Hamburg. Seit 14. September gelten andere Regeln für das Online-Banking und das Bezahlen im Internet. Die wichtigsten Fragen und Antworten.
Millionen Verbraucher in Deutschland müssen sich beim Online-Banking von alten Gewohnheiten verabschieden. Seit dem 14. September gilt die neue EU-Zahlungsrichtlinie und damit auch ein neues Regelwerk für das Bezahlen im Internet. Für Kunden sollen die Vorgänge sicherer werden, sind aber auch mit einigem Mehr an Aufwand verbunden.
Wir sagen, was sich geändert hat und worauf Bankkunden bei Überweisungen und Logins nun beachten müssen.
Die alte TAN-Liste etwa ist Geschichte, eine Zwei-Faktor-Authentifizierung ist nun Pflicht, manche Kunden benötigen zudem neue Geräte. Das soll für mehr Sicherheit sorgen, macht das Banking aber komplizierter. Die Umstellung lockt auch Kriminelle.
Warnung vor Betrügern
So warnen die Verbraucherzentralen vor Betrügern, die versuchen, die neuen Richtlinien auszunutzen. Es kursierten Phishing-Mails, in denen Bankkunden mit Hinweis auf PSD 2 aufgefordert werden, Kundendaten zu bestätigen. Auch Nutzer von Zahlungsdiensten wie Paypal seien betroffen. Tatsächlich würden die Verbraucher auf gefälschte Portale umgeleitet. Die Verbraucherschützer raten, Mails genau zu prüfen, keinesfalls auf Links oder Anhänge zu klicken und auf derartige Schreiben nicht zu antworten.
Warum gibt es die neuen Regeln fürs Online-Banking?
„Die Kreditinstitute müssen die Vorgaben aus der zweiten EU-Zahlungsdiensterichtlinie (PSD 2) in nationales Recht umsetzen. Dazu gehört auch die sogenannte starke Kundenauthentifizierung“, sagt Sylvie Ernoult vom Bundesverband deutscher Banken. Das soll Betrügereien beim Online-Banking verhindern.
Aber: Die neuen Vorgaben verkomplizieren auch die Abläufe. Denn jede Online-Überweisung muss mit mindestens zwei von drei Sicherheitsmerkmalen, sogenannten Faktoren, legitimiert werden: Der Faktor „Wissen“ beruht auf einem Passwort oder einer PIN, die nur dem Kunden bekannt sind. Die EC-Karte, der Generator von Transaktionsnummern (TAN) oder das Smartphone gehören zum Faktor „Besitz“, körperliche Merkmale wie ein Fingerabdruck zu „Sein“. Zwei der drei Sicherheitsmerkmale müssen angewandt werden.
Gilt das auch, wenn ich nur meinen Kontostand wissen will?
Wollen Kunden von Mitte September an via Internet ihren Kontostand einsehen, reichen Benutzername oder Kontonummer und das Passwort nicht mehr aus. Prinzipiell gilt das Zwei-Faktor-Verfahren. Aber einige Banken nutzen eine Ausnahmeregelung der PSD 2, denn sie müssen den zweiten Sicherheitscode nur alle 90 Tage abfragen.
Wie kann ich mich bei den vielen Sicherheitsverfahren orientieren?
Das wird zunächst von den Banken bestimmt, die zwei oder drei Verfahren vorgeben. Die Stiftung Warentest hat deren Sicherheitsstandards analysiert. Zusatzgeräte werden dabei immer etwas sicherer eingeschätzt als eine App. Fast alle Verfahren haben eine sehr hohe oder hohe Sicherheit.
Lediglich bei der SMS-TAN gilt die Sicherheit als mittelmäßig. Wer keine Zusatzgeräte kaufen möchte, wählt also Lösungen wie die Verfahren BestSign oder Push-TAN, die mit einer App funktionieren. Wer nicht so mit dem Netz vertraut ist, entscheidet sich eher für Chip-TAN, Photo-TAN oder SMS-TAN.
Welche Verfahren werden unzulässig?
Abgeschafft wird das Onlinebanking mit TAN-Listen, weil es nicht mehr den Sicherheitsanforderungen entspricht. Bisher wird dem Kunden beim Abschicken des Transaktionsauftrags die Verwendung einer bestimmten TAN vorgegeben, die er aus der Liste auswählt. Dieses Verfahren ist ab dem 14. September unzulässig.
Die neuen Regeln für Online-Zahlungen hatten sich länger angekündigt, doch nicht alle Kunden wussten, was sie erwartet. Während die Umstellung aber für Kunden nicht immer nachzuvollziehen war, nutzten Betrüger die Umstellung auf neue TAN-Verfahren immer wieder aus.
Bin ich ohne Smartphone vom Onlinebanking ausgeschlossen?
Fast alle von dieser Zeitung befragten Banken bieten Verfahren an, für die man kein Smartphone benötigt und nicht unbedingt mit einer App hantieren muss. Allerdings muss man sich dann ein Zusatzgerät anschaffen. Lediglich die Bank Santander teilt mit, dass ein Handy oder Smartphone Voraussetzung für das Onlinebanking sind. Die Postbank schafft die mobile TAN ab.
Welche Alternativen habe ich?
Die Postbank hat zum 8. September die mobile TAN für Privatkunden eingestellt. Die Kunden können grundsätzlich zwischen den Verfahren Chip-TAN und BestSign wählen. Dazu muss sich der Kunde allerdings eines dieser Geräte anschaffen. Das Verfahren BestSign kann allerdings auch ohne Zusatzgerät über die Postbank-App Finanzassistent genutzt werden. Die Freigabe der Transaktion erfolgt dann per Fingerabdruck oder Passwort.
Mit welchen Kosten muss ich rechnen?
Wer nicht mit Smartphone oder Tablet agieren will, kommt um die Anschaffung zusätzlicher Geräte in der Regel nicht herum. Die Kosten für diese Geräte liegen zwischen 10 Euro und 30 Euro. Die Geräte für Chip-TAN oder Photo-TAN können auch im Fachhandel gekauft werden.
Wer weiterhin auf die mobile TAN setzt, sollte auf mögliche Kosten achten. Denn bei der Commerzbank kostet jede auf das Handy geschickte TAN 12 Cent. Die SMS wird aber nicht nur benötigt, um eine Überweisung abzuschicken, sondern auch, um sich in sein Konto einzuloggen. Sofern man sich für das Verfahren entschieden hat und nicht doch lieber Photo-TAN nutzt.
Gelten die neuen Regeln auch im Onlinehandel?
Sofern der Kunde mit Kreditkarte zahlt, ist auch hier eine Zwei-Faktor-Authentifizierung notwendig. Die bisherigen Sicherheitsmerkmale Kreditkartennummer und Prüfziffer reichen nicht aus, denn sie entstammen einem Faktor, dem Besitz der Karte.
Doch bis auf Weiteres dürfen die Unternehmen im Onlinehandel noch an der alten Praxis festhalten, weil sie noch nicht alle die Voraussetzungen für die neue Praxis haben. „Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, werden wir für Kreditkartenzahlungen im Internet vorübergehend nicht auf einer starken Kundenauthentifizierung bestehen“, sagt ein Sprecher der Finanzaufsicht Bafin. Wann diese Übergangsregelung ausläuft, ist noch nicht festgelegt.
weitere Videos
Was ändert sich bei den Zahlungs- diensten Paypal und Paydirekt?
Bei Paypal müssen sich die meisten Kunden nicht auf Änderungen einstellen. Bisher werden die Zahlungen nur mit einem Benutzernamen und einem Passwort freigegeben. Die starke Kundenauthentifizierung gilt nur, wenn für die Bezahlung die Kreditkarte hinterlegt ist.
Häufig erfolgen die Zahlungen aber im Lastschriftverfahren. Paydirekt will offenbar von der 90-Tage-Regelung Gebrauch machen. Danach reicht für die Bezahlung weiterhin Benutzername und Passwort. Nur in bestimmten Abständen wird auf das Zwei-Faktor-Verfahren zurückgegriffen, das der Kunde bei seinem Onlinebanking nutzt.
„Besonders sicherheitsbewusste Kunden können in ihrem Paydirekt-Profil einstellen, dass jede Zahlung zusätzlich durch einen zweiten Faktor freigegeben werden muss“, sagt Paydirekt-Sprecherin Evelyn Paulus.
Wer haftet bei Schäden?
Die gesetzliche Regelung sieht vor, dass der Kunde im Schadensfall bis zum Zeitpunkt der Kontosperrung mit maximal 50 Euro haftet. Einige Banken verzichten auf eine Selbstbeteiligung.
Können fremde Firmen in mein Konto schauen?
Auch das ist möglich. Banken müssen künftig Drittfirmen einen Blick auf das Konto des Kunden ermöglichen. Vorausgesetzt, dieser hat zugestimmt. Bei diesen Drittfirmen kann es sich um einen Kreditanbieter handeln, der mit dem Blick auf das Konto feststellen will, ob der Kunde kreditwürdig ist.
Oder der Drittanbieter sorgt dafür, dass Kontoinformationen von verschiedenen Banken für den Kunden in einer Übersicht aufbereitet werden. Diese Dienstleister unterliegen der Bankenaufsicht Bafin und können nach Zustimmung des Kunden bis zu viermal innerhalb von 24 Stunden das Konto einsehen.
Was Bankkunden für das Plus an Sicherheit benötigen
Für die Chip-TAN wird ein Gerät benötigt, das wie ein kleiner Taschenrechner aussieht und in einem Schlitz die EC-Karte aufnehmen kann. Das Gerät muss einmalig mit dem Konto synchronisiert werden. Nachdem die Überweisungsdaten am PC eingegeben wurden, erscheint eine Grafik, die mit dem Gerät gescannt werden muss. Danach erzeugt das Gerät eine TAN. Kosten: ab 10 Euro.
Das Zusatzgerät BestSign sieht aus wie ein USB-Stick oder wie eine Scheckkarte und muss mit einem Code aktiviert und mit dem PC verbunden werden. Nach dem Eingeben der Überweisungsdaten am PC können diese mit dem Stick per Knopfdruck bestätigt werden. Eine TAN gibt es in diesem Fall nicht. Das Gerät kostet ab 30 Euro. Das BestSign-Verfahren kann auch über eine App auf dem Smartphone angewendet werden. Dann ist kein Zusatzgerät erforderlich.
Für das Photo-TAN-Verfahren ist ein Lesegerät erforderlich, das ab 25 Euro kostet. Nach dem Ausfüllen der Überweisung am Computer wird auf dem Bildschirm eine farbige Grafik erzeugt, die mit dem Lesegerät gescannt wird. Das Lesegerät zeigt dann die Überweisungsdaten und eine TAN an. Alternativ kann eine App auf das Smartphone geladen werden. Die Überweisung wird dann mit dem Smartphone gescannt.
Das QR-TAN-Verfahren funktioniert ausschließlich über eine App. Nach dem Ausfüllen der Überweisung erscheint ein QR-Code auf dem Bildschirm, der dann mit dem Smartphone gescannt werden muss, bevor eine TAN generiert wird.
Für das Push-TAN-Verfahren gibt es sehr viele Bezeichnungen wie VR SecureGo, Easy-TAN oder TAN2go. Dazu muss eine App Ihrer Bank auf das Smartphone geladen werden. Die App ist mit einem Passwort geschützt, das auch für die Freigabe der Überweisung benötigt wird. In der App wird dann die TAN angezeigt.
Die SMS-TAN ist eines der bekanntesten Verfahren, gilt aber nicht mehr als so sicher. Es ist nur ein einfaches Mobiltelefon erforderlich. Nach dem Ausfüllen der Überweisung wird eine TAN angefordert, die dann auf dem Mobiltelefon zusammen mit den Zahlungsdaten erscheint.