Ärger mit dem Online-Banking
Push-TAN juchhe, SMS-TAN ade: Ab Samstag gelten beim Online-Banking neue Regeln. Die Vorschriften sorgen nicht nur für mehr Sicherheit, sondern auch für Unmut und Verwirrung bei den Bankkunden.
Ab Samstag gelten beim Online-Banking neue Regeln. Die Vorschriften sorgen nicht nur für mehr Sicherheit, sondern auch für Unmut und Verwirrung bei den Bankkunden.
SALZBURG. Drei Buchstaben und eine Zahl beschäftigen derzeit viele Bankkunden und -berater: Die EUZahlungsdiensterichtlinie PSD2 bringt neue Regeln fürs E-Banking – also für knapp 60 Prozent der Österreicher, die ihre Bankgeschäfte im Internet erledigen. Da es keinen einheitlichen Weg gibt und jede Bank ihr eigenes Süppchen kocht, sind nicht wenige Nutzer verwirrt oder verärgert. Hier die wichtigsten Fragen und Antworten. Warum gibt es überhaupt Änderungen beim E-Banking? Die neuen PSD2-Regeln sollen mehr Sicherheit bei Zahlungsvorgängen bringen und Betrügern das Leben schwerer machen. Sie gelten im E-Banking ab 14. September. Eingeführt wird nun eine Zwei-FaktorAuthentifizierung. Sie bringt eine doppelte Absicherung und reduziert das Risiko, dass Dritte unautorisierten Zugriff auf Finanzdaten bekommen. Beim Einloggen ins digitale Konto und bei Überweisungen müssen Nutzer zwei von drei Sicherheitsmerkmalen erfüllen. Der erste Faktor ist Wissen: etwas, das nur der Kunde weiß, etwa eine PIN oder ein Passwort. Der zweite Faktor ist Besitz – etwa ein Smartphone, Tablet oder PC. Der dritte Faktor sind biometrische Kennzeichen, etwa Fingerabdruck, Gesichtsoder Stimmerkennung. Wie setzen die Banken das um? Es gibt keinen einheitlichen Weg, wie die neuen Regeln umgesetzt werden müssen. Deshalb hat jedes Institut eigene Lösungen entwickelt. Der Großteil der Banken favorisiert Push-TAN. „Wir empfehlen das Verfahren, da es sehr bedienerfreundlich ist und die höchsten Sicherheitsstandards erfüllt“, erklärt Sabina Oberwasserlechner vom Raiffeisenverband Salzburg. Kunden brauchen dafür die jeweilige Authentifizierungs-App der Hausbank. Bei manchen Instituten, etwa Raiffeisen, Erste Bank und Sparkassen, gibt es auch eine PC-Version. In der App werden die benötigten Einmalpasswörter automatisch generiert. Der Bankkunde muss bei einer Überweisung noch bestätigen, dass die Aktion durchgeführt werden soll. Teils werden die SMS-TAN-Verfahren dadurch ersetzt – etwa bei Erste oder Oberbank. Brauche ich jetzt ein Smartphone für meine Bankgeschäfte? Nein. Wer kein Smartphone verwenden möchte, kann bei seiner Bank einen Card-TAN-Generator bestellen. In den allermeisten Fällen gibt es diesen kostenlos. Das Gerät, das einem Taschenrechner ähnelt, generiert bei Bedarf die nötigen Codes. Einige Institute – etwa Bank Austria, Bawag oder Raiffeisen – bieten weiterhin die Möglichkeit an, Codes per SMS zu empfangen und in Kombination mit einem Passwort einzusetzen. „SMS-TAN sind grundsätzlich weiterhin erlaubt und technisch möglich“, erklärt Klaus Grubelnik, Sprecher der Finanzmarktaufsicht (FMA). Den Banken sei aber freigestellt, welche Methoden sie nutzen. Manche hätten sich dagegen entschieden. „Die Frage ist, ob die Kunden das so akzeptieren beziehungsweise für einen guten Service halten.“ Was sagen Konsumentenschützer zu den Änderungen? Die höheren Sicherheitsstandards werden prinzipiell begrüßt, die praktische Umsetzung aber nicht uneingeschränkt. Die Konsumentenschützer der Arbeiterkammer haben derzeit alle Hände voll zu tun. „Beschwerden erreichen uns vor allem von Kunden jener Banken, die SMS-TAN einstellen. Eine zweite große Gruppe sind jene Kunden, die sich schlichtweg nicht mehr auskennen und überfordert sind“, sagt Christian Prantner. Probleme mache etwa, dass sich die neuen Banken-Apps auf Smartphones oder Computern mit alten Betriebssystemen nicht installieren ließen. „Und es gibt jene Gruppe, der die Neuerungen schlichtweg Unbehagen bereiten.“Prantner kritisiert, dass manche Banken die PSD2-Umsetzung zur Abschaffung des SMSTAN-Verfahrens nutzten. „Wir sehen keinen Grund, warum das eingestellt werden sollte. PSD2 soll nicht das Schutzmäntelchen dafür sein, dass einmal mehr Effizienz in den Banken vorangetrieben wird.“ Was sagen die Banken dazu? Sie verweisen darauf, dass die PushTAN-Methode gegenüber den SMS, die etwa umgeleitet werden könnten, sicherer sei. „SMS waren vor 15 Jahren das Beste, heute sind sie es nicht mehr. Mit der neuen App werden Phishing-Betrugsszenarien unterbunden“, sagt Erste-Sprecher Christian Hromatka. Bei der Oberbank heißt es, dass das bisherige SMS-TAN-Verfahren nicht mehr alle nötigen Voraussetzungen erfülle und daher abgelöst werde. Haben schon viele umgestellt? Ein Rundruf bei den größeren Bankinstituten zeigt, dass bereits ein Großteil der Kunden umgestellt ist. Ein nicht unbeträchtlicher Anteil wartet allerdings noch zu. Bei der Erste Bank etwa fehlt noch fast ein Drittel der Nutzer. Bei der Oberbank sind es zwei Drittel. Was passiert, wenn ich bis 14. September nichts gemacht habe? Wer seine Software nicht aktualisiert, läuft Gefahr, keine Überweisungen mehr durchführen zu können. Eine Schonfrist sieht die neue Richtlinie nicht vor. In der Praxis ist es aber möglich, dass ein Institut noch ein Auge zudrückt. „Wer es bis Samstag nicht geschafft hat, wird nicht vor verschlossenen Toren stehen“, sagt etwa Erste-Sprecher Hromatka. Sind die gedruckten TAN-Codes jetzt auch Geschichte? Ja, ab 14. September sind diese endgültig nicht mehr erlaubt. De facto wurden diese in Österreich aber bereits seit 2017 nicht mehr benutzt. „Grundsätzlich wäre die Verwendung noch möglich gewesen, die österreichischen Banken haben von sich aus aber darauf verzichtet“, sagt FMA-Sprecher Grubelnik.