Sicherheit in Logins: Was sind 2FA und MFA?

Logins und Authentifizierung mit nur einem Faktor bergen erhebliche Risiken und mögen beim Online Zeitunglesen dienlich sein. Im Zahlungsverkehr im privaten e-banking oder wenn ein Corporate Mitarbeiter das e-banking nutzt sind mindestens Zwei – Faktor – Identifizierungen nötig. Das mag dem einen lästig sein. Die vielen leider erfolgreichen Missbräuche von Social – Engineering, Phishing, CEO – CFO – Fraud zeigen, dass Sicherheit unabdingbar ist.

2FA bedeutet Zwei-Faktor-Authentifizierung, MFA heisst Multi-Faktor-Authentifizierung. Der Bericht und White Paper im CIO beschreibt exzellent die Risiken und Verfahren. Durch die Kombination mehrerer Authentifizierungsfaktoren steigt auch die Gewissheit, dass der Benutzer, der gerade versucht sich zu authentifizieren, tatsächlich der ist, der er vorgibt zu sein.

Bei der MFA müssen sich Benutzer anhand von zwei oder mehr Faktoren aus unterschiedlichen Kategorien authentifizieren.

Bei der Wahl einer passenden Authentifizierungsmethode für Ihr Unternehmen sollten Sie eine Reihe von Faktoren berücksichtigen. Dazu gehören unter anderem:

  1. Leistungsstärke: Wie gut schützt die Lösung Ihr Unternehmen vor typischen Bedrohungen?
  2. IT-Kosten und -Aufwand: Was sind die Kosten pro Benutzer? Sind zusätzliche Ressourcen erforderlich?
  3. Benutzerfreundlichkeit: Können Benutzer die Lösung einfach und unkompliziert einführen? Können sie die Authentifizierungs-mechanismen frei wählen? Bietet die Lösung ein mobiles SDK, das eine Einbettung von MFA-Funktionen in ihre eigene mobile Umgebung ermöglicht?
  4. Einfache Implementierung: Lässt sich die Lösung einfach implementieren und warten?
  5. Einhaltung von Branchenstandards: Erfüllt sie die Compliance-Standards, die Sie einhalten müssen?
  6. Standards: Unterstützt sie Identitätsstandards wie FIDO?
  7. Flexibilität: Unterstützt sie eine dynamische Step-up-Authentifizierung?


PSD2: Neue e-Banking Regeln ab 14.9.19

DEUTSCH: Wer in der EU ab 14. September noch eine TAN von einem Zettel nutzen will, (iTAN-Verfahren), dürfte eine Überraschung erleben: Die TANs werden nicht mehr funktionieren. Hintergrund ist die Zweite Europäische Zahlungsdienstrichtlinie PSD2, die neben mehr Wettbewerb im Finanzsektor auch für mehr Sicherheit sorgen soll. TANs, auf Papierzettel sind nicht dynamisch und bis zur Abfrage zeitlich unbegrenzt gültig, sind ein grundsätzliches Sicherheitsproblem. Vor allem bei Phishing-Angriffen sind diese iTANs verwundbar.

Was ändert sich im PSD2-Raum ab 14. September im e-banking?

  • Zwei-Faktor-Authentifizierung beim Login und Online-Kartenzahlungen
  • Abschaltung der iTAN-Liste
  • Zugriff auf Zahlungsverkehrskonten bei Drittanbietern

Informationen dazu:

mTAN oder sms-TAN sind gemäss PSD2 weiterhin erlaubt. Das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) rät allerdings von ihrer Verwendung ab.

Do you prefer English?

PSD2 (the payment service directive 2) is currently one of the most disruptive developments in banking and fintech. In effect since January 2018, it forces banks to open their customer data to third party providers. Banks typically are not in the business of competing with tech giants or start-ups, so this puts enormous pressure on them.

Watch PSD2 explained in 4 minutes presented by digitalscouting.de or

Henri Arslanian’s TED-Talk on Fintech and Banking (14 mins) distributed in October 2016. Henri Arslanian started his career as a financial markets and funds lawyer in Canada and Hong Kong,

In der Schweiz (als nicht PSD2 Raum) sind Multi-Faktor-Authentifizierung (MFA) schon länger in Betrieb. Bei e-Banking Login in der EU und USA kann man bzw. konnte man die Kontosalden mittels einfachen Logins und Passwort einsehen (2FA). Um Zahlungen auszulösen sind zusätzliche Sicherheiten nötig. Scrollen Sie weiter auf Punkt 3 und lesen Sie dazu den nachstehenden Bericht 2FA versus MFA.

PSD2 with Credit Cards Payment as of Sept. 14, 2019

DEUTSCH: Nach Einschätzung der BaFin sind die kartenausgebenden Zahlungsdienstleister in Deutschland auf die neuen Anforderungen vorbereitet. Anders sieht dies bei den Unternehmen aus, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen. Bei ihnen besteht nach wie vor erheblicher Anpassungsbedarf. Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, wird die BaFin für Kreditzahlungen im Internet vorübergehend nicht auf einer Starken Kundenauthentifizierung bestehen.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird dies zunächst nicht beanstanden. Sie will damit Störungen bei Internet-Zahlungen verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der Zweiten Zahlungsdienstrichtlinie (Payment Services Directive 2 – PSD 2) ermöglichen. Details auf der BaFin Site

ENGLISH: BaFin Press release – 21 August 2019. According to BaFin estimates, card-issuing payment service providers in Germany are prepared for the new requirements. However, that’s not the case for companies that use online credit card payments as recipients where significant adjustments are still necessary to meet the new requirements. To enable consumers and companies to continue using credit cards for online payments, BaFin will temporarily waive the requirements for strong customer authentication for online credit card payments. Details…