von Christian Kirchner, 12. August 2019
Am 14. September ist es so weit, die nächste Stufe der Zahlungsrichtlinie PSD2 tritt in Kraft. Eine der wichtigsten neuen Regeln: Beim Online-Banking wird die Identifizierung mit mindestens zwei unterschiedlichen und voneinander unabhängigen “Faktoren” verpflichtend. Für viele Verbraucher eine einschneidende Veränderung. Schließlich erledigt inzwischen jeder zweite Deutsche seine Bankgeschäft übers Internet, wie das Statistische Bundesamt zuletzt ermittelt hat.
Indes: Nicht nur für Verbraucher beginnt Mitte September ein neues Banking-Zeitalter. Noch viel mehr gilt das für die Banken selber.
Finanz-Szene.de wird sich darum in dieser Woche in einer vierteiligen Serie die wichtigsten (noch offenen Themen) rund um die zweite Stufe der PSD2-Revolution vorknöpfen. Und den Anfang machen wir heute mit besagter Zwei-Faktor-Authentifizierung, kurz: 2FA.
Aber wie genau werden Banken die neuen Authentifizierungswege handhaben? Wie werden sie die Spielräume nutzen, die die Richtlinie etwa mit Blick auf die Frequenz bietet, mit der die Banken einen sicheren Login über mindestens zwei Faktoren einfordern? Der klassische Login samt Passwort ist dabei ein “Faktor”, er muss von einem zweiten ergänzt werden, der nicht physisch im Besitz des Kunden sein darf – was bekanntermaßen das Ende der sogenannten Papier-Tan-Liste einläutet.
Konkret hat Finanz-Szene.de zehn der größten und bekanntesten Banken sowie die Sparkassen und Volksbanken gefragt, welche Strategie sie in Sachen PSD2 bzw. 2FA verfolgen. Dabei standen folgende Fragen im Mittelpunkt:
Was uns dabei überraschte, das war, wie unterschiedlich die Antworten teilweise ausfielen (halten Sie Ihr Smartphone bitte quer, dann können Sie die Tabelle in ihrer kompletten Breite sehen …).
Haben Sie Ergänzungen/Hinweise/Fehlermeldungen/Ungenauigkeiten entdeckt? Dann bitte sehr gerne melden an redaktion@finanz-szene.de; unsere Tabelle fußt auf den Antworten der Banken.
Quelle: Unternehmensangaben; *) Sparkassen und Volksbanken Verweisen auf teils individuelle Lösungen ihrer Institute **) nicht angeboten für Aufträge, Gebühr nur bei Kartenzahlung via 3D Secure ***) korrigiert, nur HBCI-Chipkarte, kein Chip TAN ****) 90 Tage nur bei Drittanbietern
Doch warum wählen die Banken so unterschiedliche Strategien? Hierzu hat Finanz-These vier Thesen formuliert:
“Mobile First” mag abgedroschen klingen. Aber die PSD2-Richtlinie wird die Nutzung des Smartphones nochmals attraktiver machen. Alle zwölf befragten Banken bzw. Bankengruppen bieten eine eigene App an, mit der sich Nutzer identifizieren können, entweder direkt aus einer Freigabe-App oder mittels Photo-Tan-Verfahren. Das ist möglich, weil Smartphones üblicherweise nochmals biometrisch geschützt sind. Das heißt aber auch: Man kann mit einem Smartphone Überweisungen tätigen, nicht aber mit einem Laptop oder Desktop-Computer. Hier ist dann stets noch ein weiterer Identifizierungsweg erforderlich.
Finanz-Szene.de hat sich bei Banken nicht nur erkundigt, welche Identifizierungswege sie anbieten. Sondern welchen sie Kunden strategisch nahelegen oder welcher sich mutmaßlich durchsetzen wird. Zwei Institute nannten hier explizit die App (N26, Santander), weitere vier (Targobank, DKB, HVB, Postbank) gaben sinngemäß an, dass ihre “App” künftig dominieren werde. Auch die Deutsche Bank und die Commerzbank glauben nach eigenen Angaben an die Zukunft der photoTAN via App.
Die per SMS übersandte mobile TAN ist vermutlich die erste Alternative für Kunden, die zwei das Handy zur Zwei-Faktor-Authentifizierung nutzen werden – allerdings eher keine App herunterladen wollen. Einige Banken lassen sich diesen Dienst – womöglich aus Gründen der “Kunden-Erziehung” – bezahlen, etwa die DKB, die Comdirect, die Commerzbank und die Deutsche Bank. Zumindest dann, wenn damit Aufträge ausgelöst werden.
Die Postbank indes stellt die mobileTAN zum 8. September 2019 für Privatkunden ein. Zwei weitere Player, nämlich die DKB und die Volksbanken, ließen durchblicken, dass sie nicht an eine lange Zukunft des mTAN-Verfahrens glauben. “Die smsTAN ist eine Auslauftechnik”, heißt es etwa beim Genobanken-Verband BVR. “Die mTAN wird aufgrund des Komfort des 3D-Security-Verfahrens keine große Rolle mehr spielen”, sagt die DKB. Gemeint ist auch hier ein Smartphone-basiertes Verfahren: Kunden geben die Zahlung bei teilnehmenden Händlern in der DKB-Banking-App über ihr mobiles Endgerät frei.
Zu einem deutlichen Differenzierungs-Merkmal im Spannungsfeld von Sicherheit und Komfort wird offenbar die Möglichkeit, die Zwei-Faktor-Authentifizierung für bis zu 90 Tage auszusetzen, sofern sie einmal erfolgreich erfolgt ist. Kunden kennen aus der aktuell laufenden Testphase das Phänomen, dass sich bei einigen Banken, die bereits die Doppel-Authentifizierung nutzen, die Prozesse von Login bis zur Freigabe deutlich verlängert haben. So gibt es Banken, die konsequent bei jeder Nutzung eines Zwei-Faktor-Authentifizierung verlangen. Das sind etwa die ING, Targobank, DKB, N26 und die Postbank. “Wir fragen den zweiten Faktor grundsätzlich bei jedem Login ab. So wird dieser neue Vorgang bei unseren Kunden zur Routine und sie brauchen nicht alle drei Monate zu überlegen, wie sie beim Login vorgehen müssen”, heißt es etwa bei der ING.
Es gibt allerdings auch Institute, die hier zu hybriden Lösungen greifen. Dazu gehört die HVB, die die Authentifizierung je nach “Risikoeinschätzung” und individuellem Kundenverhalten erneut verlangt, ohne dies präzisieren zu wollen. Bei der Deutschen Bank kann der zweite Faktor durch eine Geräte-Verknüpfung ersetzt werden, so dass der Kunde keinen zweiten Faktor aktiv eingeben muss, und für Drittanbieter kann er für bis zu 90 Tage ausgesetzt werden. Und dann gibt es Institute, die sich mit einem einmaligen sicheren Anmelden für 90 Tage zufrieden geben – etwa die Santander und die Sparkassen.
Finanz-Szene.de wird im morgigen Teil der kleinen PSD2-Serie beleuchten, inwiefern die unterschiedlichen Strategien auch wettbewerbsrelevant für die Banken werden könnten.