Starke Kundenauthentifizierung: Zwei-Faktor-Authentifizierung im Online Banking (Internetbanking)
Um die Sicherheit im Zahlungsverkehr zu verbessern, wurde in der PSD2 (Payment Services Directive) die Verpflichtung zur sogenannten "starken Kundenauthentifizierung (SCA - Strong Customer Authentication)" aufgenommen.
Die für eine starke Kundenauthentifizierung erforderlichen Elemente sind in Wissen, Besitz und Inhärenz aufgeteilt. Diese Elemente müssen unabhängig voneinander sein. So kann das Betrugsrisiko verringert werden, auch wenn einer der Faktoren gefährdet ist. Eine Kombination mehrerer Faktoren, die über einen sicheren Kanal übertragen werden, kann das höchstmögliche Maß an Sicherheit für Finanztransaktionen gewährleisten.
Die starke Kundenauthentifizierung erfordert künftig bei jedem Login und jeder Zeichnung eines Zahlungsauftrags die Verwendung von zwei Faktoren aus den unten angeführten Merkmalen
WISSEN: etwas, das nur der Nutzer weiß (z.B. ein Passwort oder eine PIN).
BESITZ: etwas, das nur der Nutzer besitzt (z.B. eine Karte oder ein Gerät, dass einen Authentifizierungscode generiert).
INHÄRENZ: etwas, das dem Nutzer persönlich bzw. körperlich zu eigen ist (z.B. ein Fingerabdruck).
Die neuen Anforderungen treten mit 14. September 2019 in Kraft. Aus gesetzlichen Gründen ist der Einstieg ins Online Banking ab diesem Zeitpunkt nur mehr über die Zwei-Faktor-Authentifizierung möglich.
Anbei finden Sie die aktuellen Login- und Zeichnungsverfahren fürs Online Banking:
Schoellerbank ID (für Login- und Transaktionsfreigabe)
Bei der Schoellerbank ID handelt es sich um ein neues Login- und Zeichnungsverfahren. Dieses setzt auf ein OTP (One Time Passwort) basierendes Verfahren auf, dass - wie schon erwähnt - für den Login ins Online Banking und die Zeichnung von Transaktionen verwendet wird. Sie bietet mehr Komfort und eine Erhöhung der Sicherheit. Zudem erfüllt dieses neue Verfahren die regulatorischen Anforderungen der PSD2 in Bezug auf die Strong Customer Authentification (SCA).
Laden Sie die Schoellerbank ID App von Ihrem App Store (AppStore, Google Play Store oder Windows Store) und installieren Sie diese auf Ihrem Smartphone und/oder Tablet.
Beschreibung Aktivierung der Schoellerbank ID
Grundsätzlich ist die Funktion der Schoellerbank ID App sehr einfach. In der App werden Ihnen drei Zahlen angezeigt. Eine Zahl stimmt mit der Zahl, die Ihnen im Online Banking angezeigt wird, überein. Wird diese angeklickt, wird der Login bzw. die Zeichnung erfolgreich ausgeführt.
- Login mit der Schoellerbank ID
Bei jedem Login ins Online Banking wird Ihnen eine Zahl dargestellt, die nur Sie kennen. Für die Freigabe müssen Sie die im Online Banking dargestellte Zahl in der Schoellerbank ID App auswählen und das Login wird durchgeführt. Wird eine falsche Zahl gewählt, wird die Freigabe abgebrochen und Sie erhalten eine Fehlermeldung. Für den Fall, dass Ihnen in der Schoellerbank ID App eine Freigabe dargestellt wird, welche Sie nicht ausgelöst haben, kann der entsprechende Button "Anfrage stammt nicht von mir!" betätigt werden. Auch hier wird die Freigabe sofort abgebrochen.
Beschreibung Login mit Schoellerbank ID
- Zeichnung mit der Schoellerbank ID
Bei jeder Zeichnung im Online Banking wird Ihnen eine Zahl dargestellt, die nur Sie kennen. Für die Freigabe der Transaktion müssen Sie die im Online Banking dargestellte Zahl in der Schoellerbank ID App auswählen und die Transaktion wird durchgeführt. Wird eine falsche Zahl gewählt, wird die Freigabe abgebrochen und Sie erhalten eine Fehlermeldung.
Für den Fall, dass Ihnen in der Schoellerbank ID App eine Freigabe dargestellt wird, welche Sie nicht ausgelöst haben, kann der entsprechende Button "Anfrage stammt nicht von mir!" betätigt werden. Auch hier wird die Freigabe sofort abgebrochen.
Beschreibung Zeichnung mit der Schoellerbank ID
Bitte beachten Sie: Die Schoellerbank ID wird das bestehende tresorTAN-Verfahren ablösen. Sollten Sie also die Schoellerbank ID App installiert und aktiviert haben, so wird die tresorTAN-App automatisch deaktiviert. Eine gemeinsame Nutzung beider Apps ist nicht möglich.
cardTAN-Verfahren (für Login- und Transaktionsfreigabe)
Die cardTAN ist ein Autorisierungsverfahren, dass von den österreichischen Banken gemeinsam mit der STUZZA (Studiengesellschaft für Zusammenarbeit im Zahlungsverkehr GmbH) entwickelt wurde. Die cardTAN ermöglicht Ihnen, sowohl den Login in Ihr Online Banking als auch Zahlungsaufträge innovativ und sicher mittels cardTAN-fähiger Karte und einem cardTAN-Lesegerät im Online Banking zu autorisieren.
Wie funktioniert die cardTAN?
Login mit cardTAN - erst ab 12.08.2019 verfügbar!
Beim Login ins Online Banking mit cardTAN müssen Sie unter Login Verfahren "cardTAN" auswählen. Anschließend nehmen Sie bitte Ihren cardTAN Reader und Ihre cardTAN Karte (Debitkarte) zur Hand. Stecken Sie die cardTAN Karte (Debitkarte) in den Reader, geben Sie Ihren EB-PIN ein und bestätigen Sie diesen mit "ok". In weiterer Folge erscheint am Display "Startcode od. Flicker"; bitte bestätigen Sie ebenfalls mit "ok". Nun erscheint "Startcode" - hier geben Sie dann "00" ein. Anschließend wird der cardTAN Login-Code generiert, den Sie im entsprechenden Feld (der Login-Seite) eintragen.
Beschreibung Login mit cardTAN
Zeichnung mit cardTAN
Sie erfassen wie gewohnt Ihren Auftrag im Online Banking und wählen beim Zeichnen das Zeichnungsverfahren „cardTAN“ aus. Über die Aktivierung Ihres Kartenlesegerätes (mittels cardTAN-fähiger Karte und cardTAN-PIN) wird nun der Auftrag durch Halten des Kartenlesers an den Bildschirm Ihres PCs via „Flickercode“ an das Gerät übertragen. Es wird eine cardTAN für diese Transaktion generiert, mit der Sie Ihren Auftrag zeichnen können.
Beschreibung Zeichnung mit cardTAN
Vorteile der cardTAN:
- Die Auftragsautorisierung durch Verfüger-PIN und cardTAN bietet sehr hohe Sicherheit.
- TANs können ausschließlich durch Eingabe der Verfüger-PIN generiert werden.
- cardTAN funktioniert kabellos (keine PC-Anbindung und keine Software notwendig).
- Der cardTAN-Generator ist flexibel und praktisch bei allen österreichischen Banken einsetzbar.
Sie benötigen:
cardTAN-fähige Schoellerbank Karte
- Debitkarte (siehe cardTAN-Logo auf der Kartenrückseite) oder eine
- cardTAN-Signaturkarte
cardTAN-Lesegerät
Der cardTAN-Generator ist österreichweit genormt und kann somit bei jeder am cardTAN-Verfahren teilnehmenden Bank in Österreich verwendet werden. Sie erhalten Ihr Kartenlesegerät von der Schoellerbank.
cardTAN-Bestellung
Die Freischaltung für die cardTAN sowie ein Kartenlesegerät und eine cardTAN-Signaturkarte können Sie bei Ihrem Kundenbetreuer beantragen.
Fido-Token (nur Loginverfahren mit entsprechender Hardware)
Das Online Banking wird als zusätzliches Login-Verfahren den sogenannten U2F/Fido2-Token (Universal Second Factor, universeller zweiter Faktor) unterstützen. Im Rahmen einer starken Kundenauthentifizierung stellt der Fido2-Token den Faktor Besitz dar. Sollten Sie bereits einen Fido-Token besitzen, können sie diesen für den Login im Online Banking nutzen. Bitte beachten Sie jedoch, dass eine Zeichnung von Zahlungsaufträgen mit dem Fido-Token nicht möglich ist!
Aktuell unterstützen folgende Browser den Fido Token:
Chrome (ab Version 67), Firefox (ab Version 60) und Microsoft Edge (ab Build17682). Safari arbeitet an der Umsetzung. Der Internet Explorer unterstützt den Fido Token nicht.
Hinweis: Sie können immer nur einen Token registrieren, sollten Sie bereits einen Token registriert haben und führen eine neuerliche Registrierung durch, wird die bisherige Registrierung aufgehoben. Der Fido2-Token kann aber sehr wohl von verschiedenen Benutzern für die Authentifizierung genutzt werden.
In der folgenden Liste sind alle Fido2 und Fido U2F Token aufgelistet, die Sie aktuell verwenden können.
Beschreibung Aktivierung Fido Token
Beschreibung Login mit Fido Token
mobileTAN (für Transaktionsfreigabe)
Die mobileTAN wird zum Autorisieren (Zeichnen) von Aufträgen verwendet. Hier wird Ihnen die mobileTAN via SMS auf Ihr Mobiltelefon gesendet. Im Zuge der Zwei-Faktor-Authentifizierung ist die Zeichnung von Zahlungsaufträgen mittels mobileTAN weiterhin möglich. Jedoch muss zusätzlich zur mobileTAN die PIN bzw. das Passwort für die Zeichnung der Zahlungsaufträge eingegeben werden. Allerdings kann der Login in das Online Banking mit der mobileTAN nicht vorgenommen werden.
Ausnahme: Die mobileTAN fungiert als Notfalllogin, wenn Sie Ihr Passwort vergessen haben. Dazu wird ein Aktivierungscode (Einmalpasswort) auf Ihre hinterlegte Mobiltelefonnummer gesendet. Dafür ist es notwendig Ihre Mobiltelefonnummer im Online Banking immer aktuell zu halten (Menüpunkt "Meine Daten" / "persönliche Daten").
Beschreibung Zeichnung mit mobileTAN
tresorTAN (für Transaktionsfreigabe)
ACHTUNG: Die tresorTAN-App wird per 14.09.2019 durch die Schoellerbank ID App abgelöst und verliert Ihre Gültigkeit. Wir empfehlen Ihnen deshalb schon jetzt auf die neue Schoellerbank ID App umzusteigen.