Verloren im TAN-Wald
Online-Banking. Was sich bei Geldgeschäften im Web ändert und was Kunden wissen sollten
Push-TAN, x-TAN, s-Identity, 3D-Secure, ProtectBuy ... Hä? Wer sich in der neuen Welt der Geldgeschäfte im Internet zurechtfinden will, muss erst einmal neue Begriffe lernen. Dazu kommt: Sich für neue Verfahren registrieren, Apps herunterladen und noch mehr Codes und Passwörter merken. Eigentlich sollen die ab 14. September geltenden Regeln das OnlineBanking sicherer machen, stattdessen führen sie zur großen Verunsicherung bei Bankkunden. Der KURIER fasst die wichtigsten Fragen zur Umsetzung der EU-Zahlungsdiensterichtline (PSD2 Payment Services Directive II) zusammen.
? Was schreibt die EURichtlinie konkret
vor?
Einfach gesagt: Wer Geldgeschäfte im Internet erledigt, muss sich auf mindestens zwei unterschiedliche Wege identifizieren, um Betrug zu erschweren („2-Faktor-Authentifizierung“). Bei Überweisungen, Kartentransaktionen, aber auch beim Einstieg ins gewohnte OnlineBanking-System müssen daher mindestens zwei von drei Elementen zur Authentifizierung benutzt werden. Die drei Elemente sind „Wissen“(Verfügernummer, Passwort, Sicherheitsabfrage), „Besitz“(Smartphone, Kartenlesegerät) oder „Biometrie“(Fingerabdruck, Iris-Scan).
? Was hat der Bankkunde davon?
Eine höhere Sicherheit bei Geldgeschäften im Internet, aber auch einen höheren Aufwand und wenig Wahlfreiheit. Wer die neuen Vorgaben seiner Bank ignoriert, verliert früher oder später den Zugang zum OnlineBanking.
? Müssen jetzt alle Online-Banking-Systeme umgestellt werden?
Nein. Die heimischen Banken setzen bereits auf 2-Faktor-Authentifizierung. Wer Überweisungen im OnlineBanking freigeben möchte, erhält eine Transaktionsnummer (TAN) in Form eines Ziffern/Buchstabencodes auf sein Handy geschickt. Damit ist ein zweites Gerät im Spiel und das SMSTAN-Verfahren entspricht der Richtlinie. Nicht mehr erlaubt sind ab 14. September Papierlisten (TAN-Listen). Einige Banken bleiben vorerst beim SMS-TAN-Verfahren, weiten es aber auf den Einstieg ins Online-BankingSystem aus. Wer länger als 90 Tage nicht auf sein Konto zugegriffen hat, muss beim Neueinstieg eine TAN eingeben. Andere Banken erhöhen das Sicherheitslevel und steigen gleich auf neue FreigabeVerfahren um. Am verbreitetsten ist derzeit die PushTAN (z. B. s-Identity bei George, MeinELBA). Es gibt aber auch noch andere, etwa photo-TAN über QR-Code.
? Was genau ist eine Push-TAN?
Die Push-TAN funktioniert ähnlich wie die SMS-TAN, es wird aber kein Ziffern/Buchstabencode per SMS aufs Handy versendet. Die Freigabe einer Transaktion erfolgt über eine spezielle App, die einmalig auf Smartphone oder PC installiert werden muss. Diese App verknüpft sich mit dem Konto und ist zusätzlich mittels persönlichem Passwort oder Fingerabdruck geschützt. Bei jeder Transaktion am Konto, auch beim Einstieg, wird automatisch eine Nachricht an diese App geschickt. Um die Transaktion freizugeben, genügt der Abgleich einer Prüfziffer und die Freigabe per App.
? Welche Vor- und Nachteile hat das Push-TAN-Verfahren?
Da die App passwortgeschützt ist und die Übertragung verschlüsselt erfolgt, ist das Verfahren sicherer als das SMS-TAN-Verfahren. Eine SMS kann von Betrügern abgefangen werden oder nicht ankommen. Nachteile: Ohne Smartphone und brauchbarer mobiler Internetverbindung kein Bankgeschäft. Bei Verlust oder Diebstahl des Smartphones entstehen viele Unannehmlichkeiten, auch ein HandyWechsel ist wegen neuerlicher Aktivierung mühsam. Die App kann nur über Apples App Store oder Google Play Store heruntergeladen werden und muss laufend aktualisiert werden. Die Erste Bank bietet auch eine Desktop-PC-Alternative für die s-Identity-App an.
? Können Zusatzkosten beim neuen PushTAN-Verfahren anfallen?
Der Verein für Konsumenteninformation (VKI) kritisiert, dass die Banken für alternative Verfahren mittels TANGeneratoren (cardTAN) extra Gebühren verlangen. Auch diverse Zusatzservices rund um das Bankkonto können kostenpflichtig sein.
? Was ändert sich beim Online-Shopping?
Für eine Kartenzahlung im Internet reichte bisher meist die Eingabe von Kredit(oder Debit)kartennummer, Ablaufdatum und dreistelliger CVC-Sicherheitsnummer auf der Rückseite der Karte. Künftig ist auch hier eine weitere, zweite Authentifizierung über Push-TAN, Sicherheitsabfrage etc. für die Freigabe Pflicht. Beim Bezahlen auf Rechnung ändert sich nichts. Weil viele OnlineHändler die technische Umrüstung nicht zeitgerecht schafften, gewährte ihnen die Finanzmarktaufsicht (FMA) einen Aufschub. Wie lange ist noch unklar, Ende September gibt es weitere Gespräche. Wegen der höheren Komplexität beim Bezahlen fürchten Händler mehr Kaufabbrüche.