Kurz gebloggt

Sparkassen und Volksbanken vor der „zweiten“ PSD2-Umstellung

9. Dezember 2019

Von Christian Kirchner

„Bis auf die wenigen Ruckler ruhig“ – so beschrieb die Bafin wenige Tage nach der PSD2-Umstellung Mitte September die Lage. Über die Großausfälle bei der Postbankder DKB und anderen Instituten sahen die Aufseher großzügig hinweg. Ebenso wie über die massiven Probleme vieler Fintechs und sonstiger Drittanbieter (siehe auch hier).

Was allerdings auch Teil der Geschichte ist: Bei einigen Banken dürfte das „Ruckeln“ noch gar nicht begonnen haben. Weil die PSD2-Probleme nicht aufgehoben, sondern nur aufgeschoben sind. Das gilt vor allem für jene Institute, die sich für eine weiche Einführung der sogenannten starken Kunden-Authentifizierung („2FA“ bzw. „SCA“) entschieden hatten (was es damit auf sich hat, lesen Sie hier). Das sind insbesondere viele Sparkassen und Genobanken. Also Geldhäuser mit einer insgesamt vermutlich zweistelligen Millionenzahl an Kunden. Für das simple Einloggen ins Online- oder Mobile Banking fordern sie lediglich alle 90 Tage eine „starke“ Authentifizierung.

Das ist für Kunden bequem – aber auch riskant. Hintergrund: Dass einige Banken (siehe auch die letzte Spalte unserer großen Übersicht aus dem September) die starke Authentifizierung selbst bei jedem simplen Login verlangen, ist keine Gängelei. Sie wollen, dass sich Kunden an den Prozess gewöhnen, er zur Routine wird. Zugleich fürchten sie, dass es viele Kunden überfordern könnte, sich nur alle 90 Tage stark authentifizieren müssen, weil sie den Vorgang nach drei Monaten nicht mehr erinnern.

Etliche Bank, zu denen neben Sparkassen, Volksbanken und Spardas z.B. auch die deutsche Santander gehören, setzen dagegen auf die 90-Tage-Regel. Und die ersten 90 Tage – sind ab morgen vorüber. Weshalb die betreffenden Banken ihren Kunden nun schon seit Tagen klarmachen, dass sie (spätestens) am 10. Dezember in Besitz einer „starken Authentifizierung“ sein müssen, die sie auch anwenden können.

Hier drei Praxisbeispiele:

Kunden der Sparda erhielten beispielsweise vergangene Woche diesen Hinweis:

Auch bei der Sparkasse Hannover weist man Kunden auf den nahenden Ablauf der Frist hin….

…ebenso wie die kleine Volksbank Blaubeuren:

Gut möglich also, dass nunmehr jene Instituten mit strikter Auslegung der Authentifizierung (siehe auch die letzte Spalte dieser Übersicht hier) tatsächlich bereits die Phase des „Ruckelns“ samt vieler moppernder Kunden hinter sich haben – während in der Fraktion der großzügigen Banken das Knirschen erst noch bevor steht. Viele Banker berichten im Hintergrund, dass die Quote an (vor allem älteren) Bankkunden groß sei, die tatsächlich Konten und Depots lediglich im „Lesemodus“ nutzen, für Transaktionen aber auf Terminals oder Belege ausweichen. Auch sie kommen dann künftig um die einmalige starke Authentifizierung nicht herum.

Unterdessen ziehen die ersten Institute bereits die Konsequenzen aus dem Kundenfeedback – und rücken von sehr strengen Regeln ab. So führte etwa die Consorsbank amWochenende ein größeres Update ihres Systems „SecurePlus“ durch (Dokumentation mit einem bemerkenswert persönlichen Brief des Privatkundenchefs Rainer Hohenberg hier) – und erlaubt, anders als in den Wochen seit dem 14. September, künftig die Definition vertrauenswürdiger Endgeräte. Bei diesen muss dann zur reinen „Lese“-Abfrage ohne Transaktionen keine erneute separate Freigabe erteilt werden.

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing