Die neu­en Re­geln des On­li­ne­ban­kings

Ab Sams­tag müs­sen al­le Geld­in­sti­tu­te ei­ne EU-Richt­li­nie be­ach­ten. Und das hat Fol­gen für die Kun­den

Ostthüringer Zeitung (Schmölln) - - Ratgeber - Von Stefen Preißler

Ham­burg.

Die Über­wei­sung am Com­pu­ter ist kom­plett aus­ge­füllt, und dann lässt sie sich nicht ab­schi­cken? Bank­kun­den, die sich nicht mit den ab dem 14. Sep­tem­ber gel­ten­den neu­en Re­geln be­schäf­ti­gen, kön­nen plötz­lich vom On­li­neban­king aus­ge­schlos­sen sein. Ein Über­blick.

War­um gibt es die neu­en Re­geln?

„Die Kre­dit­in­sti­tu­te müs­sen die Vor­ga­ben aus der zwei­ten EUZah­lungs­diens­te­richt­li­nie (PSD 2) in na­tio­na­les Recht um­set­zen. Da­zu ge­hört auch die so­ge­nann­te star­ke Kun­den­au­then­ti­fi­zie­rung“, sagt Syl­vie Er­noult vom Bun­des­ver­band deut­scher Ban­ken. Das soll Be­trü­ge­rei­en beim On­li­neban­king ver­hin­dern.

Aber: Die neu­en Vor­ga­ben ver­kom­pli­zie­ren auch die Ab­läu­fe. Denn je­de On­li­ne-Über­wei­sung muss mit min­des­tens zwei von drei Si­cher­heits­merk­ma­len, so­ge­nann­ten Fak­to­ren, le­gi­ti­miert wer­den: Der Fak­tor „Wis­sen“be­ruht auf ei­nem Pass­wort oder ei­ner PIN, die nur dem Kun­den be­kannt sind. Die EC-Kar­te, der Ge­ne­ra­tor von Trans­ak­ti­ons­num­mern (TAN) oder das Smart­pho­ne ge­hö­ren zum Fak­tor „Be­sitz“, kör­per­li­che Merk­ma­le wie ein Fin­ger­ab­druck zu „Sein“. Zwei der drei Si­cher­heits­merk­ma­le müs­sen an­ge­wandt wer­den.

Gilt das auch, wenn ich nur mei­nen Kon­to­stand wis­sen will?

Wol­len Kun­den von Mit­te Sep­tem­ber an via In­ter­net ih­ren Kon­to­stand ein­se­hen, rei­chen Be­nut­zer­na­me oder Kon­to­num­mer und das Pass­wort nicht mehr aus. Prin­zi­pi­ell gilt das Zwei-Fak­tor-Ver­fah­ren. Aber ei­ni­ge Ban­ken nut­zen ei­ne Aus­nah­me­re­ge­lung der PSD 2, denn sie müs­sen den zwei­ten Si­cher­heits­code nur al­le 90 Ta­ge ab­fra­gen.

Wie kann ich mich bei den vie­len Si­cher­heits­ver­fah­ren ori­en­tie­ren?

Das wird zu­nächst von den Ban­ken be­stimmt, die zwei oder drei Ver­fah­ren vor­ge­ben. Die Stif­tung Wa­ren­test hat de­ren Si­cher­heits­stan­dards ana­ly­siert (sie­he Zweit­text un­ten). Zu­satz­ge­rä­te wer­den da­bei im­mer et­was si­che­rer ein­ge­schätzt als ei­ne App. Fast al­le Ver­fah­ren ha­ben ei­ne sehr ho­he oder ho­he Si­cher­heit. Le­dig­lich bei der SMSTAN gilt die Si­cher­heit als mit­tel­mä­ßig. Wer kei­ne Zu­satz­ge­rä­te kau­fen möch­te, wählt al­so statt des­sen Lö­sun­gen wie die Ver­fah­ren Bes­tSign oder Pus­hTAN, die mit ei­ner Smart­pho­neApp funk­tio­nie­ren. Wer nicht so mit dem Netz ver­traut ist, ent­schei­det sich eher für Chip­TAN, Pho­to-TAN oder SMSTAN.

Wel­che Ver­fah­ren wer­den un­zu­läs­sig?

Ab­ge­schafft wird das On­li­neban­king mit TAN-Lis­ten, weil es nicht mehr den Si­cher­heits­an­for­de­run­gen ent­spricht. Bis­her wird dem Kun­den beim Ab­schi­cken des Trans­ak­ti­ons­auf­trags die Ver­wen­dung ei­ner be­stimm­ten TAN vor­ge­ge­ben, die er aus der Lis­te aus­wählt. Die­ses lan­ge ge­nutz­te Ver­fah­ren ist ab dem 14. Sep­tem­ber al­ler­dings un­zu­läs­sig.

Bin ich oh­ne Smart­pho­ne vom On­li­neban­king aus­ge­schlos­sen?

Fast al­le von die­ser Zei­tung be­frag­ten Ban­ken bie­ten Ver­fah­ren an, für die man kein Smart­pho­ne be­nö­tigt und nicht un­be­dingt mit ei­ner App han­tie­ren muss. Al­ler­dings muss man sich dann ein Zu­satz­ge­rät an­schaf­fen. Le­dig­lich die Bank Santan­der teilt mit, dass ein Han­dy oder Smart­pho­ne Vor­aus­set­zung für das On­li­neban­king sind. Die Post­bank schafft die mo­bi­le TAN ab.

Wel­che Al­ter­na­ti­ven ha­be ich?

Die Post­bank hat zum 8. Sep­tem­ber die mo­bi­le TAN für Pri­vat­kun­den ein­ge­stellt. Die Kun­den kön­nen grund­sätz­lich zwi­schen den Ver­fah­ren Chip-TAN und Bes­tSign wäh­len. Da­zu muss sich der Kun­de al­ler­dings die­ser Ge­rä­te an­schaf­fen. Das Ver­fah­ren Bes­tSign kann al­ler­dings auch oh­ne Zu­satz­ge­rät über die Post­bank-App Fi­nan­z­as­sis­tent ge­nutzt wer­den. Die Frei­ga­be der Trans­ak­ti­on er­folgt dann per Fin­ger­ab­druck oder Pass­wort.

Mit wel­chen Kos­ten muss ich rech­nen?

Wer nicht mit Smart­pho­ne oder Ta­blet agie­ren will, kommt um die An­schaf­fung zu­sätz­li­cher Ge­rä­te in der Re­gel nicht her­um. Die Kos­ten für die­se Ge­rä­te lie­gen zwi­schen 10 Eu­ro und 30 Eu­ro. Die Ge­rä­te für Chip-TAN oder Pho­to-TAN kön­nen auch im Fach­han­del ge­kauft wer­den. Wer wei­ter­hin auf die mo­bi­le TAN setzt, soll­te auf mög­li­che Kos­ten ach­ten. Denn bei der Com­merz­bank kos­tet je­de auf das Han­dy ge­schick­te TAN 12 Cent. Die SMS wird aber nicht nur be­nö­tigt, um ei­ne Über­wei­sung ab­zu­schi­cken, son­dern auch, um sich in sein Kon­to ein­zu­log­gen. So­fern man sich für das Ver­fah­ren ent­schie­den hat und nicht doch lie­ber Pho­toTAN nutzt.

Gel­ten die neu­en Re­geln auch im On­line­han­del?

So­fern der Kun­de mit Kre­dit­kar­te zahlt, ist auch hier ei­ne ZweiFak­tor-Au­then­ti­fi­zie­rung not­wen­dig. Die bis­he­ri­gen Si­cher­heits­merk­ma­le Kre­dit­kar­ten­num­mer und Prüf­zif­fer rei­chen nicht aus, denn sie ent­stam­men ei­nem Fak­tor, dem Be­sitz der Kar­te. Doch bis auf Wei­te­res dür­fen die Un­ter­neh­men im On­line­han­del noch an der al­ten Pra­xis fest­hal­ten, weil sie noch nicht al­le die Vor­aus­set­zun­gen für die neue Pra­xis ha­ben. „Da­mit Ver­brau­cher und Un­ter­neh­men den­noch wei­ter­hin on­li­ne mit der Kre­dit­kar­te be­zah­len kön­nen, wer­den wir für Kre­dit­kar­ten­zah­lun­gen im In­ter­net vor­über­ge­hend nicht auf ei­ner star­ken Kun­den­au­then­ti­fi­zie­rung be­ste­hen“, sagt ein Spre­cher der Fi­nanz­auf­sicht Ba­fin. Wann die­se Über­gangs­re­ge­lung aus­läuft, ist noch nicht fest­ge­legt.

Was än­dert sich bei den Zah­lungs­diens­ten Pay­pal und Pay­di­rekt?

Bei Pay­pal müs­sen sich die meis­ten Kun­den nicht auf Än­de­ru­n­ei­nes gen ein­stel­len. Bis­her wer­den die Zah­lun­gen nur mit ei­nem Be­nut­zer­na­men und ei­nem Pass­wort frei­ge­ge­ben. Die star­ke Kun­den­au­then­ti­fi­zie­rung gilt nur, wenn für die Be­zah­lung die Kre­dit­kar­te hin­ter­legt ist. Häu­fig er­fol­gen sol­che Zah­lun­gen aber im Last­schrift­ver­fah­ren. Pay­di­rekt will of­fen­bar von der 90-Ta­ge-Re­ge­lung Ge­brauch ma­chen. Da­nach reicht für die Be­zah­lung vor­erst wei­ter­hin Be­nut­zer­na­me und Pass­wort. Nur in be­stimm­ten Ab­stän­den wird dann auf das Zwei-Fak­tor-Ver­fah­ren zu­rück­ge­grif­fen, das der Kun­de be­reits bei sei­nem On­li­neban­king nutzt. „Be­son­ders si­cher­heits­be­wuss­te Kun­den kön­nen in ih­rem Pay­di­rekt-Pro­fil ein­stel­len, dass je­de Zah­lung zu­sätz­lich durch ei­nen zwei­ten Fak­tor frei­ge­ge­ben wer­den muss“, sagt Pay­di­rekt-Spre­che­rin Eve­lyn Pau­lus.

Wer haf­tet bei Schä­den?

Die ge­setz­li­che Re­ge­lung sieht vor, dass der Kun­de im Scha­dens­fall bis zum Zeit­punkt der Kon­to­sper­rung mit ma­xi­mal 50 Eu­ro haf­tet. Ei­ni­ge Ban­ken ver­zich­ten auf ei­ne Selbst­be­tei­li­gung.

Kön­nen frem­de Fir­men in mein Kon­to schau­en?

Auch das ist mög­lich. Ban­ken müs­sen künf­tig Dritt­fir­men ei­nen Blick auf das Kon­to des Kun­den er­mög­li­chen. Vor­aus­ge­setzt, die­ser hat zu­ge­stimmt. Bei die­sen Dritt­fir­men kann es sich um ei­nen Kre­dit­an­bie­ter han­deln, der mit dem Blick auf das Kon­to fest­stel­len will, ob der Kun­de kre­dit­wür­dig ist. Oder der Dritt­an­bie­ter sorgt da­für, dass Kon­to­in­for­ma­tio­nen von ver­schie­de­nen Ban­ken für den Kun­den in ei­ner Über­sicht zu­sam­men auf­be­rei­tet wer­den. Die­se Di­enst­leis­ter un­ter­lie­gen da­bei der Ban­ken­auf­sicht Ba­fin und kön­nen nach Zu­stim­mung des Kun­den vier­mal in­ner­halb von 24 St­un­den das Kon­to ein­se­hen.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.