Was schreibt die EU-Richtlinie konkret vor?
Einfach gesagt: Wer Geldgeschäfte im Internet erledigt, muss auf mindestens zwei verschiedenen Wegen seine Identität nachweisen, um Betrug zu erschweren („Zwei-Faktor-Authentifizierung“). Bei Überweisungen, Kartentransaktionen, aber auch beim Einstieg ins gewohnte Online-Banking-System müssen daher mindestens zwei von drei Elementen zur Authentifizierung benutzt werden. Die drei Elemente sind „Wissen“ (Verfügernummer, Passwort, Sicherheitsabfrage), „Besitz“ (Smartphone, Kartenlesegerät) oder „Biometrie“ (Fingerabdruck, Iris-Scan).
Was hat der Bankkunde davon?
Eine höhere Sicherheit bei Geldgeschäften im Internet, aber auch einen höheren Aufwand und wenig Wahlfreiheit. Wer die neuen Vorgaben seiner Bank ignoriert, verliert früher oder später den Zugang zum Online-Banking.
Müssen jetzt alle Online-Banking-Systeme umgestellt werden?
Nein. Die heimischen Banken setzen bereits auf Zwei-Faktor-Authentifizierung. Wer Überweisungen im Online-Banking freigeben möchte, erhält eine Transaktionsnummer (TAN) in Form eines Ziffern-/Buchstabencodes auf sein Handy geschickt. Damit ist ein zweites Gerät im Spiel und das SMS-TAN-Verfahren entspricht der Richtlinie. Nicht mehr erlaubt sind ab 14. September Papierlisten (TAN-Listen). Einige Banken bleiben vorerst beim SMS-TAN-Verfahren, weiten es aber auf den Einstieg ins Online-Banking-System aus. Wer länger als 90 Tage nicht auf sein Konto zugegriffen hat, muss beim Neueinstieg zusätzlich eine TAN eingeben. Andere Banken erhöhen das Sicherheitslevel und steigen gleich auf neue Freigabe-Verfahren um. Am weitesten verbreitet ist derzeit die Push-TAN (z.B. s-Identity bei George, MeinELBA). Es gibt aber auch noch andere, etwa Foto-TAN über QR-Code.
Was genau ist eine Push-TAN?
Die Push-TAN funktioniert ähnlich wie die SMS-TAN, es wird aber kein Ziffern/Buchstabencode per SMS aufs Handy versendet. Die Freigabe einer Transaktion erfolgt über eine spezielle App, die einmalig auf Smartphone oder PC installiert werden muss. Diese App verknüpft sich mit dem Konto und ist zusätzlich mittels persönlichem Passwort oder Fingerabdruck geschützt. Bei jeder Transaktion am Konto, auch beim Einstieg, wird automatisch eine Nachricht an diese App geschickt. Um die Transaktion freizugeben, genügt der Abgleich einer Prüfziffer und die Freigabe per App.
Welche Vor- und Nachteile hat das Push-TAN-Verfahren?
Da die App passwortgeschützt ist und die Übertragung verschlüsselt erfolgt, ist das Verfahren sicherer als das SMS-TAN-Verfahren. Eine SMS kann von Betrügern abgefangen werden oder nicht ankommen. Der Nachteil: Ohne Smartphone und brauchbarer mobiler Internetverbindung gibt es kein Bankgeschäft. Wer kein Smartphone hat oder verwenden will, muss sich selbst um alternative Lösungen zur Push-TAN kümmern. Bei Verlust oder Diebstahl des Smartphones entstehen viele Unannehmlichkeiten, auch ein Handy-Wechsel ist mühsam. Die App kann nur über Apples App Store oder Google Play Store heruntergeladen werden und muss laufend aktualisiert werden. Die Erste Bank bietet auch eine Desktop-PC-Alternative für die s-Identity-App an.
Können Zusatzkosten beim neuen Push-TAN-Verfahren anfallen?
Der Verein für Konsumenteninformation (VKI) kritisiert, dass die Banken für alternative Verfahren mittels TAN-Generatoren (cardTAN) extra Gebühren verlangen. Auch diverse Zusatzservices rund um das Bankkonto könnten kostenpflichtig sein.
Was ändert sich beim Online-Shopping?
Für eine Kartenzahlung im Internet reichte bisher meist die Eingabe von Kredit- (oder Debit)kartennummer, Ablaufdatum und dreistelliger CVC-Sicherheitsnummer. Künftig ist auch hier eine weitere, zweite Authentifizierung über Push-TAN, Sicherheitsabfrage etc. für die Freigabe Pflicht. Beim Bezahlen auf Rechnung ändert sich nichts. Weil viele Online-Händler die Umrüstung nicht schaffen, gewährte die Finanzmarktaufsicht einen Aufschub. Wie lange ist noch unklar, Ende September gibt es weitere Gespräche. Wegen der höheren Komplexität beim Bezahlen fürchten Händler mehr Kaufabbrüche.
Kommentare