Im E-Commerce gibt es mittlerweile eine Vielzahl unterschiedlicher Zahlungsarten von verschiedenen Payment-Dienstleistern. Üblicherweise bieten diese Dienstleistungen nicht die weitgehend staatlich regulierten klassischen Banken an, sondern FinTech-Unternehmen.
Die EU-Kommission möchte das Bezahlen in Online-Shops aber auch Online-Banking sicherer gestalten. Deswegen ist bereits seit dem 14. März 2019 die Payment Services Directive 2 (Zahlungsdiensterichtlinie 2 / PSD 2) in Kraft. Sämtliche elektronische Zahlungsvorgänge wie Online-Überweisungen oder Payments (PayPal, Amazon Pay, etc.) müssen ab dem 14. September durch einen zweiten Faktor authentifiziert werden.
Höherer Verbraucherschutz durch PSD 2
Eine Kernkomponente der PSD 2 ist die Einführung einer verpflichtenden Strong Customer Authentification (SCA). Internet-User sollen beim Online-Shoppen besser vor Betrug geschützt werden. Mit gestohlenen Kreditkartendaten oder Payment-Logins konnten Cyberkriminelle bisher eine Schwäche des elektronischen Zahlungsverkehrs ausnutzen – die Authentifizierung mit nur einem Faktor. Die neue EU-Verordnung setzt genau hier an und schreibt zukünftig einen zweiten Faktor zur Identitäts-Verifizierung vor.
Bevor nun eine elektronische Zahlung ausgelöst werden kann, muss der Internet-User einen mehrstufigen Verifizierungsvorgang durchlaufen. In der Regel geschieht das durch die 2-Faktor-Authetifizierung.
Mehr Sicherheit durch 2-Faktor-Authentifizierung
Die 2-Faktor-Authentifizierung ist keine neue Erfindung und viele Payment-Dienstleister und Online-Banken bieten diese bereits auch an. Die EU-Verordnung PSD 2 bedient sich also vorhandenen Sicherheitsmechanismen und stellt ab dem 14. September 2019 sicher, dass nur die Person, die sich beim Anstoßen des Zahlungsvorgangs als autorisierte Person ausgibt, auch tatsächlich diese autorisierte Person ist.
Bei der eindimensionalen Authentifizierung schützen lediglich Username und Passwort vor unbefugten Zugriff auf Online-Konten, Online-Banking und E-Commerce-Shops. Die 2-Faktor-Authentifizierung ist wesentlich sicherer als statische Passwortabfragen. Durch Kombination eines statischen Passworts mit einem zweiten, dynamischen Faktor wird die Gefahr von Datenverlusten bedeutend verringert.
Neben dem Passwort, welches der User weiß, wird durch ein zusätzliches Gerät, was der User bei sich trägt, ein dynamischer Faktor erzeugt, der nur für einen spezifischen Zahlungsvorgang gültig ist. Oftmals handelt es sich dabei um das Smartphone, auf dem einzigartige Einmal-Passwörter geniert werden oder die Authentifizierung per Push-Benachrichtigung erfolgt. Speziell beim Online-Banking setzt man außerdem auf TAN-Generatoren.
Cyberkriminelle, die irgendwo hinter ihren Computern sitzen, haben keine Chance auf den zweiten Faktor zuzugreifen. Das macht diesen – und letztendlich das gesamte Authentifizierungsverfahren – so sicher.
Änderungen durch PSD 2 beim Online-Banking
Eine Art „2-Faktor-Authentifizierung“ gibt es beim elektronischen Banking schon etwas länger. Viele kennen die TAN-Briefe mit meist 100 vorgedruckten Zahlen. Nach der neuen Zahlungsdiensterichtlinie 2 sind diese ab dem 14. September 2019 für Zahlungen verboten. Zu oft wurden diese mit Hilfe von Phishing-Betrug kompromittiert. Sie bieten kein angemessenes Sicherheitsniveau mehr. Allerdings gibt es bereits ausreichend Alternativen, die wir hier kurz vorstellen möchten.
Exkurs: TAN-Verfahren im Überblick
Photo-TAN
- Benötigt eine Photo-TAN-App auf dem Smartphone. Zur Sicherheit sollte man die Anwendungen über die offiziellen Webseiten der Banken herunterladen. Diese bieten garantiert den richtigen Link zur iOS- bzw. Android-App.
- Mit der App wird eine einzigartige Photo-TAN-Grafik beim Transaktionsvorgang gescannt. Das Smartphone generiert daraus eine einmalige TAN. Mit der Eingabe dieser TAN über den Computer wird die Transaktion freigegeben.
- Sicherheit: Sehr sicher durch die Signatur und die Verschlüsselung der Bank sowie die unverfälschte Übertragung auf das Mobiltelefon.
Chip-TAN
- Für eine Überweisung benötigt der User seine Bankkarte und einen TAN-Generator der Bank. Bei einer Transaktion steckt man die Bankkarte mit dem Chip in den Generator und mit diesem scannt man dann ein animiertes Feld auf dem Computer-Bildschirm. Das Gerät ermittelt die für die Transaktion einmalige TAN.
- Sicherheit: Wie beim Photo-TAN-Verfahren ist auch hier die Sicherheit sehr hoch, da zwei unabhängige Geräte zum Einsatz kommen und die Bankkarte notwendig ist.
App-TAN
- Wie beim Photo-TAN-Verfahren muss der User eine App auf seinem Smartphone installieren. Möchte der User Geld überweisen, muss dieser die TAN-Freigabe lediglich mit einem Klick auf seinem Gerät bestätigen. Eine zusätzliche TAN-Eingabe wie bei der Photo-TAN ist nicht notwendig.
- Sicherheit: Eine hohe Sicherheit ist dann gewährleistet, wenn für eine Transaktion zwei unabhängige Geräte eingesetzt werden – Beispielsweise Laptop und Smartphone.
Push-TAN
- Auch hierfür benötigt der User eine spezielle App der Bank. Innerhalb einer Transaktion bekommt der User eine TAN an die App geschickt. Diese ist nur für die momentane Überweisung gültig und wird aus der App in das Online-Banking-Formular eingegeben.
- Sicherheit: Hohe Sicherheit nur dann, wenn zwei unabhängige Geräte zum Einsatz kommen. Eine elektronische Überweisung und Push-TAN auf demselben Gerät (Smartphone) ist vergleichsweise unsicherer.
mTAN
- Für jede Transaktion erhält der User eine einzigartige SMS-TAN auf das Smartphone. Zur Verifizierung wird diese im Online-Banking-Formular eingegeben.
- Sicherheit: Das Verfahren ist den anderen etwas unterlegen. Das Bundesamt für Sicherheit in der Informationstechnik warnt sogar, das SMS-TANs abgefangen werden können.
iTAN
- im Zahlungsverkehr unzulässig ab dem 14. September 2019
- Banken weisen in letzter Zeit vermehrt darauf hin, dass die TAN-Listen ihre Gültigkeit verlieren und die Kunden sich für ein oben genanntes TAN-Verfahren entscheiden sollen.
- Sicherheit: Die für Transaktionen nicht individualisierten TANs sind unsicher und werden deshalb abgeschafft.
Mit der PSD 2 hat die Europäische Kommission das Zahlungsdiensterecht in der EU und dem Europäischen Wirtschaftsraum reformiert. Durch eine verpflichtende 2-Faktor-Authentifizierung werden elektronische Überweisungen sicherer gestaltet und Verbraucher dadurch besser geschützt.
Photo by rupixen on Unsplash