PSD2 und die starke Authentifizierung
Die europäische Zahlungsdiensterichtlinie (PSD2), die seit 2019 in französisches Recht umgesetzt ist, schreibt eine starke Authentifizierung vor – bekannt als SCA, kurz für Strong Customer Authentication – für alle Online-Zahlungen und den Zugriff auf Bankkonten.
Die SCA verlangt die Kombination von mindestens zwei Faktoren aus drei Kategorien: etwas, das Sie wissen (Passwort, PIN, Sicherheitsfrage), etwas, das Sie besitzen (Telefon, Hardware-Token, Chipkarte) und etwas, das Sie sind (Fingerabdruck, Gesichtserkennung, Stimme).
Ein Passwort ist also kein Rückschritt – es ist der erste Faktor einer Mehr-Faktor-Authentifizierung. Der zweite Faktor ist in der Regel eine Push-Benachrichtigung in Ihrer Banking-App oder ein SMS-Code. Genau diese Kombination bildet die von der Regulierung geforderte starke Authentifizierung.
Französische Banken hinken hinterher
Mehrere traditionelle französische Banken verwenden noch immer 6-stellige Passwörter oder kurze Zifferncodes. Das ist keine bewusste technische Schwäche – es ist eine Altlast der Implementierung. Die Kernbankensysteme mancher Institute stammen aus den 1980er- bis 1990er-Jahren, und ihre Migration kostet Hunderte Millionen Euro.
Neobanken und Online-Banken – Revolut, N26, Lydia, Boursorama – sind auf moderne Architekturen umgestiegen, die native Biometrie, sofortige Push-Benachrichtigungen und dynamische Einmalcodes ermöglichen. Ihre Systeme wurden von Anfang an für Mobilgeräte konzipiert.
Diese Lücke erzeugt einen unfairen Eindruck: Große Banken wirken weniger sicher, obwohl sie in Wirklichkeit dieselbe Regulierung anwenden. Der Unterschied liegt in der Nutzererfahrung, nicht im tatsächlichen Schutzniveau.
Was Sie tun können
Ganz gleich, welche Bank Sie haben – einige einfache Maßnahmen maximieren Ihr tatsächliches Schutzniveau.
- →Aktivieren Sie stets die Biometrie in Ihrer Banking-App, falls verfügbar.
- →Verwenden Sie einen Passwort-Manager, um für jede Bank ein langes, einzigartiges Passwort zu erstellen und zu speichern.
- →Verwenden Sie niemals die PIN Ihrer Bankkarte als Passwort für einen anderen Dienst – das ist der häufigste Fehler.
- →Aktivieren Sie Echtzeit-Benachrichtigungen für Transaktionen, um jede unautorisierte Aktion sofort zu erkennen.
- →Überprüfen Sie regelmäßig die aktiven Sitzungen in Ihrer App – die meisten Banken erlauben es, laufende Verbindungen einzusehen und zu beenden.
Der wahre Schutz liegt nicht in der Komplexität des Passworts, sondern in der Aktivierung des zweiten Authentifizierungsfaktors. Ein 4-stelliger Code kombiniert mit biometrischer Bestätigung ist objektiv sicherer als ein 20-stelliges Passwort ohne 2FA. Konzentrieren Sie Ihre Bemühungen auf die richtige Einstellung.
- Directive (EU) 2015/2366 (PSD2) of the European Parliament and of the Council on payment services in the internal market, 2015 — EUR-Lex
- Commission Delegated Regulation (EU) 2018/389 — Regulatory Technical Standards for Strong Customer Authentication, 2018 — EUR-Lex
- European Commission, Strong Customer Authentication requirement of PSD2 comes into force, 2019
Prüfen Sie die Sicherheit Ihrer Apps