Manfred Kloiber: Seit genau einer Woche ist die PSD2, also die neue Zahlungsdiensterichtlinie in Kraft. Die PSD2 ist – Zitat – "eine EU-Richtlinie der Europäischen Kommission im Zahlungsdiensterecht zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern in der gesamten Europäischen Union und dem Europäischen Wirtschaftsraum". Hört sich kompliziert an, und so kompliziert wie es klingt, so unbefriedigend sieht es in der Praxis aus. Letzte Woche trat die zweite Stufe der PSD2 in Kraft und damit wurde für alle Banken unter anderem verpflichtend, den Zugang zu Banking-Lösungen und die Bestätigung von Transaktionen besser abzusichern. Klingt gut, sorgt aber für einigen Ärger. Warum, das hat mein Kollege Jan Rähm recherchiert. Beginnen wir damit, was ist das Ziel der PSD2 in aller Kürze, Jan?

Jan Rähm: Diese EU-Richtlinie wurde auf den Weg gebracht, um vier Ziele zu erreichen: Sie soll die Sicherheit im Zahlungsverkehr erhöhen, den Verbraucherschutz stärken, die Innovation fördern und den Wettbewerb im Markt steigern. Am deutlichsten wird der Punkt eins für Verbraucher und auch für Dritt-Software-Anbietern zu spüren sein, denn die Sicherheit muss verpflichtend durch Zwei-Faktor-Authentifizierung erhöht werden. Und außerdem wurden einige Verfahren zur Genehmigung von Transaktionen verboten, wie die Papier-TAN. Außerdem soll es spezielle Schnittstellen geben, über die auch Nicht-Banken Finanzdienstleistungen anbieten können, beispielsweise sogenannte Zahlungsauslösedienste wie Direktüberweisungen oder auch Informationsdienste, die Finanzinformationen eines Kunden quer über alle genutzten Banken abrufen können sollen."

Manfred Kloiber: "Was innovativ klingt, hat in der Praxis jedoch für einigen Ärger gesorgt, wie der folgende Beitrag zeigt."

Die Papier-TAN - egal ob fortlaufend oder nummeriert – hat ausgesorgt. Künftig müssen diese Transaktionsnummern, mit denen zum Beispiel Überweisungen ausgelöst oder Daueraufträge in Kraft gesetzt werden, für jeden Vorgang neu erstellt werden – das nennt sich dynamisches TAN-Verfahren. Das können optische TAN-Generatoren oder App-basierte Verfahren sein. Zusätzlich muss ein zweiter Faktor den Nutzer authentifizieren. Andreas Krautscheid, Hauptgeschäftsführer des Bankenverbands, erklärt:

"Es gibt natürlich verschiedene Möglichkeiten – etwa per SMS aufs Handy. Oder man kann es eben auch im Mobile Banking durch den Fingerabdruck machen. Wir brauchen zwei Faktoren, um eine solche Zahlung rechtswirksam auszulösen. Deswegen müssen sich viele Kunden umstellen aber auch Banken und Dienstleister."

Ein solcher Dienstleister ist der Hersteller der Online-Banking-App ‚Outbank‘. Wie bei vielen andere Software-Hersteller sind dessen Programmierer seit Anfang des Jahres nahezu im Dauereinsatz. Thilo Knaupp über die Auswirkungen der PSD2:

"Positives können wir berichten, dass mittlerweile alle Banken umgestellt haben. Negativ ist, dass die technische Umsetzung sehr mit sehr vielen Schwierigkeiten verbunden war. Zum einen hatten bestimmte Banken schon vor dem Stichtag begonnen umzustellen, zum Teil eben nach dem Stichtag. Schwierig ist in Summe, dass die Anforderungen sehr vage waren und die Banken sehr sehr unterschiedlich interpretiert haben, wie sie das auszufüllen haben. Das große Problem ist der Wildwuchs an Verfahren, die die Banken eingeführt haben."

Den Wildwuchs spüren vor allem - aber nicht nur - jene Bürger, die Kunde bei mehreren Banken sind. Weil die Banken die PSD2 jeweils nach eigener Interpretation umgesetzt haben, bietet jeder Bankzugang zum Teil völlig andere Zugangsmechanismen und TAN-Verfahren. Auch die Oberflächen der Banken eigenen Apps sind teils unklar. So vergebe eine Bank TAN-IDs, die der eigentlichen TAN zum Verwechseln ähnlich sähen, schreibt beispielsweise Linus Neumann, der IT-Sicherheitsexperte und Sprecher des Chaos Computer Clubs. Er habe sich dadurch aus seinem Konto ausgesperrt. Auf Twitter macht er seinem Ärger Luft:

"An alle Banken, die nun Drittanbieter-Software durch obskure, selbstgekochte, nicht nachvollziehbare und völlig beknackte TAN-Verfahren ausschließen: Mögen eure schwarzen Herzen in der Hölle verfaulen! Unter hohen Schmerzen!"

Statt auf irgendwie geartete Standard-Verfahren zu setzen, hat nahezu jede Bank eine eigene Kombination aus Zwei-Faktor-Authentifizierung und TAN-Verfahren eingeführt. Das führt beim Kunden dazu, dass er beim Abruf aller Konten über mehrere Banken hinweg jedes Mal andere PINs und Zweitfaktoren nutzen muss – bei fast jedem Abruf. Outbank-Sprecher Thilo Knaupp:

"Das heißt für den Nutzer, der jetzt mehrere Konten verwendet – und das sind unserer Erfahrung nach sehr viele Kunden – ist es nicht nachvollziehbar, wann er was tun muss. Zum Teil werden auch Authentifizierung angefordert, die dann nachher gar nicht benötigt werden. Also hier ist ein sehr sehr hoher Konfusionsgrad entstanden und dem Kunden ist nicht klar, was er zu erwarten hat, weil jede Bank das sehr sehr individuell auslegt."

Und nicht nur die Kunden sind genervt. Auch Software-Anbieter kämpfen mit den teilweise kaum nachvollziehbaren neuen Verfahren. Hinzu kommt, dass bei der Umstellung auf PSD2-konforme Lösungen alte, gut funktionierende Schnittstellen wie der etablierte Standard HBCI bei einigen Banken beschädigt wurde. Davon zeugen verärgerte Meldungen in sozialen Netzwerken. Erschwerend kommt hinzu, dass einige Banken ihre neuen Verfahren exklusiv für sich nutzen und dadurch Drittanbieter aussperren. Thilo Knaupp gibt ein Beispiel:

"Es gibt eine Bank, die hat ein FotoTAN Verfahren. Wenn man die Banking App direkt nutzt der Bank, wird man auf das FotoTAN-App-Modul weitervermittelt, muss also das Gerät gar nicht wechseln. Das ist eine Funktionalität, die ein Dienstleister aktuell gar nicht zur Verfügung hat. Das heißt, der Drittanbieter muss dann dem Kunden zwei Geräte vorschlagen, mit dem er dann dieses TAN-Verfahren nutzen kann. Das ist natürlich eine Benachteiligung. Das heißt, wir vermuten, dass Banken jetzt schon auch die Gelegenheit genutzt haben, hier für sich die Prozesse besser zu gestalten, als sie für Drittanbieter zur Verfügung gestellt werden."

Manfred Kloiber: Das von Thilo Knaupp beschriebene Vorgehen, das würde ja, wenn ich Sie Jan vor dem Beitrag richtig verstanden habe, den Zielen der PSD2 zuwiderlaufen. Sehe ich das richtig?

Jan Rähm: Das sehen Sie ganz richtig Manfred, weil eigentlich ja gerade Drittanbieter gestärkt werden sollen und der Wettbewerb angekurbelt werden soll. Aber, und das ist etwas ironisch, unfreiwillig kurbeln die Banken den Wettbewerb doch und zwar untereinander an, denn Kunden planen vermehrt zu Banken zu wechseln, bei denen die Schnittstellen ersten funktionieren und zweitens am wenigsten nerven. Das bestätigten mir sowohl Outbank-Sprecher Knaupp als auch Linus Neumann, mit dem ich kurz vor unserer Aufzeichnung telefoniert habe.

Kloiber: Und woran liegt der Wildwuchs, den Sie im Beitrag beschrieben? Ich hatte den Eindruck, die EU-Kommission hätte recht klare Vorgaben gemacht?

Rähm: Die Vorgaben sagen nur, dass zwingend Zwei-Faktor-Authentifizierung und dynamisch generierte TANs eingesetzt werden müssen. Die Umsetzung blieb den Banken überlassen und die haben sich, das darf man ruhig sagen, richtig ausgetobt. Es gibt wahrscheinlich keine zwei Banken, die gleiche oder ähnliche App-TAN-Verfahren einsetzen. Und aus eigener Erfahrung: Bei einer Bank muss ich eine Transaktion per Code, bei der anderen per biometrischem Merkmal authentifizieren. Vor allem die Software-Hersteller hätten sich gewünscht, dass hier wirkliche Vorgaben auch technisch erfolgen und standardisierte Verfahren eingeführt worden wären.

Kloiber: Was ich mich ja angesichts der ja durchaus etwas chaotischen Situation frage: Wurde die Sicherheit durch die PSD2 und ihre praktische Umsetzung gestärkt oder hat man das Gegenteil erreicht?

Rähm: Die Frage ist nicht einfach zu beantworten und die Meinungen gehen auseinander. Es gibt einerseits die Auffassung, wie sie auch Thilo Knaupp vertritt, dass die Verfahren an sich, egal wie unterschiedlich sie auch sind, insgesamt technisch sicherer sind. Allerdings können die Konfusion der Nutzer zu Unsicherheiten führen. Linus Neumann dagegen prangert an, dass sichere Verfahren kaputt gemacht wurden, dass die Zwei-Faktor-Authentifizierung teilweise absolut unzureichend umgesetzt wurden und zudem die Prozesse so kompliziert seien, dass selbst die Banken zur Lösung von Problemen auf einfache Mittel zur Kommunikation mit dem Kunden wie SMS zurückgriffen. So versenden beispielsweise eine SMS mit neuen Zugangscodes, wenn der Kunde sich durch Fehlnutzung der neuen Verfahren aus seinem Konto ausschließt, was dann natürlich kein bisschen sicherer ist, als das vorherige SMS-TAN-Verfahren.

Kloiber: Eine Einschätzung: Sind das alles jetzt Anlaufprobleme oder muss die Richtlinie bzw. ihre nationale Umsetzung überarbeitet werden?

Rähm: Einiges könnten Anlaufschwierigkeiten sein, wie beispielsweise die Kommunikationsstörungen beim App-TAN-Verfahren, unter dem ich selbst regelmäßig bei meiner Hausbank leide. Der Wildwuchs dagegen und die kaputten etablierten Verfahren sind, fürchte ich, nicht vorübergehend. Hier werden nur klare Vorgaben und klare Standards für Besserung sorgen. So fordert Thilo Knaupp von Outbank dringend nachzuarbeiten. Linus Neumann plädiert für standardisierte Lösungen zur Zwei-Faktor-Authentifikation wie solche Lösungen, die auf der Branchen-übergreifenden "Initiative For Open Authentication" basieren.

Kloiber: Jan Rähm über die Probleme nach der Umsetzung der PSD2 in der Praxis. Vielen Dank.