© Erste Bank

Digital Life
09/13/2019

Online-Banking-Verordnung: Das ändert sich für Sparkassen-Kunden

Die PSD2-Verordnung soll für mehr Sicherheit beim Online-Banking sorgen. Bei der Erste Bank und Sparkassen wird die in die Jahre gekommene TAC-SMS abgelöst.

Die EU-Bestimmung “Payment Services Directive 2” soll ab dem 14. September das Online-Banking und Online-Shopping sicherer machen. Den Online-Händlern wurde dafür eine Übergangsfrist gewährt, für Nutzer von Internet-Banking bedeutet das jedenfalls jetzt schon, sich an neue Freigabe- und Login-Prozesse zu gewöhnen. Bei Erste Bank und Sparkassen haben bereits mehr als 70 Prozent der George-Nutzer von der Tac-SMS auf das neue Verfahren mittels s Identity-App umgestellt. Der Rest kann die Aktivierung auch nach dem 14. September noch vornehmen, damit mit Stichtag keiner vor verschlossenen Türen steht. Der Wechsel zur neuen Authentifizierungsmethode wird bereits seit über einem Jahr angeboten.

Zwei-Faktor-Authentifizierung

Künftig ist vorgeschrieben, dass man für Login und Freigabe beim Online-Banking zwei von drei Faktoren erfüllen muss. Zu diesen zählen neben biometrischen Merkmalen ein physisches Gerät wie ein Smartphone und ein Kennwort. Kunden haben bei der Erste Bank und den Sparkassen drei Möglichkeiten, sich bei Online-Bankgeschäften auszuweisen.

Die am häufigsten genutzte Variante ist die Smartphone-App s Identity. „95 Prozent der Kunden, die bereits umgestiegen sind, nutzen ihr Smartphone zu Authentifizierung. Das heißt, sowohl der Log-in als auch die Freigabe einer Überweisung wird über die App autorisiert. Das passiert entweder durch Eingabe eines selbstgewählten PIN-Codes oder mit Fingerabdruck bzw. Gesichtserkennung, was besonders bequem ist“, sagt Petra Postl, Expertin für digitales Banking der Erste Bank im Gespräch mit der futurezone.

Die App sIdentity ist die bequemste Variante der Authentifizierung.

Jede Aktion muss erst auf der App freigegeben werden.

Durch die neue Regelung wird das Login- und Freigabeverfahren an ein vom Nutzer bestimmtes Gerät gebunden. So kann sich niemand unbefugt in das Internet-Banking einloggen, weil es eben nur mehr mit diesem einen Gerät möglich ist. Die Bindung an das Gerät ist ein Faktor, der PIN-Code bzw. die Biometrie der zweite Faktor. „Da es die Gerätebindung gibt, funktioniert das klassische Phishing von Zugangsdaten nicht mehr, ein möglicher Angreifer müsste auch über das Gerät verfügen. Damit kann man Cyberkriminellen effizient das Handwerk legen“, so Postl über die neue Zwei-Faktor-Authentifizierung.

TAC-SMS wird abgelöst

Das Tac-SMS-Verfahren wurde 2005 von Erste Bank und Sparkassen eingeführt und war damals laut Bank die sicherste und beste Freigabemethode. „Mittlerweile ist das TAC-SMS Verfahren in die Jahre gekommen und steht zunehmend im Fokus von Cyberkriminalität“, so Postl. In der Vergangenheit wurde immer wieder Attacken beim SMS-Versand festgestellt, wo Hacker die SMS umgeleitet haben um sich so eine illegale Freigabe zu erschleichen. Daher will man im Sinne der PSD2 den Kunden mit der App-Lösung ein modernes Login- und Zeichnungsverfahren mit höherer Sicherheitsstufe beim Internet-Banking anbieten.

Smartphone nicht zwingend notwendig

Nicht jeder Kunde möchte aber das Smartphone fürs Banking nutzen und so gibt es auch die Möglichkeit, s Identity auf einem Windows-PC oder Mac zu nutzen. Wer auch das nicht möchte, kann als dritte Möglichkeit auf einen CardTan-Generator zurückgreifen. Das Gerät ist in der Sparkassengruppe kostenlos und kann auch für Freigaben beim Internet-Banking verwendet werden. Dieser funktioniert in Kombination mit der Bankomatkarte des verwendeten Kontos und wird an einen sogenannten Flicker-Code am Bildschirm gehalten. Die generierte CardTan muss anschließend eingegeben werden und wird vom Bankserver überprüft.

Updates und Vorsicht

Wer die s Identity-App nutzt, sollte aber sichergehen, dass regelmäßig alle Updates installiert werden. „Sowohl das Smartphone als auch die s Identity-App sollten immer aktuell gehalten werden und Updates zeitgerecht durchgeführt werden. Wir empfehlen zusätzlich bei Android-Geräten ein Anti-Virenprogramm zu installieren. Grundsätzlich gilt auch, dass Banken niemals E-Mails oder SMS mit Aufforderungen zum Login in das Internetbanking oder der Bekanntgabe von Zugangsdaten versenden“, sagt Petra Postl.

Dieser Artikel entstand im Rahmen einer Kooperation mit Erste Bank und Sparkassen. Die redaktionelle Verantwortung obliegt der futurezone-Redaktion.