Onlinekonten: Ohne Handy geht bald nichts mehr

Um Onlinekonten besser zu schützen, setzen Unternehmen verstärkt auf die Zwei-Faktor-Authentifizierung (2FA). Dabei wird ein Code verlangt, der vorher auf das Mobiltelefon gesendet wird. Der Nachteil: Ohne Handy geht im Internet bald gar nichts mehr.

Man kennt sie vom Online-Banking: die Zwei-Faktor- oder Zwei-Wege-Authentifizierung. Um eine Überweisung durchzuführen zu können, muss man diese mit der so genannten Transaction Authentication Number (TAN) bestätigen, die man entweder von einer Liste ablesen kann oder per SMS auf das Handy geschickt bekommt. Immer mehr Online-Dienstleister setzen auf diese Methode, wenn es darum geht, die Kundenkonten zu sichern. Das können Kreditkartenunternehmen ebenso sein wie Online-Shops oder Soziale Netzwerke. Wer sich auf seinem Benutzerkonto einloggen oder eine finanzielle Transaktion durchführen möchte, wird dann, zusätzlich zum Benutzernamen und dem selbst gewählten Passwort ein elektronisch versendetes Einmalpasswort eingeben müssen.

Sendungshinweis

„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Österreich 1

Auch Facebook will die Mobilnummer

Gerade in letzter Zeit erfolgen die Umstellungen auf diesen doppelten Sicherheitsstandard recht zügig. Paylife hat die Zwei-Faktor-Authentifizierung mit Ende August eingeführt, Apple vor etwa einer Woche. Auch Facebook oder Google empfehlen die Methode. Facebook fordert beispielsweise seine Kunden gezielt zur Bekanntgabe der Mobilnummer auf und verweist auf die damit verbundene höhere Sicherheitsstufe bei den Facebook-Konten.

Besonders Konzerne wie Google oder Facebook gelten als motivierte Datensammler. Dienen diese Maßnahmen also primär dazu, Kundendaten noch besser miteinander verknüpfen zu können, um noch präzisere Kundenprofile zu erstellen? Internet-Sicherheitsexperte Thorsten Behrens vom Institut für angewandte Telekommunikation (OIAT) bezweifelt das. Aus seiner Sicht handelt es sich hier tatsächlich um Sicherheitsbedenken: „Wir bekommen ja immer wieder mit, wie jetzt gerade aktuell mit Yahoo, dass sehr viele Datensätze auch gestohlen werden.“ Mit gestohlenen Datensätzen könne man letztendlich fremde Kundenkonten kapern, so Behrens: „Bei einem Konto das mittels Zwei-Faktor-Authentifizierung gesichert ist, reichen die normalen Zugangsdaten aber nicht aus. Cyberkriminelle benötigen dann eben den Code, um diese zweite Sicherheitshürde nehmen zu können. Und den haben sie nicht.“

Ein Mann nutzt Smartphone und Kreditkarte um online einzukaufen

Fotolia/alexbrylovhk

Die Zwei-Faktor-Authentifizierung (2FA) wird zusehends zum Standard

TAN-Liste wird abgeschafft

Eine empfehlenswerte Sicherheitsmaßnahme also, die aber auch Probleme verursachen kann. Zum Beispiel für Help-Hörer René Tajoburg. Bei seiner Hausbank, der BAWAG/PSK, wird ab Ende des Jahres für digitale Finanztransaktionen ein elektronisch versendetes Einmalpasswort notwendig sein. Die alte TAN-Liste hat ausgedient. Da diese kopierbar sei, biete sie keinen ausreichenden Schutz mehr, erklärt die BAWAG gegenüber help.ORF.at. Die Einmalpasswörter werden entweder per SMS auf das Handy oder an eine spezielle Smartphone-App gesendet. Ein Mobilgerät zu besitzen ist daher zwingend notwendig. Das Problem dabei: Rene Tajoburg hat lediglich einen PC: „Ich habe nur das Betriebssystem Windows, damit ist es mir nicht möglich ein Einmal-Kennwort zu erhalten, so einfach ist das.“

Die neue „BAWAG-PSK-Security-App“ gibt es ausschließlich für die Smartphone-Betriebssysteme Android und iOS. Im Windows App-Store sucht man das Programm vergeblich. Für René Tajoburg ist unverständlich, warum Windows-Nutzer in so einer Form benachteiligt werden.

Auch der Internet-Ombudsmann Thorsten Behrens findet es problematisch, wenn Banken das an sich positive Werkzeug der Zwei-Faktor-Authentifizierung nur über einen einzigen Weg anbieten. Wer kein Mobiltelefon habe oder, aus welchen Gründen auch immer, die Mobilnummer geheim halten wolle, habe in Zukunft wohl immer weniger Möglichkeiten webbasierte Services zu nutzen, so Behrens. Wir haben bei der BAWAG nachgefragt: Eine Windows-Version der BAWAG-PSK-Security-App, die man auch ohne Smartphone, etwa mittels PC nutzen kann ist derzeit nicht geplant.

EU-Ausland: Kein Roaming für SMS-Empfang

Das Kreditkartenunternehmen Paylife hat Ende August begonnen sein Sicherheitsverfahren „3D-Secure“ umgzustellen. Um Zugriff auf ein Paylife-Konto zu bekommen, waren früher die Kreditkartennummer und ein selbst gewähltes, so genanntes 3D Secure-Passwort notwendig. Ab November bekommt man zusätzlich eine mobile TAN auf das Handy. Laut Thorsten Behrens werden in nicht allzu ferner Zukunft auch die meisten Online-Shops dieses System übernehmen, wenn mit Kreditkarte bezahlt werden soll. Menschen ohne Mobiltelefon werden dann Online-Zahlungsdienste kaum noch nutzen können. In einer schriftlichen Stellungnahme von SIX heißt es:

„Wir bitten um Verständnis, dass wir für Personen ohne Mobiltelefon kein alternatives Zahlungsmittel für Internetzahlungen mit 3D-Secure Verfahren anbieten können.“

Die neuen Regeln bei SIX bedeuten übrigens auch, dass man das Handy zwingend ins Ausland mitnehmen muss, wenn man dort Überweisungen durchführen, oder im Internet shoppen möchte. Die Angst vor Roaming-Gebühren sei allerdings unbegründet, meint Thorsten Behrens, der SMS-Empfang ist mittlerweile in den meisten Ländern gratis, auch außerhalb der EU. Fazit des Internet-Experten: Wer auf Onlinekonten mit wichtigen Daten hantiert, sollte die Zwei-Wege-Authentifizierung auf jeden Fall nutzen. In der Praxis wird man dabei aber derzeit um das Handy kaum herumkommen.

Paul Urban Blaha, help.ORF.at

Mehrzum Thema: