So funktioniert Online-Banking in Zukunft
Ab dem 14. September gilt eine neue EU-weite Richtlinie für den Zahlungsverkehr. Das hat Folgen für Überweisungen im Internet und auch das Einkaufen im Netz. Ein Überblick, was sich genau ändert
Frankfurt am Main Viele Bankkunden in Deutschland müssen sich von einer Gewohnheit verabschieden: Beim Online-Banking am heimischen Computer können sie Überweisungen künftig nicht mehr durch Eingabe einer sechsstelligen Ziffernfolge freigeben, die sie von einer gedruckten Liste abtippen. Denn die Papierlisten mit nummerierten Transaktionsnummern (TAN) werden abgeschafft. Vom 14. September an dürfen Banken nach EURecht dieses sogenannte iTANVerfahren für Überweisungen vom Girokonto nicht mehr anbieten. Die Neuregelung ist Teil einer größeren Umstellung.
Warum werden die Papierlisten abgeschafft?
Grund ist die europäische Zahlungsdiensterichtlinie („Payment Service Directive“/„PSD2“). Mit ihr will Brüssel den Zahlungsverkehr in der Europäischen Union für Verbraucher bequemer und sicherer machen und den Wettbewerb fördern. Die Richtlinie schreibt unter anderem vor, dass die für das Online-Banking notwendigen Transaktionsnummern künftig dynamisch – also aktuell – erzeugt werden. Das geht natürlich nicht, wenn die TAN schon auf Papier hinterlegt ist.
Was bedeutet das für Kunden? Beim Online-Banking und beim Einkaufen im Internet gilt künftig die gesetzliche Pflicht zur „starken Kundenauthentifizierung“. Das heißt: Jeder Kunde muss seine Identität in jedem Fall mit zwei der drei folgenden Möglichkeiten nachweisen: „Wissen“(etwa eine Geheimnummer/PIN), „Besitz“(etwa sein Smartphone oder die Original-Zahlungskarte), „Sein“(biometrische Merkmale wie etwa ein Fingerabdruck). Um eine Überweisung im Internet zu tätigen, brauchen Kunden dann zum Beispiel die PIN und eine per SMS aufs Handy geschickte TAN.
Wie ist es bei Zahlungen per Kreditkarte?
Auch bei Kartenzahlungen im Internet müssen sich Verbraucher künftig grundsätzlich mit zwei Faktoren identifizieren. Bei Kreditkarten sind die Vorgaben besonders streng, denn Nummer und Prüfziffer dieser Karten können relativ leicht ausgespäht werden. Darum reicht der Besitz der Karte nicht aus. Verbraucher brauchen für Kreditkartenzahlungen – etwa beim Online-Shopping – nach den neuen Regeln zwei weitere Sicherheitsfaktoren: zum Beispiel ein Passwort und eine TAN. Weil es im Handel bei der Umstellung hakt, lässt die Finanzaufsicht BaFin vorünoch die bisherigen Sicherheitsbestimmungen gelten.
Wie bekommt man künftig die TAN? Für jeden Auftrag benötigen Kunden eine eigens erstellte TAN. Diese kann sich der Kunde beispielsweise per SMS auf eine zuvor bei der Bank hinterlegte Handynummer schicken lassen („mobileTAN“/„mTAN“). Auch ein spezieller TAN-Generator kann zum Einsatz kommen. Dieses Gerät erzeugt zusammen mit der Bankkarte eine TAN fürs OnlineBanking („chipTAN-Verfahren“). Manche Institute bieten ein „PhotoTAN“-Verfahren an: Dabei erscheint im Online-Banking des Kunden ein Code – also ein Bild –, der mit dem Handy abfotografiert wird. Daraufhin wird eine TAN generiert. Warum gelten die Papierlisten als besonders unsicher?
Kriminelle versuchen immer wieder Bankkunden dazu zu bringen, PIN und TAN zu verraten – etwa, indem sie gefälschte Websites schalten oder Verbraucher per E-Mail oder SMS auf die falsche Fährte locken. Wenn dann noch die per Post verschickten gedruckten iTAN-Listen in falsche Hände geraten, können Kriminelle das Konto plündern.
Sind andere Verfahren sicherer? Sogenannte dynamische Legitimationsverfahren haben den Vorteil, dass eine TAN – anders als bei der gedruckten iTAN-Liste – jeweils neu erstellt wird. Diese Nummern sind dann an den jeweiligen Auftrag gekoppelt und zeitlich begrenzt gülbergehend tig. Allerdings gibt es auch Bedenken. „Das mTAN-Verfahren (wenn die TAN per SMS versendet wird, Anm. d. Red.) ist zwar praktisch und benutzerfreundlich, birgt aber einige Risiken“, warnt das Bundesamt für Sicherheit in der Informationstechnik. „Unter Umständen können Kriminelle die zur Authentifizierung verschickten SMS-Nachrichten abfangen oder umleiten.“
Was ändert sich noch für Bankkunden?
Die „PSD2“bricht zudem das Monopol der Banken beim Zugriff auf Kontodaten. Künftig müssen Geldhäuser auch Drittanbietern wie Finanz-Start-ups (Fintechs) den Zugriff auf Daten ihrer Kunden ermöglichen. So gibt es Firmen, die Tagesgeldzinsen verschiedener Banken vergleichen und den Geldtransfer dorthin anbieten. Andere helfen Verbrauchern beim Sparen, indem sie automatisch kleine Beträge zur Seite legen. Banken sind von der Neuregelung alles andere als begeistert. Denn wer weiß, wie viel Geld Kunden auf dem Konto haben und für was sie es ausgeben, kann ihnen leicht weitere Dienste anbieten – Baufinanzierungen etwa, Kredite oder Versicherungen.
Wer kann dann auf mein Konto zugreifen?
Verbraucher müssen nicht fürchten, dass Firmen unkontrolliert auf ihre Daten zugreifen. Bankkunden müssen die Weitergabe von Daten erlauben. Dann geschieht der Zugriff über die Hausbank und nur für den angefragten Zweck. Das maschinengesteuerte Auslesen von Girokonten, das Auskunft über sämtliche Zahlungen gibt, hat die EU verboten. Die Finanzaufsicht BaFin stellte Mitte August fest, dass die Technik noch nicht reibungslos funktioniert. Daher müssen die Geldinstitute nachbessern.