EU-Richtlinie PSD2:
Werden Bankgeschäfte sicherer oder nur komplizierter?
https://dernachdenker.at/computertipps/smstan.htm#top
Vor dem September 2019 war alles noch einfach. Man konnte eine Zahlung durch Eintippen
des smsTAN (den man per Mobilphone erhalten hat) freigeben.
Dieses Verfahren war einigermaßen sicher, solange man für Bankgeschäfte einen PC und für den Empfang der SMS ein Handy verwendet hat.
Nur mit erheblicher krimineller Energie konnte sowohl der PC, als auch das Handy manipuliert werden. Bekannt wurden Versuche die SIM-Card umzumelden, um in den Besitz eines TAN-Codes zu kommen.
Handyboom
Smartphones sind immer leistungsfähiger geworden, sodass manche Konsumenten gar keinen PC mehr besitzen. Man hat sich gesagt: „Mit dem Handy kann ich telefonieren, Texte verschicken, Selfies aufnehmen und verschicken, Musik hören etc...“Nur für Bankgeschäfte war ein Computer notwendig.
Natürlich hat dann ein Kreditinstitut damit begonnen, eine angeblich ganz sichere APP für das Smartphone anzubieten. Da die APP als absolut sicher beworben wurde, war sie ein Riesenerfolg, sodass die Mitbewerber schnellstens eine gleichartige APP anbieten mussten.
In Wirklichkeit war keine dieser APPs vor betrügerischen Manipulationen sicher.
Es bestand die Gefahr, dass Kunden, die alle Sicherheitsauflagen erfüllt hatten und Opfer von Betrügern geworden waren, vom Kreditinstitut schadlos gestellt werden mussten.
Die EU hilft
Ob Lobbyisten das in die Wege geleitet haben oder nicht, sei dahingestellt. Jedenfalls wurde eine Richtlinie erlassen, die eine wirklich sichere Abwicklung von Bankgeschäften versprechen soll.Die Lösung: starke Kundenauthentifizierung
Mit der nun in der „EU-Richtlinie PSD2“ vorgeschriebenen „starken Kundenauthentifizierung“ scheint alles wieder bestens zu sein.Inwieweit die Sicherheit im Detail gewährleistet ist, kann im Finanzmagazin nachgelesen werden.
Die Komplexität
Inzwischen weiß jeder, dass alles viel komplizierter geworden ist. Manche Institute (BAWAG, EASY-Bank, Bank99, Hello-Bank, DADAT, ...) haben sich entschlossen, die Richtlinie kundenfreundlich zu interpretieren. Die Änderungen sind dadurch marginal, manchmal braucht es bloß einen zusätzlichen TAN.Manche Institute versuchen die Richtlinie komplizierter umzusetzen, dadurch (siehe Link zum Finanzmagazin) erhöht sich die Sicherheit nur geringfügig. Meist wird der smsTAN-Code aufgelassen, manchmal mit der unrichtigen Behauptung, die Auflassung des smsTAN sei von der EU vorgeschrieben. Wenn smsTAN weiterhin unterstützt wird, steht eine Kostenpflicht im Raum: Vorerst sind das nur 10 Eurocent. Wenn man sich daran gewöhnt hat, kann irgendwann auch 1 Euro in Rechnung gestellt werden.
Die sicherste Lösung ist nach wie vor, Bankgeschäfte keinesfalls auf einem einzigen Gerät durchzuführen, auch wenn unterschiedliche APPs verwendet werden. Ideal ist es, Geldtransfers nur am PC durchzuführen und die TAN auf einem Mobiltelefon zu empfangen. Die Sicherheit erhöht sich, wenn kein Smartphone, sondern ein nicht internetfähiges Gerät verwendet wird.
Ganz egal, wie komplex die Sicherungsbemühungen auch sein mögen: Wenn alles über ein einziges Gerät läuft, kann dieses von Betrügern „gekidnappt“ werden.
Wie sieht es mit der Sicherheit bei Verwendung eines TAN-Generators aus? Nun, der TAN-Generator ist ein eigenständiges Gerät und die Sicherheit steht und fällt mit der sicheren Verwahrung.
Wer Handy und TAN-Generator in einer Handtasche (Sakkotasche) aufbewahrt, kann leicht in Erklärungsnotstand geraten, wenn unsachgemäße Verwahrung vorgeworfen wird.
ID Austria
Mit der 2026 eingeführten „ID Austria“ wird das Mobiltelefon sicherer. Der Vorgänger „Digitales Amt“ gelang der Durchbruch nicht, weil viele User schon an der Einrichtung der APP gescheitert sind.Wurde 2026 alles besser? Jein: Ein Teil der User hat nun keine Probleme bei der Installation, ein anderer Teil sehr wohl.
Es lohnt sich dem JEIN nachzugehen:
Bisher wurde von vielen Betroffenen (teilweise auch von jenen Beamten, die bei der Registrierung helfen sollten) nicht erkannt: Ohne Fingerprint oder Gesichtserkennung lässt sich „ID Austria“ nicht installieren. Diese Funktion bringt tatsächlich Sicherheit, weil ein Gerät (z.B. nach Diebstahl) von Unbefugten ohne großen Aufwand nicht für Bankgeschäfte benutzt werden kann.Also: Ohne die aktuellen Authentifizierungsmethoden kann „ID Austria“ nicht benutzt werden: Ein vierstelliger Code zum Entsperren ist zu unsicher.
Daraus folgt: Wer ein Handy besitzt, das weder Gesichtserkennung noch Fingerprint ermöglicht, muss sich ein neues Gerät kaufen. Egal, wie gut das alte Teil sonst noch funktioniert.
Damit nähern wir uns alle dem weit verbreiteten Standard: alle 2 Jahre ein neues Gerät.
Bisher war der Trick die Batterie kurzlebig zu halten und womöglich fix zu verbauen. Nun gibt es eine neue Methode die Gewinne der Techkonzerne zu maximieren: alle Geräte mit altmodischer Authentifizierung auf den (Sonder-)Müll.
Ein kleiner Tipp: Mobiltelefone mit moderner Authentifizierung sollten in analoger Form (Permanentmarker) mit einer Telefonnummer einer Vertrauensperson beschriftet werden. Im Verlustfall kann der (ehrliche) Finder diese Nummer anrufen...
Sichere Benutzernamen, sichere Passwörter
Dass sichere Kennungen verlangt werden, scheint der Sicherheit zu dienen. Kurze merkfähige Passwörter werden als „unsicher“ bezeichnet. Der Konsument mag sich gedrängt fühlen, lange, schwer knackbare Passwörter zu verwenden.In der Realität werden solche Passwörter irgendwo aufgeschrieben oder gespeichert. Werden diese Passwörter ausspioniert (Einbruch oder Hacking) kann dem Kunden wiederum unsachgemäßer Umgang mit den Passwörtern vorgeworfen werden.
Schlussfolgerung
Es ist ganz klar: Die EU-Richtlinie PSD2 verschiebt die Verantwortung für die Sicherheit des eigenen Geldes an den Kunden.Bei Banken hinterlegte Daten sind besonders wertvoll. Normalerweise können sich Kunden mit Fantasieaccounts anmelden (z.B. Fauler.willi@gogel.com). Beim Girokonto geht das nicht. Es handelt sich also um wertvolles Adressmaterial, das meist mehrfach verknüpft ist.
Empfehlung
Es ist davon auszugehen, dass die Handhabung der EU-Richtlinie von den einzelnen Instituten noch geändert wird. Einesteils, weil die Institute Mängel erst in der Praxis erkennen, andererseits, weil man sich den Angeboten der Konkurrenz stellen muss.Für den Konsumenten lohnt sich daher ein Blick in die Details, um die Begrifflichkeiten und Ihre Bedeutung zu kennen:
Die nachstehenden Empfehlungen sind nur Hinweise, die jeder für sich und seine Bankverbindung genau und eigenverantwortlich überlegen muss:
- Keine Banking-APP installieren: Sie kann jederzeit kompromittiert werden. Falls Bankgeschäfte ohne APP nicht möglich sind, einen Kontowechsel überlegen.
- Grundsätzlich zwei getrennte Geräte verwenden, eines für die Überweisung ein zweites für den Empfang der TAN. Ideal ist ein PC für Überweisungen & Co, ein Retrohandy (ohne Internetfunktion) für smsTAN-Empfang.
- Die beiden Geräte (auch einen allfälligen TAN-Generator) niemals gemeinsam verwahren.
-
Sparkonto/Wertpapierkonto bei einem zweiten Institut
anlegen. Der Übertrag von diesem Konto zum Girokonto soll
fix vorgegebene und nicht auf ein anderes Konto möglich sein.
(Nachfragen, ob das tatsächlich so gehandhabt wird!)
- Diese Methode erschwert es dem Hacker erheblich zum Ziel zu kommen. Er kann lediglich das Girokonto belasten. Am Girokonto sollten nicht größere Ersparnisse deponiert werden, auf den Überziehungsrahmen sollte geachtet werden.
-
Wertpapierhandel funktioniert nach wie vor mit smsTAN, allenfalls auch mit
anderen einfachen Methoden (Beispiel: FLATEX-Bank, DADAT-Bank, ...).
Das ist dann kein Nachteil,
wenn die Überweisung nur auf ein bestimmtes Girokonto möglich ist.
-
Institute, die SMS-TAN beim Giro-Konto nach wie vor unterstützen: EASY-Bank, BAWAG-PSK,
ING-Diba,Bank99, ...
Manche Institute machen für „gute“ Kunden auch Ausnahmen.
Das kann sich täglich ändern (Nachfragen vor Kontowechsel ist notwendig).
Empfehlenswert ist es, das Wertpapierdepot bei einem anderen Institut führen zu lassen. Für die Verwahrung von Wertpapieren ist wegen der automatischen KEST-Verrechnung ein Konto bei einer österreichischen Bank jedenfalls vorzuziehen, auch wenn die deutsche Konkurrenz günstigere Konditionen anbietet.
Empfehlung dazu: Die DADAT-Bank hat derzeit die übersichtlichste Broker-Software, bietet allerdings keine Trennung zum Giro-Konto an. Die EASY-Bank hat die (freundlich ausgedrückt) gewöhnungsbedürftigste Software. Wenn man sein Konto bei der EASY-Bank hat und eine Kreditkarte benötigt, muss man eine Kreditkarte (paylife) akzeptieren, die PSD2 (zweifache Kundenauthentifizierung) zwingend verlangt.
Anhang Kreditkarten
Bei Benutzung einer Kreditkarte ergibt sich genau das gleiche Problem:- CardComplete bietet eine APP fakultativ an.
- PayLife verlangt zwingend die Installation der APP, weil es angeblich in der EU so Vorschrift sei.
Bei der Auswahl der Kreditkarte ist man vom Bankinstitut abhängig. Meist wird nur eine Kreditkarte angeboten. Da sich die Bedingungen laufend ändern, kann hier keine Empfehlung abgegeben werden.
Meine Wahl, nach mehreren Wechseln:
Girokonto:Bank99 | Kreditkarte:CardComplete | Wertpapierdepot:DADAT.
Girokonto:Bank99 | Kreditkarte:CardComplete | Wertpapierdepot:DADAT.
Vergleich Smartphone - PC
Gedanken zur Sicherheit von verschiedenen Endgeräten
aus Benutzersicht:
Smartphones (und auch Tablets*) sind optimiert
für Verkauf, Umsatzmaximierung und Werbung und damit
für den Endverbraucher unsicherer als PCs.
Das heißt aber nicht, dass man bei Benutzung eines PCs
(oder eines Laptops*) nicht auch über die Sicherheit nachdenken sollte.
Verschiedentlich wird die Meinung vertreten: „Ich habe sowieso nichts zu verbergen“. Diese Einstellung darf nicht unwidersprochen bleiben.
Smartphones (und auch Tablets*) sind optimiert
für Verkauf, Umsatzmaximierung und Werbung und damit
für den Endverbraucher unsicherer als PCs.
Das heißt aber nicht, dass man bei Benutzung eines PCs
(oder eines Laptops*) nicht auch über die Sicherheit nachdenken sollte.
*) Handy + Tablet einerseits und
PC + Laptop andererseits,
haben grundsätzlich unterschiedliche Betriebssysteme.
Daher werden in den nachfolgenden Betrachtungen diese zwei Gruppen einander gegenübergestellt.
Verschiedentlich wird die Meinung vertreten: „Ich habe sowieso nichts zu verbergen“. Diese Einstellung darf nicht unwidersprochen bleiben.
Vorteil des Handys ist vor allem, dass man es immer und
fast überall dabei haben kann.
Der Vorteil eines Computers ist, dass man mehr Übersicht hat,
welche Daten wo abgelegt sind. Hinsichtlich Bedienung
punktet der Computer auch mit der Funktionalität der Maus
und auch mit der Taste [STRG] oder [CTRL].
(die Maus lässt sich übrigens auch am Laptop anschließen).
Eine Datensicherung auf einer externen Festplatte ist vom PC aus
leicht zu machen. Wenn man Daten extern speichern möchte,
kann man sich den Provider hierfür aussuchen.
Übersicht über derartige Dienste (Bilderhoster):
Die Anzahl der Personen, die auf einen Computer verzichten und denen das Handy genügt, wird immer größer. Die Wirtschaft unterstützt diesen Trend (Umsatzmaximierung).
Der Handybenutzer wird dazu gedrängt, seine Daten
in einer Cloud zu speichern. Die lokalen Speichermöglichkeiten
werden absichtlich (?) unübersichtlich gemacht.
Der Vorteil der Verknüpfung verschiedener Endgeräte gehört zur Strategie. Es ist ja bequem, wenn man beispielsweise die Urlaubsfotos ganz von selbst am Handy hat und sie auch im Gasthaus herzeigen kann. Ob sich das jeder immer und überall wünscht?
Da gibt es dann noch den Laptop, den man im Urlaub gemeinsam nutzt -
will man wirklich alles für alle Familienmitglieder zugreifbar haben?
Auch wenn man versucht, dem Verknüpfungswahnsinn auszuweichen
tappt man zuweilen in die Falle: Von einem Provider
wird die 2-Faktor-Identifizierung (die man ja aus dem Bankgeschäft kennt)
gefordert und schwupps landen Informationen über versäumte Anrufe
auf dem Gerät des Partners. Das kann nützlich sein,
weil man auf diese Art auch die Mobiltelefonnummer von einem
Anruf mit unterdrückter Telefonnummer erfährt.
Es kann aber auch peinlich sein...
Jeder Benutzer unterschiedlicher Geräte weiß es: Auf dem Handy muss
man noch öfter als am PC irgendwelche Bedingungen, Cookies etc akzeptieren.
Am PC gibt es „adblocker“ die Unerwünschtes großteils blockieren.
Bei einzelnen Seiten wird allerdings gefordert, den adblocker auszuschalten.
Eine Lösungsmöglichkeit ist es, mehrere Browser zu verwenden und im Bedarfsfall
den Browser ohne adblocker zu verwenden.
Da man am PC alle Daten auch lokal speichern kann, ist es möglich, sensible
Daten zu verschlüsseln oder auf einer externen Festplatte zu speichern.
Die Herausforderung liegt darin, dass man nicht immer weiß, ob und
gegebenenfalls wo was gespeichert wird. Je nach Software gibt es
vorgegebene oder konfigurierbare Downloadverzeichnisse.
Man muss darauf achten, dass sensible Daten nicht unbeachtet irgendwo geparkt werden.
Das trifft z.B. auf Bankdaten zu. Es ist hilfreich nachzusehen, wohin
Bilder (z.B. JPG) oder Dokumente (z.B. PDF) automatisch gespeichert werden.
Oft wird gleich bei Erstellung eines Dokuments (vom Benutzer unbemerkt) in das
vordefinierte Verzeichnis gespeichert.
Wenn man die Standardeinstellungen ändert, kann man in einem Aufwaschen auch gleich einen wesentlichen Mangel im Windows-Betriebssystem beheben: Standard ist Dokumente auf der Festplatte C: zu speichern. Besser ist Betriebssystem und eigene Dateien strikt zu trennen. Der Vorteil der Trennung zeigt sich bei der Wiederherstellung mit einer Datensicherung. Mehr siehe Links in der nächste Box.
TIPPS
Diese Website wurde nach bestem Wissen zusammengestellt,
dennoch erfolgt die Benutzung auf eigenes Risiko des Benutzers.
Verlinkte Seiten werden nicht überwacht.
Der Lesbarkeit willen sind die Seiten nicht gegendert. Gendern hilft den Frauen nichts - gleicher Lohn wäre sinnvoller.
Wünsche, Anregungen, Kritiken oder einfach Kommentare an
DER NACHDENKER
