Zwei-Faktor-Authentifizierung
Unterwegs mal eben den Kontostand abfragen, um zu schauen, ob die schicke Jacke im Schaufenster bezahlbar bleibt, oder per App den Kurzurlaub buchen und per hinterlegter Kreditkarte bezahlen – das Web hat es uns so schön bequem gemacht.
Bequem aber zu unsicher fanden die Politiker in Brüssel und verlangen die Umsetzung des zweiten Teils der zweiten Zahlungsdiensterichtlinie PSD2. Was kommt jetzt durch die Zwei-Faktor-Authentifizierung (2FA) auf die Verbraucher zu, wenn sie Daten im Web abfragen oder Zahlungen leisten wollen?
Das Wichtigste auf einen Blick:
- Ab dem 14. September 2019 müssen sich User mit zwei unabhängigen Merkmalen im Internet authentifizieren lassen.
- Betroffen sind alle Bankgeschäfte, Bezahlvorgänge im Internet und der Zugang zu Clouds.
- Lastschriften als Bezahlverfahren benötigen noch keine Zwei-Faktor-Authentifizierung.
- Biometrische Authentifizierung ist auf dem Vormarsch.
Zwei-Faktor-Authentifizierung – das Passwort alleine reicht nicht mehr
Bislang reichten für den Zugriff auf die Banking-App Zugangscode und Passwort. Wer mit der Kreditkarte im Web bezahlte, gab die Kartennummer und die Prüfziffer ein – so weit, so gut. Aber in den Augen der EU zu unsicher, da nur ein Faktor für die Legitimierung benötigt wurde.
Um diese Vorgänge im Internet für den Kunden sicherer zu machen und der Cyberkriminalität mehr Einhalt zu gebieten, verlangt Brüssel ab dem 14. September 2019 im Rahmen der „Richtlinien der Europäischen Union zur starken Kundenauthentifizierung im elektronischen Zahlungsverkehr“, dass Zahlungen oder Bankabfragen mit zwei Faktoren legitimiert werden müssen.
Das 21 Seiten starke Dokument zusammengefasst, Bezahlen und Zugang zu sensiblen Daten müssen für Verbraucher sicherer werden. Der Nutzer muss zwei starke Identifikationsmerkmale vorweisen, um aktiv werden zu können. Betroffen sind aber nicht nur finanzaffine Vorgänge. Das Hochladen von Daten in eine Cloud oder der Zugriff darauf benötigt künftig auch eine 2FA. Bekannt ist das Prinzip vielen bereits durch ELSTER, die elektronische Steuererklärung. Neben dem Log-in mit Passwort bedarf es noch der Authentisierung durch das Softwarezertifikat.
Beliebtheit der verschiedenen 2FA-Verfahren
Wie beliebt – oder eben nicht – die möglichen Verfahren zur Zwei-Faktor-Authentifierung bei Kunden sind, hat das Bankmagazin in seiner Ausgabe 2-3/2019 veröffentlicht:
Wissen – Besitz –Biometrie: Die Kernstücke der Zwei-Faktor-Authentifizierung
Die künftigen zwei Faktoren, die für eine Authentisierung notwendig sind, müssen aus drei verschiedenen Bereichen stammen. Der Gesetzgeber unterscheidet dabei
- Wissen
- Besitz
- Biometrie
Wissen steht dabei für ein Passwort oder eine TAN. Besitz greift, wenn beispielsweise ein Code über einen Token generiert wird, der sich im Besitz des Kunden befindet, oder, einfacher noch, bei Verwendung einer Kreditkarte. Als biometrische Faktoren gilt der Fingerabdruck auf dem Handy oder die Iriserkennung.
Was bedeutet das ab September in der Praxis? Für die Kontoabfrage muss der Bankkunde zwei der drei genannten Faktoren nutzen, um seinen Kontostand zu erfahren. Er kann beispielsweise Zugangscode und Passwort eingeben (Wissen), erhält dann eine TAN auf sein Handy (Besitz), gibt die TAN ein, und sieht sein Kontostand. Das TAN-Verfahren kann auch bei der Bezahlung mit der Kreditkarte greifen. Papierhafte TAN-Listen sind übrigens ab September 2019 auch nicht mehr zulässig.
Unternehmen wie Barclaycard, die heute noch damit arbeiten, müssen sich bis September etwas Neues einfallen lassen.
Was bedeutet 2FA im Detail für Verbraucher bei….
… Kreditkartenzahlungen?
Das bisherige einfache Authentifizierungsverfahren mit Kartennummer, Prüfziffer und Ablaufdatum reichen nicht mehr. Banken und Sparkassen, die eine MasterCard herausgeben, dürfen ab April 2019 nur noch Kreditkarten emittieren, die den 3 D-Secure Standard 2.0 aufweisen und mindestens eine biometrische Lösung anbieten. Onlinehändler profitieren von diesem Vorgehen. Wenn diese 3 D einsetzen, garantiert MasterCard den Zahlungseingang.
Surftipp: Zum Kreditkarten-Vergleich
… Onlinebanking?
Onlinebanking wird umständlicher. Neben Passwort und Zugangscode bedarf es mindestens noch des Handys, damit die Bank einen zusätzlichen Code zusenden und der Kunde sich endlich in seinem Girokonto einloggen kann. Alternativ bieten sich TAN-Generatoren an, die der Kunde nutzt, oder eben eine biometrische Lösung mittels Handy. Diese gibt es als eTAN oder als Chip-TAN. Anbieter von Onlinebanking-Software müssen hier reagieren und ihre Angebote mit Zwei-Faktor-Authentifizierung ausstatten.
Bieten die Kreditinstitute an, dass sich der Kunde eine TAN auf das Handy schicken lässt, haben sie die Wahl, diese jedes Mal zu erneuern oder eine TAN mit einer Gültigkeit für 90 Tage auszustatten.
Surftipp: Zum Girokonto-Vergleich
… Onlineshopping?
Nach wie vor führt die Bezahlung auf Rechnung mit 30 Prozent, gefolgt von der Lastschrift mit 20 Prozent die Reihe der Bezahlmöglichkeiten beim Onlineshopping an. Beide Verfahren sind von der starken Authentifizierung nicht betroffen (1). Der aufwendigere Prozess bei der Kreditkartenzahlung könnte beide Varianten noch stärken, da auch PayPal von den Auswirkungen der Richtlinie betroffen ist. Allerdings gerät auch die Lastschrift ins Augenmerk der Brüsseler.
Als einfachster Weg, 2FA aus Kundensicht so schlank wie möglich zu halten, bietet sich die biometrische Authentifizierung an.
Biometrische Authentifizierung – was ist das?
Biometrische Authentifizierung nutzt individuelle körperliche Eigenschaften einer Person, um diese zu identifizieren. Besitzer moderner Handys kennen die biometrische Authentifizierung schon. Der Eigentümer identifiziert sich nicht mehr mittels PIN, sondern über den Fingerabdrucksensor.
Samsung nutzt bei dem Galaxy S8 den Iris-/Netzhaut-Scan zur Identifizierung des Handybesitzers.
Als dritte Option bietet sich die Stimmerkennung an. Hier liegt allerdings das Risiko darin, dass die Stimme aufgrund von Hintergrundgeräuschen nicht erkannt wird.
Fujitsu hat den Fingerabdruck weiterentwickelt. Mit PalmSecure identifiziert sich der Betreffende mittels seiner Handvenen. Der Scanner analysiert die Venenstruktur und vergleicht sie mit den hinterlegten Daten. Fujitsu nimmt für sich in Anspruch, dass PalmSecure 100 Mal sicherer sei als Fingerabdruck- oder Irisscanner, die in der Vergangenheit bereits überlistet wurden.
Die australische Commonwealth Scientific and Industrial Research Organisation (CSIRO) nutzt einen Bewegungssensor im Handy, um das Geh- und Beschleunigungsverhalten des Betreffenden zu analysieren. Dieses Verfahren steckt allerdings noch in den Kinderschuhen.
| Identifizierung mittels | Vorteil | Nachteil |
|---|---|---|
| Fingerabdruck | Geht schnell | Wurde schon gehackt |
| Iris | Geht schnell | Wurde schon gehackt |
| Stimmerkennung | Geht schnell | Kann unter Umständen nicht eindeutig identifiziert werden. |
| Venenscanner | Sehr sicher | Keine |
| Gehverhalten | Umständlich | Noch nicht in Produktion |
| Quelle: Elektropraxis (2) | ||
Welche Probleme gibt es in Bezug auf die Nutzerfreundlichkeit bei 2FA?
Grundsätzlich wird es für Kunden umständlicher, wenn künftig zwei Faktoren für die Legitimation notwendig sind, statt einem. Zu dem kann es sein, dass es für den Faktor „Besitz“ notwendig wird, ein zweites „Besitzstück“ in der Hinterhand zu haben. Damit kann es beispielsweise bei Beschädigung eines Tokens nicht passieren, vom Banking ausgeschlossen zu sein, bis der Ersatz da ist. Eine eilige Überweisung muss getätigt werden, aber Handy für den TAN-Eingang oder der Token sind defekt – ärgerlich.
Die meisten in Umlauf befindlichen Kreditkarten dürften über den 14. September 2019 hinaus gültig sein, Ersatzkarten kosten Geld. Die Kombination Kreditkarte und biometrischer Kennung wie beim 3 D Secure von MasterCard scheidet daher für viele Verbraucher erst einmal aus.
Es bleibt die Frage, wie schnell sich die Integration des zweiten Faktors in den Bezahl- oder Log-in-Prozess beim Einzelnen gestaltet, und wann er letztendlich nicht mehr als zusätzlicher Aufwand wahrgenommen wird.
Zu Beginn des Online-Bankings lag die TAN-Liste in der Schublade. Heute dauert es einen kurzen Moment, bis die mTAN versendet wurde – laute Beschwerden gab es darüber nicht.
Die Lastschrift – wie Brüssel noch mehr Unruhe schafft
2FA dient dem Schutz der Verbraucher, die online Rechnungen bezahlen möchten oder Dienste nutzen wollen. Die Initiative dazu geht folglich vom Verbraucher aus. Brüssel stellt jetzt Überlegungen an, dass sich ein Verbraucher, soll ein SEPA-Mandat erteilt werden, ebenfalls „stark“ zu authentifizieren hat.
Diese Überlegung ist aus folgendem Grund absurd: Die Lastschrift wird nicht vom Käufer, dem Schuldner, initiiert, sondern vom Verkäufer, dem Gläubiger. Wieso sollte also eine starke Authentifizierung dem Käuferschutz dienen? Das Lastschriftrisiko liegt einzig beim Verkäufer, wenn die Zahlung nicht eingelöst oder zurückgerufen wird.
Es bleibt zu hoffen, dass Brüssel hier noch ein Einsehen hat.
Update 17.04.2019: Die BaFin hat bekanntgegeben, dass für Lastschriften doch keine starke Kundenauthentifizierung stattfinden muss.
Surftipp: Wie funktioniert eine SEPA-Lastschrift?
Weiterführende Informationen
- Überweisung beim Onlineshopping vorne – Handelsblatt vom 17.2.2019
- Die Möglichkeiten der biometrischen Authentifizierung – Elektropraxis vom 20.7.2017
Autor: Uwe Rabolt