Früher war Internet-Banking irgendwie einfacher: Benutzername, Passwort und ein paar Ziffern – und schon war die Online-Überweisung fertig. Doch seit Mitte September ist damit Schluss: Seitdem gilt die neue Zahlungsdienste-Richtlinie der EU – und die führt dazu, dass beim Online-Banking jetzt zwei Faktoren aus drei Bereichen eingegeben werden müssen.

"Der erste Faktor ist Wissen", sagt Stefanie Pallasch von der Stiftung Warentest. Gemeint ist damit, dass man eine PIN-Nummer oder ein Geheimwort für das Konto kennt. Der zweite Faktor sei Besitz, so die Finanzexpertin. Also etwa der Besitz einer EC-Karte. Als dritten Faktor meint die neue Richtlinie die so genannte Inhärenz. Das beziehe sich auf körperliche Merkmale wie etwa einen Fingerabdruck, um eine TAN zu erzeugen, erklärt Pallasch. Nur wer zwei dieser drei Faktoren kennt, kann seine Bankgeschäfte online erledigen.

Unter Fachleuten ist allerdings umstritten, ob es dieses Mehr an Sicherheit überhaupt braucht. Viele argumentieren, dass die gängigen Verfahren schon jetzt sicher sind. Timo Halbe von Finanztest rät Nutzern dazu, dass sie ihr Betriebssystem und die App der Bank aktuell halten. Außerdem sei es wichtig, Überweisungen nicht im öffentlichen WLAN-Netz zu machen, weil das immer etwas unsicher sei. "Und auch ein guter Passwort-Schutz in der App ist wichtig", sagt Halbe. Diese solle man am besten mit einem Passwort schützen, das mindestens acht Stellen hat.

Seit die neuen Regeln in Kraft sind, werden Passwörter und PINs ständig abgefragt – und das nervt viele Kunden. Gerade der Start verlief holprig. Kunden verschiedener Banken berichteten davon, dass die Kreditinstitute unterschiedlich schnell die Verfahren umgestellt haben. Und auch das mobile TAN-Verfahren ist noch immer im Einsatz. Bei ihm kommt die Nummer für eine Überweisung direkt aufs Handy.

Dagegen wurden TAN-Listen auf Papier mit Inkrafttreten der neuen EU-Richtlinie abgeschafft. Der IT-Sicherheitsexperte Vincent Haupert findet das sinnvoll – auch wenn er aus Erfahrung weiß, dass es keine hundertprozentige Sicherheit beim Online-Banking gibt: "Das sicherste Verfahren ist auf jeden Fall eins, das unabhängige Hardware hat, also zwei verschiedene Geräte miteinbezieht."

Sprich: Die Transaktionsauslösung auf dem einen, die Transaktionsbestätigung auf dem anderen Gerät. "Ein Verfahren, dass das sehr gut erfüllt, ist das Chip-TAN-Verfahren", so Haupert. Dazu braucht man ein separates kleines Gerät, das man direkt bei der Bank kaufen kann. In das steckt der Kunde seine EC-Karte und bekommt anschließend eine TAN-Nummer angezeigt, die er dann zum Beispiel für eine Überweisung nutzen kann.

Vincent Haupert erzählt, dass er vor einigen Jahren eine Banking-App gehackt habe. Auf die Idee brachte ihn ausgerechnet sein Sparkassenberater. Der hatte ihn vor einem Auslandssemester darauf hingewiesen, dass es in Südamerika Probleme mit dem Empfang der SMS-TAN geben könne. Als Alternative empfahl der Bankberater das Push-TAN-Verfahren: Dabei wird die TAN direkt auf dem Smartphone erzeugt.

Eine Alternative, die Haupert hellhörig machte: "Er hat das explizit so beworben, dass man sowohl die Banking-App als auch die Push-TAN-App auf ein und demselben Gerät betreiben kann." Da er eine gewisse Expertise im Bereich Sicherheit mitbringe, seien bei ihm die Alarmglocken angeschlagen.

Vincent Haupert sagt, es sei nicht schwer gewesen, das System zu hacken. Er habe eine App mit einer Schadsoftware entwickelt, die er dann in einen Store hochgeladen habe. "In unserem war das eine Bildergalerie, die im Hintergrund eine Sicherheitslücke ausgenutzt hat." Dadurch seien die Banking-App und die TAN-App so manipuliert worden, dass die Transaktionsdaten für den Nutzer unbemerkt ausgetauscht wurden. Der habe seine Transaktion gesehen und die entsprechende Überweisung freigegeben, weil alles integer wirkte. "In Wahrheit wurde aber eine ganz andere Transaktion freigegeben", so Haupert.

Sein Angriff wäre nicht möglich gewesen, wenn die Eingaben an zwei verschiedenen Geräten gemacht worden wären. Stichwort: Faktor-Zwei-Authentifizierung. Wenn etwa der PC mit Schadsoftware befallen ist, hat der Angreifer im Zweifelsfall nur die Zugangsdaten zum Onlinebanking. "Er hat aber keinen Zugriff auf das Sicherungsverfahren", sagt der IT-Spezialist.

Was seit Mitte September beim Online-Banking gilt, das sollte eigentlich auch schon längst beim Online-Handel gelten. Aber da gab es Probleme mit der Umstellung. Deshalb hat die EU-Bankenaufsicht den Händlern eine Fristverlängerung angeboten: Sie haben noch bis Ende kommenden Jahres Zeit, die Faktor-Zwei-Authentifizierung einzuführen.