Fehlende Zwei-Faktor-Authentifizierung bei der Postbank

Seit die Postbank zur Deutschen Bank migriert ist, brauche ich für den Login beim Onlinebanking am PC keinen zweiten Faktor mehr. Ist das eine Sicherheitslücke?

8

01.10.2023, 06:00 Uhr

Lesezeit: 1 Min.

c't Magazin

Von

Markus Montz

Seit die Postbank zur Deutschen Bank migriert ist, brauche ich für den Login beim Onlinebanking keinen zweiten Faktor mehr. Man bekommt sogar Einsicht in die Konten. Ist das nicht eine gefährliche Sicherheitslücke?

Die Postbank hat bei der Migration zur Deutschen Bank deren technisches Regime in großen Teilen übernommen. Grundsätzlich können sich Banken für das Login einer gesetzlichen Ausnahme von der Zwei-Faktor-Authentifizierung bedienen. Dann muss der Kunde sich nur alle 90 Tage mit einem zweiten Faktor authentifizieren. So ist es bei der Deutschen Bank schon lange im Onlinebanking-Zugang für den Browser voreingestellt.

Im Hintergrund ist eine Betrugsprüfung aktiv, die beispielsweise bei unbekannten Geräten oder auffälligem Verhalten eine zusätzliche Authentifizierung anfordern kann. Daher ist das keine kritische Sicherheitslücke und mit Bauchschmerzen noch akzeptabel, wenn auch nicht optimal. Hinzu kommt, dass laut Gesetz bei Überweisungen der zweite Faktor für alle Beträge ab 30 Euro zwingend vorgeschrieben ist. Die Postbank fordert ihn schon von sich aus ab dem ersten Cent.

Die Deutsche Bank lässt Kunden im Onlinebanking im Browser aber schon seit einiger Zeit die Wahl, das "Komfort-Login" (Zwei-Faktor-Authentifizierung alle 90 Tage) auf eine Zwei-Faktor-Prüfung bei jedem Login zu ändern. Die Postbank zieht hoffentlich bald nach.