Sicherheitsverfahren für Online und Mobile Banking im Fadenkreuz

×

Mobile Zahlverfahren liegen im Trend. So nutzen beispielsweise inzwischen über eine Million Kunden das Handy-zu-Handy-Zahlverfahren "Kwitt" der Sparkassen sowie Volks- und Raiffeisenbanken. Das hat der Deutsche Sparkassen- und Giroverband (DSGV) Mitte August mitgeteilt. "Mit Kwitt haben wir Überweisungen stark vereinfacht. Das Interesse an dem neuen Zahlsystem geht quer durch alle Altersstufen", sagt Joachim Schmalzl, Geschäftsführendes Vorstandsmitglied des DSGV. Wenn Kunden Geld über "Kwitt" versenden, müssen sie laut Angaben des DSGV keine IBAN und, bei Beträgen bis 30 Euro, auch keine TAN-Nummer eingeben.

Normalerweise nutzen Bankkunden TAN-Nummern digital oder analog, um ihre Überweisungen abzusichern. Welche Verfahren künftig angeboten werden, darüber machen sich derzeit zahlreiche Regulierer Gedanken. "Verfahren wie die SMS-Tan könnten bald nicht mehr erlaubt sein. Denn die Regulatorik verlangt, dass die Banken die Kontrolle über die Kanäle haben müssen, was beim SMS-Versand nicht der Fall ist", sagt Hakan Eroglu, Senior Manager bei der Unternehmensberatung Accenture im Bereich Financial Services mit Schwerpunkt Zahlungsverkehr, gegenüber Springer Professional. Die nationale Auslegung dieser Richtlinie durch die Bafin sei allerdings noch nicht final entschieden.

PSD2 bietet Interpretationsspielraum

Vincent Haupert, Informatiker an der Uni Erlangen, sieht das ähnlich. "Was die PSD2 betrifft, ist noch nicht ganz klar, welche Verfahren letztendlich tatsächlich konform sind, da der Gesetzestext nicht frei von Interpretationsspielraum ist", sagt der IT-Experte gegenüber Springer Professional. "Die große Frage stellt sich bei App-basierten TAN-Verfahren", so Haupert. Die europäische Bankenaufsicht EBA habe klargestellt, dass sie eine Implementierung auf einem einzigen Smartphone unter Umständen für konform erachtet. Welche Umstände hier genau gefordert sind, bleibe abzuwarten.

Es wird laut Haupert aber eher weniger um die Grundsatzfrage gehen, ob Banking- und TAN-Funktionen auf einem Smartphone konform sind, sondern ob diese mit zwei verschiedenen Apps realisiert werden müssen. Verfahren wie App-Switch, bei denen sich die Banking-App den zweiten Faktor für die Autorisierung einer Zahlung automatisch aus der Authentifizierungs-App zieht und dann auf die Banking-App zurückspringt, könnten laut Eroglu durch die nationale Auslegung der PSD2 aus Sicherheitsgründen nur noch nach sicherheitstechnischen Nachbesserungen erlaubt sein.

Chip-TAN-Verfahren ist PSD2-konform

Die iTAN-Liste wird aus Sicht von Haupert definitiv nicht mehr den regulatorischen Anforderungen genügen. Das sei für die meisten Kunden aber kein Problem, da zumindest die Sparkassen und genossenschaftlichen Banken hier schon bis auf wenige Ausnahmen umgestellt hätten. Das ebenfalls weit verbreitete Chip-TAN-Verfahren ist aus Sicht des Informatikers hingegen zweifelsfrei voll PSD2-konform.

Die PSD2-Richtlinie werde zusätzlich dafür sorgen, dass es mehr Drittanbieter gibt, die nach Zustimmung des Kunden auf Kundenkontodaten zugreifen und Zahlungen auslösen dürfen, glaubt Eroglu. "Hierbei könnte es dazu kommen, dass Kunden ihre Zugangsdaten auch bei unseriösen und nicht registrierten Drittanbietern eingeben." 

Zugriff auf Kontoinformationen

"Neben der Zahlungsauslösung stellt der Zugriff auf Kontoinformationen die zweite wesentliche Funktion von Zahlungskonten dar, die durch die PSD2 für den Zugriff durch dritte Zahlungsdienstleister freigegeben wird", sagen auch die Springer-Autoren Sven Korschinowski, Christian Conreder und Sebastian Schwittay im 16. Kapitel des Fachbuchs "Innovationen und Innovationsmanagement in der Finanzbranche" (Seite 321). Dritte Zahlungsdienstleister erhalten also laut Conreder und Schwittay Zugriff auf Kontoumsätze, Betrag, Buchungsdatum, Wertstellungsdatum, Verwendungszwecke, Namen der Empfänger sowie den Saldo eines Zahlungskontos, sobald diese Daten dem Zahlungsdienstnutzer im Online Banking angezeigt werden.