsche Bank, die Commerzbank und die Comdirect, steht neben dem Lesegerät eine App-Variante zur Verfügung, welche die Grafik mittels Smartphone-Kamera einliest.Beim QR-TAN-Verfahren der 1822direkt wird ein QR-Code gescannt und daraus die TAN berechnet. Es ist aber auch möglich, Transaktionen in der App freizugeben.

    Der Goldstandard

    Bei der chipTAN (auch smartTAN) kommt ein spezieller TAN-Generator mit Tastatur zum Einsatz, in den der Anwender zusätzlich die Girocard einsetzt. Das Besondere ist, dass die TAN auf dem Chip der Karte erzeugt wird und das Gerät nur als Ein- und Ausgabemedium dient. Gescannt wird meist ein Flickercode, eine animierte Balkengrafik.

    Es gibt auch Varianten mit QR-Code oder farbiger Punktmatrix, zudem ist die Dateneingabe von Hand möglich. ChipTAN gilt als besonders sicher. Allerdings bieten alle Verfahren, die ein spezielles Zusatzgerät erfordern, sehr hohen Schutz, denn anders als Smartphones können sie nicht von Hackern gekapert werden. Die Geräte sind jedoch weniger praktisch als Apps und kosten zudem Geld (siehe Tabelle unten).

    Vincent Haupert, Sicherheitsexperte an der Universität Erlangen-Nürnberg, sieht jedoch auch App-Varianten als ausreichend sicher an, wenn die Transaktion auf einem zweiten Gerät durchgeführt wird. „Kriminelle haben es dann schwer, denn sie müssen für einen erfolgreichen Angriff zwei unterschiedliche Geräte kompromittieren“, so der Experte. Kritisch sieht er Systeme, die es erlauben, sowohl Transaktion als auch TAN auf demselben Gerät zu erstellen. Bei einigen Banken ist dies möglich, meist auf dem Smartphone. Entweder tauschen sich dabei zwei Apps untereinander aus oder es ist sogar alles in eine einzige App integriert.

    Demonstrativ gekapert

    Um die Problematik zu verdeutlichen, demonstrierte Haupert 2015 auf dem CCC exemplarisch einen Angriff auf die kombinierte App der Sparkassen.
    Er betont aber, dass die Verfahren anderer Institute ebenso verwundbar seien, wobei Varianten mit zwei unabhängigen Apps aufgrund der Sicherheitsarchitekturen von Android und iOS einen etwas besseren Schutz böten.

    Doch egal, welche Methode beim Onlinebanking zum Einsatz kommt: Aufmerksame und sicherheitsbewusste Anwender sind auf jeden Fall im Vorteil.


    Quelle: Ende der iTAN: Neue Sicherheitsverfahren fürs Online-Banking - PC Magazin

  • Phishing & Co: Betrüger nutzen Start der PSD2-Richtlinie aus

    Die neue Zahlungsdiensterichtlinie der EU steht vor der Umsetzung. Das sorgt für Verwirrung, die Betrüger schamlos ausnutzen.

    Eigentlich soll die zweite europäische Zahlungsdiensterichtlinie (PSD2) den Betrug beim Bezahlen im Netz stoppen. Doch schon vor Beginn der Umsetzung von PSD2 am Samstag (14. September) fahren paradoxerweise Phishing-Betrüger auf der Thematik Trittbrett. Sie versuchen etwa, Verbrauchern ihre Kontodaten abzujagen, warnt die Verbraucherzentrale Rheinland-Pfalz sowie das Landeskriminalamt des Bundeslands.

    So kursierten Phishing-Mails, in denen Bankkunden aufgefordert werden, ihre Kundendaten zu bestätigen – angeblich wegen der PSD2, was natürlich frei erfunden sei. Tatsächlich landen die Verbraucher auf gefälschten Portalen, wo sie dann ihre Banking-Daten den Betrügern preisgeben.

    Auch Zahlungsdienste wie Paypal betroffen
    Auch Kunden von Zahlungsdiensten wie Paypal sollten auf der Hut sein. Denn die Betrüger verschicken auch Mails, die auf den ersten Blick realistisch aussehen. Darin fordern sie anlässlich der PSD2 die Verifizierung des Paypal-Kontos, warnt die Verbraucherzentrale Nordrhein-Westfalen.

    Druck versuchten die Kriminellen mit der Drohung aufzubauen, dass ein Konto "eingefroren" wird, sollte man der Aufforderung nicht nachkommen. Die Verbraucherschützer raten: E-Mail ignorieren und unbeantwortet in den Spamordner verschieben.

    Unseriöses Kreditkarten-Marketing
    Das LKA warnt in seiner Mitteilung zudem vor unseriösen Marketing-Aktionen im Dunstkreis von PSD2. Besonders dreist sei jüngst ein Anbieter teurer Prepaid-Kreditkarten vorgegangen. Verbrauchern sei telefonisch vorgegaukelt worden, dass sie ihre alte Kreditkarte nicht mehr verwenden könnten.

    "Wegen der Gesetzesänderungen" werde eine neue Kreditkarte zugesandt. Anschließend erhält man, so die Verbraucherschützer, eine Postsendung mit einer Kreditkarte, für die ein Nachnahmebetrag von 100 Euro fällig wird.

    Gesundes Misstrauen angebracht
    Um sich zu schützen, raten die Verbraucherschützer zu gesundem Misstrauen – insbesondere, weil Phishing-Mails sehr seriös und überzeugend echt wirken könnten. Doch bekannte Absenderangaben seien oft gefälscht und sollen beim Empfänger Vertrauen wecken. Bei zweifelhaften Mails sollte man niemals Links anklicken oder Dateianhänge öffnen.

    Zudem gelte, dass Banken oder Zahlungsdienste grundsätzlich niemals Kundendaten oder Zugangsdaten zum Konto per Mail oder am Telefon abfragen. Im Zweifel sollte man direkt beim Kreditinstitut oder Dienstleister nachfragen, wenn man rund ums Thema PSD2 kontaktiert wird.

    Quelle: Phishing & Co: Betrüger nutzen Start der PSD2-Richtlinie aus | heise online

  • Grossteil der Verbraucher hat noch nie von PSD2 gehört

    Neue Zahlungsrichtlinie 16.10.2019, 18:08 Uhr
    Grossteil der Verbraucher hat noch nie von PSD2 gehört
    Nur gut ein Viertel der Deutschen hat eine Ahnung davon, was es mit der PSD2 auf sich hat. Alle anderen gaben an, noch nie davon gehört zu haben. Wird beim Online-Shopping nach einer Authentifizierung gefragt, brechen viele den Kauf deshalb ab.

    Zusätzliche Sicherheit beim Online-Shopping: Obwohl die Payment Service Directive (PSD2) Mitte September dieses Jahres in Kraft getreten ist, haben rund 73 Prozent der Deutschen noch nie davon gehört oder zumindest keine Ahnung, was sich hinter dem Begriff verbirgt. Das geht aus einer aktuellen Studie von Riskified hervor.

    Dabei soll die Zahlungsdienstrichtlinie PSD2 vor allem den Verbrauchern zugutekommen und Online-Transaktionen ab 30 Euro zusätzlich absichern. Online Shops sind durch die PSD2 dazu verpflichtet, ihren Kunden eine Multi-Faktor-Authentifizierung anzubieten. Allerdings steht es den Anbietern frei, welche Art der Identitätsprüfung implementiert wird.

    Viele Online-Händler haben ihre Kunden zwar über die PSD2 informiert, offenbar wurde dies jedoch nicht von allen zur Kenntnis genommen. Über ein Drittel der Studienteilnehmer gaben sogar an, ihren Online-Einkauf sofort abzubrechen, wenn nach einer Authentifizierung gemäss PSD2 gefragt werde.

    Betrugsrisiko minimieren, ohne Kunden zu verärgern

    "Betrug ist ein grosses Problem im E-Commerce. Dennoch darf sich das Bestreben, den Online-Handel so sicher wie möglich zu gestalten, nicht negativ auf das Kundenerlebnis auswirken. Leider kann genau das bei PSD2 passieren", sagt Eido Gal Mitbegründer und CEO von Riskified. Deshalb sei es nun Aufgabe der Händler, das Betrugsrisiko so gering wie möglich zu halten, dem Kunden aber dennoch eine gute Experience zu bieten.

    Methode

    Für die Studie wurden insgesamt 2.000 Verbraucher in Deutschland, England, Frankreich und Spanien (jeweils 500) befragt, die online einkaufen. Ebenfalls interviewt wurden 200 Einzelhandelsfachleute (pro Land 50), die die PSD2 kennen und eine der folgenden Positionen bekleiden: Leiter oder VP von Payments, Finance, Fraud, E-Commerce, Operations, CFO oder COO.


    Quelle: Grossteil der Verbraucher hat noch nie von PSD2 gehört - onlinepc.ch