Was Werner sagt stimmt absolut. Ich hatte damals vor 10 Jahren, als meine Finanzen vollkommen aus dem Ruder gelaufen sind, auch mal einen Vorfall mit einer Phishing-Mail die aussah wie von meiner Bank. Bin zum Glück nicht drauf reingefallen, aber das hat mich wachgerüttelt.
Zur eigentlichen Frage: Ich würde grundsätzlich sagen – whatever 2FA-Methode, Hauptsache du verwendest sie konsequent und hast für jedes Banking-Portal ein eigenes starkes Passwort. Das klingt banal aber ich kenne genug Selbstständige die überall das gleiche Passwort nutzen weil es einfacher ist. Passwortmanager löst das Problem komplett. Und Benachrichtigungen: lieber zu viele als zu wenige, zumindest am Anfang wenn man ein neues Konto nutzt.
Ich bin zwar Rentner und kein Unternehmer, aber Online-Banking-Sicherheit interessiert mich sehr – ich verfolge das Thema ja intensiv auch für den Privatbereich. Was mich bei Geschäftskonten überrascht hat, als ich mich neulich eingelesen habe: Viele Direktbanken bieten für Geschäftskunden beim TAN-Verfahren weniger Auswahl als für Privatkunden. Das finde ich merkwürdig. Beim normalen Girokonto habe ich mittlerweile ChipTAN, pushTAN und photoTAN zur Auswahl – bei manchen Neobanken für Geschäftskunden ist es nur App-Push und fertig. Ob das ausreicht, würde ich als kritisch betrachten, gerade wenn höhere Summen im Spiel sind. Ich würde immer schauen ob die Bank zumindest eine SMS-Fallback-Option hat falls die App mal nicht geht.
Kurze Anmerkung zur API-Frage: Das ist tatsächlich ein echtes Risikothema das oft ignoriert wird. Ich analysiere regelmäßig FinTech-Schnittstellen und der Unterschied zwischen read-only OAuth-Scope und einem Vollzugriffs-Token ist erheblich. Manche Buchhaltungstools fordern leider immer noch Vollzugriff obwohl sie nur Kontoumsätze lesen müssten – das ist ein klares Warnsignal.
Für Benutzerrollen würde ich Qonto oder Penta anschauen, die haben da granularere Einstellungen als die meisten deutschen Direktbanken. Airwallex auch, aber das ist eher für größere Strukturen.
Zur 2FA: TOTP ist bei richtiger Implementierung sehr solide. Hardware-Token lohnt sich wirklich erst wenn du mehrere Mitarbeiter hast und eine zentrale Geräteverwaltung aufbauen willst. Für Einzelkämpfer ist das Overkill.