Banking: "Authentifizierung über ein Gerät nicht optimal"

Während Deutschland sich bei der Umsetzung der EU-Richtlinie PSD 2 auf der Zielgeraden befindet, wird ein entsprechender Gesetzesentwurf in Österreich erst Mitte des Jahres erwartet. Die Finanzmarktaufsicht (FMA), welche schließlich die Umsetzung und Einhaltung der Vorgaben überwachen wird, rechnet auf Anfrage der futurezone damit, dass der Entwurf erst im Oktober bzw. November die parlamentarischen Prozesse durchlaufen wird. Bis 18. Jänner 2018 läuft die von der EU vorgegebene Frist, um die Richtlinie in nationales Recht zu gießen.

Alles auf einem Gerät

Sicherheitsexperte Robert Waldner vom österreichischen CERT.at begrüßt die EU-Richtlinie, warnt aber auch davor, alle Sicherheitsmaßnahmen über das eigene Smartphone zu machen. „Zwei-Faktor-Authentifizierung ist immer eine gute Idee, weil es die Kommunikation sicherer macht. Dass mittlerweile dazu übergegangen wurde, alles über ein einzelnes Gerät – im Normalfall das eigene Handy – abzuwickeln, ist allerdings nicht optimal“, gibt Waldner zu bedenken.

Er spielt darauf an, dass früher für die Bestätigung einer Online-Überweisung am Computer eine SMS mit Code an ein zweites Gerät, das eigene Handy, geschickt wurde. Da Online-Banking heute vielerorts direkt über das Smartphone abgewickelt wird und der TAN/TAC auf dasselbe Gerät gesendet wird, entfällt diese zusätzliche Barriere.

Diskussion über Fingerprint

Einige Fragen bleiben bis zur Ausarbeitung des Gesetzesentwurfs ohnehin offen. So ist etwa unklar, ob das Log-in mittels Fingerprint auf dem Handy als Sicherheitsmaßnahme ausreicht, um etwa den eigenen Kontostand einsehen zu können. Die Bawag PSK etwa geht davon aus, dass dies der Fall ist. "Unsere mobile Strategie hat sich bewährt. Wir bieten Kunden die einfache Authentifizierung via Fingerprint (Touch ID) mittels App an. Der Fingerprint erfüllt die Zweifaktor-Authentifizierung beim Zugriff auf das Zahlungskonto", ist Bawag-PSK-Sprecherin Georgia Schütz überzeugt.

Ansonsten geben sich die heimischen Banken auf futurezone-Anfrage noch zurückhaltend, was konkrete Auswirkungen auf ihre Online-Services betrifft. Raiffeisen-Sprecherin Monika Riedel verweist darauf, dass die Online- und Mobile-Banking-Angebote der Bankengruppe bereits jetzt über höchste Sicherheitsstandards verfügen: „Sollte tatsächlich Adaptionsbedarf bestehen, werden wir natürlich zeitgerecht darauf reagieren.“

Bei der Erste Bank verweist man darauf, dass man für die konkreten Vorgaben erst den Gesetzesentwurf abwarten müsse. Schon jetzt sei die Zwei-Faktor-Authentifizierung aber ein essenzieller Bestandteil aller Services. Und auch bei der Bawag PSK rechnet man nicht mit allzu großen Auswirkungen. „Die Richtlinie zielt auf einheitliche Sicherheitsstandards ab und will Nutzer besser vor Cyberkriminalität schützen. Die erhöhten Sicherheitsansprüche gemäß PSD 2 erfüllen wir aber jetzt schon“, sagt Bawag-PSK-Sprecherin Schütz.