Geld 4.0, Teil 1: Fintech-Apps und die Zwei-Faktor-Authentifizierung

Für viele Banken war vor einigen Jahren der Weg zum Online-Banking am Computer bereits ein großer Schritt, nach und nach wurden dann auch Apps fürs mobile Bankgeschäft auf den Markt gebracht. Fintechs hingegen zäumen das Pferd von hinten auf: Viele Anbieter haben zuerst (oder ausschließlich) eine Smartphone-App fürs eigene Banking entwickelt und so mittlerweile Millionen von Kunden angelockt. Sie haben die Zwei-Faktor-Authentifizierung bereits von vorn herein eingebaut. Die klassischen Geldhäuser müssen diese aufgrund einer neuen EU-Richtlinie nun bis Mitte September endlich einführen.

Smartphone-Banken sind vor allem praktisch: Man kann meist bei allen Banken Geld abheben, Transaktionen problemlos von unterwegs aus erledigen, bekommt sofort Push-Nachrichten bei jeder Abbuchung und häufig zahlt man auch weniger Kontoführungsgebühren als bei klassischen Banken. Andererseits mag man sich auch fragen: Sind mein Geld und meine Daten hier sicher? Oder bezahle ich statt mit Geld mal wieder mit meinen Daten?

Viele Fin-Techs verwalten erst wenige Tausend Geschäftskonten. Denn viele Unternehmer haben Vorbehalte gegenüber den Smartphone-Banken: 25 Prozent der Firmenchefs lehnen Fintechs laut einer Studie von 2018 kategorisch ab; 6 von 10 trauen ihnen nicht und fast genauso viele sehen einfach keinen Mehrwert in ihren Diensten, die den Aufwand für einen Kontowechsel rechtfertigen würden.

Dabei liegt zumindest letzteres eigentlich auf der Hand: Viele bieten nicht nur Kontoführung, sondern auch ausgereifte Buchhaltungstools: Einfach Beleg einscannen bzw. abfotografieren und in der App dem Kontoposten elektronisch zuordnen. Die App merkt sich ähnliche Vorgänge und füllt Felder künftig bereits im Voraus aus. Außerdem kann man die Ausgabe mittels Tags verschlagworten, sodass eine Kategorisierung einfach erfolgen kann. Das Programm sortiert so am Monats- oder Quartalsende die Einnahmen und Ausgaben, erstellt Rechnungen, errechnet Steuervorauszahlungen und legt auf Wunsch auch Beträge beiseite. Diese niedrigschwellige Lösung erleichtert vielen kleinen und mittelständischen Unternehmen die Ablage erheblich und entlastet sie deutlich.

Das automatische Kategorisieren und Durchforsten der Bankdaten lässt aber – gerade in Deutschland – natürlich auch Datenschutzbedenken aufkommen: Wenn das Fintech meine Daten für mich vorsortieren kann, kann es diese Daten ja auch gleich behalten und ein Zahlungsprofil von mir bzw. meiner Firma damit erstellen… Transparent gehen nämlich die wenigsten Fintechs mit ihrer Datennutzung um.

Die Berliner Smartphone-Bank N26 ist wohl das beste Beispiel für ein erfolgreiches Fintech: Weit über 3 Millionen Kunden hat die Smartphone-Bank heute – erst fünf Jahre nach ihrer Gründung. In fast allen EU-Staaten ist N26 aktiv, die US-Expansion läuft gerade an. Die Firma gilt inzwischen als wertvollstes deutsches Start-Up, und ist mit einer Unternehmensbewertung von 3,5 Milliarden US-Dollar inzwischen auch weltweit in die Top Ten der Fintechs aufgestiegen.

Scheinbar ist es eine ungeschriebene Regel, dass neue, aufstrebende Unternehmen es mit dem Datenschutz nicht so ernst nehmen. Aber auch diverse Datenschutz-Skandale in der jüngsten Vergangenheit können dem steilen Aufstieg von N26 nichts anhaben. So hat die Berliner Datenschutzbeauftragte erst kürzlich ein DSGVO-Bußgeld in Höhe von 50.000 Euro gegen N26 verhängt, weil die Daten einiger ehemaliger Kunden auf einer Art „schwarzen Liste“ gespeichert wurden. Die Betroffenen konnten dadurch keine neuen Konten eröffnen; dies ist jedoch nur für Kunden zulässig, die unter Geldwäscheverdacht stehen. Inzwischen ist diese Praxis geändert und N26 wehrt sich gegen das Bußgeld.

Während man an dieser Stelle also das Thema Geldwäsche womöglich zu sensibel anging, so mahnte die Finanzaufsicht Bafin an anderer Stelle genau Maßnahmen gegen Geldwäsche und Terrorfinanzierung an. In der Folge musste N26 nun einige Bestandskunden neu identifizieren sowie mehr Arbeitsabläufe schriftlich festhalten und Rückstände bei der Kontrolle verdächtiger Transaktionen aufarbeiten, um  verdächtige Transaktionen zu unterbinden. Kritiker werfen N26 zudem vor, dass der Kundenservice und die Prozesse der Bank nicht mit dem schnellen Wachstum mithalten kann. N26 gelobte umgehend Besserung und die Einstellung neuer Mitarbeiter. Denn N26 will weiter wachsen und „in den kommenden Jahren mehr als 50 Millionen Kunden erreichen“, so Gründer Valentin Stalf.

Viele Nutzer greifen auf Smartphone-Konten von Fintechs zur Zeit wohl als Zeitkonten zurück. Leider veröffentlichen nur wenige Institute Zahlen, wie viele Kunden ihr Fintech-Konto wirklich als Gehaltskonto nutzen. Als Zweitkonto ist es sicherlich gut zum „Experimentieren“, wie die Zukunft des Banking aussieht. In einigen Jahren wird sich die Szene auch stabilisieren und etablieren. Bis dahin sollte man einfach ein wachsames Auge auf sein Fintech-Konto haben – oder mit der Eröffnung noch etwas warten.

Immerhin: Bei den Fintechs war die Zwei-Faktor-Authentifizierung von vorn herein Standard. Nun wird sie es auch bei den klassischen Geldhäusern. Grund ist die EU-Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2), die ab 14. September 2019 greift.  Sie macht das Online-Banking sicherer, da man neben üblichen Merkmalen wie Benutzername und Passwort oder Kreditkartennummer, Ablaufdatum und Prüfziffer („Faktor 1“) ein zweiter Faktor abgefragt werden muss, um denjenigen, der online eine Zahlung in Auftrag gibt, auch sicher zu authentifizieren und so Betrug zu verhindern. Dafür müssen zwei von drei Elementen aus diesen drei Kategorien in den Bezahlvorgang eingebunden sein:

  1. Wissen: Passwörter, PINs, TANs oder Geheimfragen
  2. Besitz: Smartphone oder andere mobile Geräte
  3. Inhärenz: Fingerabdruck-, Gesichts-, Stimm- oder Iris-Erkennung

Um die korrekte Authentifizierung müssen sich die Zahlungsdienstleister kümmern, nicht die Online-Händler. Sie können erstmal nur abwarten, bis sich die Zahlungsdienstleister melden; bei einigen werden auch die Systeme angepasst werden müssen.

Immerhin sind aber nicht alle Zahlungsarten von der PSD2 betroffen:

  1. Bei Lastschriftzahlungen im Online-Handel ändert sich nichts, weil die Zahlung vom Gläubiger und nicht vom Einkaufenden veranlasst wird. Daher muss der sich auch nicht authentifizieren. Dubiosen Lastschriften kann man im Online-Banking als Kunde ja wieder rückgängig machen, sollte dann aber natürlich weitere Maßnahmen ergreifen.
  2. Für Sofortüberweisung, Giropay und Kauf auf Rechnung loggt man sich ja nur in sein reguläres Online-Banking ein und überweist den Betrag direkt. Auch hier ändert sich nichts, außer Ihre Bank nutzt noch TAN-Listen auf Papier. Das muss nun der Vergangenheit angehören und durch TANs via SMS oder App ersetzt werden.
  3. Zahlungsdienstleister wie PayPal, Amazon Pay, Klarna etc. müssen die Vorgaben zur Zwei-Faktor-Authentifizierung noch umsetzen, versprechen aber bis zum Stichtag eine Lösung, die für die allermeisten Händler keinen zusätzlichen Entwicklungsaufwand bringen soll. Die Zwei-Faktor-Authentifizierung ist hier allerdings nur notwendig, wenn die vorgesehene Zahlung von der Kreditkarte abgebucht werden soll. Ansonsten greifen die Regeln zu Lastschrift und Sofortüberweisung. Denkbar wäre beispielsweise eine Einmal-TAN via SMS, E-Mail oder App. Diese Möglichkeit bietet PayPal besonders sicherheitsbewussten Kunden bereits heute schon an, muss sie nun also quasi nur zum Standard erheben. PayPal OneTouch hingegen dürfte das Aus bevorstehen, da das dauerhaft Eingeloggtbleiben nicht mehr gestattet sein wird. Amazon ist bereits erkennbar darum bemüht, die Mobilfunknummer seiner Kunden zu erfragen.

Ein Passwort lässt sich leicht erbeuten, ein Gerät auch. Zwei Geräte werden schon schwieriger, und Wissens- und Inhärenz-Merkmale sind mitunter unmöglich zu erbeuten. Gerade angesichts einer wachsenden Anzahl von Mobilgeräten, die verloren gehen oder gestohlen werden, bedeutet die Zwei-Faktor-Authentifizierung eine entscheidende Verbesserung der Sicherheit. Dabei müssen sich auch, wie bereits erwähnt, eigentlich nur die Bankkunden umstellen, die noch TAN-Listen fürs Banking benutzen. Diese sind besonders unsicher, weil sie mittels eines Algorithmus erzeugt wurden. Gewiefte Hacker können so von einer TAN ggf. auch auf alle anderen TANs schließen. Vielleicht haben auch Sie schon Post von Ihrer Bank bekommen. Wie sehen also die Alternativen zur TAN-Liste aus?

  1. TAN-Generator: Den TAN-Generator bekommt man bei seiner Bank. Nach Eingabe der Überweisungsdaten im Online-Banking wird am Computer ein Chip- oder Foto-Code generiert. Diesen kann der TAN-Generator auslesen, wenn man seine Girocard einsetzt, und so eine Einmal-TAN erzeugen. Besonders empfehlenswert für Menschen ohne Smartphone.
  2. TAN-App: Funktioniert wie der TAN-Generator, jedoch wird anstelle des Generators einfach eine App auf dem eigenen Smartphone verwendet. Hier ist die Beauftragung und die Freigabe der Überweisung sogar auf demselben Gerät möglich, weil die App entsprechend passwort- beziehungsweise codegeschützt ist.
  3. SMS-TAN: Dieses Verfahren gibt es zwar noch, wird aber in absehbarer Zeit auch abgeschafft werden. Denn: Die SMS, die die angeforderte TAN enthält, kann mit etwas Know-How auf einen fremden (betrügerischen) Kunden umgeleitet werden. Daher sollten Sie jetzt nicht auf SMS-TAN umsteigen. Und falls sie derzeit noch die SMS-TAN benutzen, empfehle ich Ihnen, sich schon einmal mit TAN-Generator bzw. TAN-App anzufreunden.
  4. USB-Stick: Manche Banken geben Ihren Kunden einen speziell codierten USB-Stick, der in den Computer gesteckt wird und den Kunden dadurch identifiziert. Dabei muss keine TAN erzeugt werden, Stick und PC kommunizieren automatisch miteinander.

Die Zwei-Faktor-Authentifizierung macht Online-Banking definitiv sicherer, aber dennoch sollte man mit offenen Augen durch die Welt gehen: 100 Prozent Sicherheit gibt es nie, ein Restrisiko besteht immer.