Eine weitere Abkürzung die vielen Menschen das Leben durchaus etwas schwerer macht – PSD2 heißt sie und bedeutet ‚Payment Services Directive2‘ – also Zahlungsrichtlinie. Sie soll Banking sicherer machen, das macht sich für den Banking-Nutzer an zwei Dingen besonders bemerkbar:
- Papier-TAN-Listen gehören der Vergangenheit an, die TAN für die Transaktionsfreigabe kommt jetzt in den meisten Fällen per App aufs Handy.
- Das Online-Banking fragt öfter nach TANs, je nach Bank zum Teil sogar bei jeder Anmeldung. Aber auch bei der Abfrage von Umsätzen über längere Zeiträume.
Im Zuge der PSD2 wurde von vielen Banken auch die SMS-TAN eingestampft, dieses Verfahren gilt als unsicher – zudem erzeugt der SMS-Versand Kosten auf Bankseite.
Für Otto-Normal-Banker gibt es bei den meisten Banken mittlerweile nur noch TAN-Verfahren auf Basis von Apps fürs Smartphone – teilweise werden auch noch TAN-Generatoren unterstützt, die meisten Nutzer dürften aber mittlerweile mit Apps unterwegs sein.
Ist das denn jetzt sicher?
Prinzipiell ist eine 2-Faktor-Authentifizierung eine sichere Angelegenheit – die Anmeldung per Login/PIN und die zusätzliche Abfrage der TAN als zweitem Faktor bei Transaktionen ist in der Theorie ein guter Schutz.
Praktisch wird dieser aber allzu häufig aufgeweicht – schon die Installation der Banking-App und der TAN-App auf dem selben Smartphone widerspricht dem 2-Faktor-Gedanken. Wenn dann auch noch beide mit dem selben Passwort oder Fingerprint abgesichert sind reduziert man im Prinzip auf einen Faktor.
Natürlich will jeder Bankkunde seine Geschäfte schnell und einfach durchführen können, das geht aber letztendlich zu Lasten der Sicherheit.
Optimal wäre eine Trennung von Banking und TAN-Generierung, beispielsweise mit einem TAN-Generator (wie ihn aber nicht alle Banken anbieten) oder einem separaten Smartphone für die TAN-App.
Ausgesperrt dank neuem Handy?
Ein weiteres Problem ist der Verlust des Smartphones – oder auch einfach nur der Wechsel auf ein neues… Viele TAN-Apps werden per Freischaltbrief aktiviert, der häufig nur einmal verwendet werden kann – beim Wechsel auf ein neues Handy muß dann auch eine neue Freischaltung angefordert werden.
Auch bei verlorenen, defektem oder gestohlenen Smartphone ist man erstmal nicht mehr in der Lage Überweisungen zu tätigen. Während die gute alte TAN-Liste in der Schreibtischschublade verwahrt wurde, ist das Handy ständiger Begleiter und damit entsprechend anfällig.
Die erneute Aktivierung kann je nach Bank einige Tage in Anspruch nehmen, in der Zeit ist man im schlimmsten Fall komplett vom Online-Banking ausgeschlossen.
Auch hier könnte die Lösung ein separates Gerät sein, das nur fürs Banking eingesetzt wird. Viele alte Smartphones fristen in Schubladen ungenutzt ihr Dasein – speziell für die Generierung von TANs könnte man damit zum einen die Sicherheit erhöhen und zum anderen den Aufwand für die Reaktivierung der TAN-Apps im Verlustfall vermeiden.
