PSD2 statt R2D2
Digitales Zahlen wird noch sicherer und rettet Menschenleben
Die Kreditinstitute fordern ihre Kunden derzeit verstärkt auf, zu sichereren Banking-Verfahren zu wechseln. Und bieten dafür wahlweise z.B. kostenlose Apps oder kostenpflichtige TAN-Generatoren an.
Und reden im Zusammenhang mit elektronischen Zahlungen und Online-Banking ständig von PSD 2. Was hat es damit auf sich?
Zugegeben, erst habe ich bei PSD 2 an meinen „Lieblingsroboter“ R2D2 aus Star Wars gedacht 😉
Aber PSD 2 ist natürlich etwas ganz anderes.
Hierbei handelt es sich um eine neue EU-Vorgabe. Nämlich das Gesetz zur Umsetzung der Zweiten Zahlungsdienste-Richtlinie (englisch: Payment Services Directive 2).
Diese schreibt spätestens ab Mitte September diesen Jahres u.a. neue Sicherheitsverfahren im elektronischen Zahlungsverkehr vor.
Die Regelungen gelten für kontoführende Zahlungsdienstleister wie Banken und Sparkassen. Aber auch für dritte Zahlungsdienstleister, welche – ohne Banken zu sein (Nichtbanken) – Zahlungskarten ausgeben oder verschiedene Zahlungsdienste anbieten.
Zahlungsdienste sind etwa Zahlungsauslösedienste wie die Durchführung von Sofortüberweisungen. Oder Kontoinformationsdienste wie z.B. eine App, welche alle Konten eines Kunden bei unterschiedlichen Banken zusammengefasst aufführt. Umgesetzt werden solche Dienste zumeist von Finanz-Start-ups (sogenannten FinTechs).
Mehr Sicherheit für Kundendaten
Die PSD 2 regelt den Zugriff der Zahlungsdienstleister auf die Zahlungskonten und soll die Sicherheit im Open Banking fördern.
Zugriff und Weitergabe der Kontendaten dürfen nur mit ausdrücklicher Zustimmung des Kunden erfolgen.
Pflicht wird zudem die sog. „starke Kundenauthentifizierung“ (strong customer authentication – SCA). Damit soll sichergestellt werden, dass die Kundendaten nicht in unbefugte Hände geraten.
SCA schreibt die Verwendung zweier unabhängiger Faktoren (Zwei-Faktor-Authentifizierung) vor – und zwar aus den unterschiedlichen Kategorien:
- Wissen (das nur der Nutzer weiß, z.B. Passwort, Code, PIN),
- Besitz (was nur der Nutzer besitzt, z.B. Karte, Smartphone, Token) und
- Inhärenz (ein biometrisches Merkmal des Nutzers, z.B. Fingerabdruck, Stimmerkennung).
Klingt zunächst ein wenig kompliziert, ist jedoch sehr plausibel und nachvollziehbar. Und dient unserer Sicherheit als Kunde im digitalen Zahlungsverkehr
Apps und PINs und TANs
Derzeit stellen die Anbieter von Zahlungsverkehrsdienstleistungen ihren Kunden dafür Identifizierungsgeräte und neue Software zur Verfügung.
Zum Beispiel bieten sie TAN-Generatoren an. Das sind kleine Geräte, die TANs erzeugen – also jeweils eine Transaktionsnummer (Codenummer), die für den konkreten Online-Banking-Vorgang einmalig gültig ist. Meist sind die Identifizierungsgeräte wie TAN-Generatoren kostenpflichtig.
Kostenfrei bieten die Akteure ihren Kunden Apps an. Also kleine Computerprogramme, die man sich auf sein Smartphone oder Tablet lädt. Erforderlich ist eine Registrierung über die App und eine Bestätigung.
Die einzelnen Akteure legen übrigens jeweils ihren eigenen Maßstab zum Thema Sicherheit an.
So bewerten sie zum Beispiel mobileTAN-Verfahren (sms-TANs) unterschiedlich. Manche meinen, eine sms-TAN (also eine auf das Smartphone gesendete Codenummer) sei nicht mehr ausreichend. Da der mobile Banking-Vorgang über das Smartphone durchgeführt werden könne. Und das Smartphone somit nicht gleichzeitig für den TAN-Empfang gelten darf (siehe Zwei-Faktor-Authentifizierung).
Andere Akteure sehen das anders – und ersetzen ihre Papier-TAN-Listen gerade mit mobileTANS.
Und sonst
Die Richtlinie PSD 2 übernimmt und ersetzt die Richtlinie PSD 1 aus dem Jahre 2007. Ging es bei PSD 1 sozusagen um den sicheren Geldverkehr, geht es bei PSD 2 nun um den sicheren Datenverkehr.
Die PSD 2 gilt für alle Zahlungstransaktionen innerhalb der EU sowie Transaktionen, bei denen sich nur eine Partei in der EU befindet.
Die Richtlinie beinhaltet auch noch andere Regelungen. So sollen Verbraucher bei Betrug oder Missbrauch (etwa Diebstahl der Kreditkarte) nur noch 50 Euro statt der bisherigen 150 Euro selbst zahlen müssen. Bei grober Fahrlässigkeit oder Eigenverschulden gelten natürlich andere Regelungen.
„Embrace the future – Umarmen Sie die Zukunft!“ Denn die Zukunft kommt ohnehin. Und die Digitalisierung wird auch voranschreiten, wenn wir sie nicht mögen…
Ich selbst liebe das digitale Zahlen – und sehe einen weiteren großen Vorteil darin: Im Gegensatz zum Bezahlen am Bankschalter ist beim digitalen Bezahlen noch niemals jemand in einen Banküberfall verwickelt und versehentlich erschossen worden…
Fazit
Verbraucher und Unternehmen sollen elektronische Zahlvorgänge künftig innovativer, sicherer und weiterhin kostengünstig erledigen können.
Die Politik spricht von „sicheren offenen Standards für die Kommunikation, die elektronische Zahlungen in Geschäften und im Internet sicherer machen sollen“.
Es bleibt abzuwarten, ob die Transaktionsüberwachung, Zahlungsdaten zu erfassen und zu überwachen, diese Erwartungen erfüllen wird. Die Vorzeichen sind jedoch gut. Ein Schritt in die richtige Richtung ist die PSD 2 auf alle Fälle.
Und was bedeutet das nun konkret für Sie?
- Wenn Sie Online-Banking betreiben, sollten Sie sich unbedingt zeitnah mit den verschiedenen Sicherungsverfahren beschäftigen, die Ihre Anbieter konkret zur Verfügung stellen. Warten Sie keinesfalls bis zum Auslaufen der Gültigkeit der bisherigen Sicherungsverfahren, dies würde Ihre Handlungsfähigkeit gefährden.
- Gehen Sie positiv an diese Veränderungen heran. Auch wenn sie zunächst umständlicher oder mühevoller erscheinen mögen, als die von Ihnen bisher praktizierte Lösung. Die verstärkten Sicherheitsfunktionen dienen uns allen vor dem Hintergrund der weiter zunehmenden digitalen Dienste rund um Zahlungsverkehr und Finanzdienstleistungen.
- Betrachten Sie die verschiedenen Verfahren nicht als „Geldmacherei“ der Banken oder Zahlungsdienstleister. Es wird stets mindestens eine kostenlose Sicherungsalternative angeboten.
- Und je nach Ihren Vorlieben und Bequemlichkeitsempfinden sollten Sie ggfs. alternativ einmalig die 20 oder 30 Euro (es sind natürlich 19,99 oder 29,95 Euro 😉 für eine Hardwarelösung als sinnvolle Investition in Ihre eigene Datensicherheit betrachten.
- Entscheiden Sie sich zeitnah für ein zu Ihrem Typ und Ihren Gewohnheiten passendes Verfahren (z.B. sich mittels App oder per TAN-Generator authentifizieren).
- Und setzen Sie sodann die dafür notwendigen Maßnahmen um (z.B. App herunterladen oder TAN-Generator bestellen).
- Ein idealer Test der Funktionsfähigkeit Ihrer neuen Zahlungssicherheit ist eine Spende an die gemeinnützige Bürgerbewegung „Finanzwende“. Sie wissen: Bis 200 Euro gilt der Überweisungsbeleg als Spendennachweis.
Für darüberhinausgehende Beträge sendet Ihnen die Organisation gerne eine Zuwendungsbestätigung… 😉
Herzliche Grüße
Hartmut Walz
Sei kein LeO!
Erschienen am 19. Juli 2019.
„Lieblingsroboter“ ausgetauscht am 14. August 2019 😉
Der Hartmut Walz Finanzblog ist unabhängig, kosten- und werbefrei. Ich erhalte für Links und Empfehlungen keinerlei Honorar, Kick-back, Beteiligung o. ä.
Sehr geehrter Herr Professor Walz,
vielen herzlichen Dank für den informativen Beitrag, die DKB ändert den Zugang zum Online Banking ab mitte August, nun weiß ich auch warum :).
mit freundlichen Grüßen
Henry Hess
Lieber Henry Hess, dann also ran an die Umsetzung für den geänderten Zugang 😉
Herzliche Grüße, Hartmut Walz – Sei kein LeO!
Sehr geehrter Herr Professor Walz,
vielen Dank für Ihre ausführliche und kompetente Darstellung des Themas. Interressant finde ich die unterschiedliche Bewertung der SMS-TAN durch die Akteure.
Die Postbank bietet die BestSign App zur Installation auf dem selben Smartphone an, mit dem der Finanzassitent zur Überweisung ausgeführt wird. Da BestSign mit Fingerabdruck- oder Gesichtserkennung arbeitet, wird ein zweiter Faktor durch Inhärenz verwendet. Offensichtlich sieht die Postbank kein Problem darin, dass beide Faktoren auf dem selben Gerät erzeugt werden. Der Empfang einer SMS-TAN auf dem selben Gerät ist laut Postbank unsicher, durch Schadsoftware könnten Überweisungsdaten und TAN gefälscht werden. Entweder wissen das die anderen Geldinstitute nicht, es ist ihnen nicht wichtig, oder… ?
Oder der Versand von SMS ist der Postbank zu teuer, und die Umstellung auf App ist ein vorgeschobenes Sicherheitargument?
Ich kenne mich nicht genug aus, um das zu beurteilen.
Gruß vom oberen Neckar
Der Dachs
Lieber Dachs, besten Dank für Ihren Kommentar, der zeigt, dass Sie sich schon ganz schön in das Thema eingearbeitet haben. Die Argumentation der Postbank ist für mich als Halblaien zwar verständlich und nachvollziehbar, jedoch bin ich in diesem Thema eben auch nur ein Halblaie und kann keine belastbare Auskunft geben. Also leite ich Ihre Frage an die Postbank weiter und bitte diese um eine qualifizierte Stellungnahme als Rückkommentar zu Ihren Überlegungen.
Herzliche Grüße, Hartmut Walz – Sei kein LeO!
Lieber Dachs, da habe ich also mal nachgefragt…
Laut Aussage von Postbank: Das mobileTAN-Verfahren mit Übersendung einer SMS-TAN auf das Mobiltelefon wird eingestellt – und zwar nur nebenbei im Zuge der PSD2-Umstellung. Eigentlich wäre das mobileTAN-Verfahren mit Übersendung einer SMS-TAN ausreichend für die Zwei-Faktor-Authentifizierung. Jedoch ist das Versenden von SMS für die Postbank zu kostenintensiv. Außerdem kommt es beim Ablesen der SMS-TANs häufig zu Ablesefehlern (schlechte Erkennbarkeit am Display) und Eingabefehlern seitens der Kunden . Deshalb entfällt dieses Verfahren bei Postbank.
Und deshalb können andere Anbieter das anders handhaben – weil diese Einschätzung eben nichts mit der eigentlichen PSD2-Umstellung zu tun hat.
Herzliche Grüße, Hartmut Walz – Sei kein LeO!
Herzliche Grüße, Hartmut Walz – Sei kein LeO!
Hallo Herr Professor,
haben Sie herzlichen Dank für den informativen und überraschend humorvollen Beitrag, der mir eine völlig neue Sicht auf das Thema gegeben hat.
Ich dachte nämlich zuvor, dass das lediglich eine neue Methode sei, um Bankkunden abzuzocken. Das haben Sie klasse versachlicht.
Und der Gag mit dem vermiedenen Zufallsopfer eines Banküberfalls – köstlich.
Nun sehe ich mein elektronisches Banking mit ganz anderen Augen und habe auch schon einen TAN-Generator bestellt.
I will embrace the future!
Herzlich
Michaela S.
Liebe Michaela S., vielen Dank für Ihr konstruktives Feedback, dem ich nichts mehr hinzuzufügen habe 😉
Herzliche Grüße, Hartmut Walz – Sei kein LeO!
Hallo Herr Walz, als „Bestager“ – Jahrgang 1951 fällt mir die Technik des Onlinebanking nicht so ganz leicht. Und so habe ich die Änderungen in den Bezahlverfahren für mich hinausgeschoben so lange es geht. Zumal ich die Änderung als so unnötig wie einen Kropf fand. Nach Ihrem Beitrag habe ich mich da mal rangemacht und kann freudig berichten. Das ist gar nicht so schwer! Hab jetzt einen TAN-Generator bestellt.
Danke für die nützlichen Hinweise und machen Sie unbedingt weiter so…
Sigi
Lieber Sigi, super! Danke für die tolle Rückmeldung. Und auch weiter so 😉
Herzliche Grüße, Hartmut Walz – Sei kein LeO!
Hallo Herr Walz, das soll wohl auch für Kreditkartenzahlungen beim Onlineshoppen gelten. Richtig?
Liebe/r D. MÜller, richtig, Kreditkartenzahlungen im Internet sind grundsätzlich auch mit dem neuen Sicherheitsverfahren zu authentifizieren. Der Händler entscheidet selbst, ob er die konkrete Kreditkartenzahlung mit dem zusätzlichen Verfahren absichern möchte.
Herzliche Grüße, Hartmut Walz – Sei kein LeO!