Internet

Neue Regeln: Das Onlinebanking wird bald komplizierter

Onlinebanking wird komplizierter

Onlinebanking wird komplizierter

Foto: imago images / Westend61

Wer jetzt nicht umstellt, kann bald keine Überweisungen mehr ausführen. Spätestens ab 14. September gelten neue Regeln.

Hamburg. Die Überweisung am Computer komplett ausgefüllt, und dann lässt sie sich nicht abschicken? Das kann Bankkunden bald passieren, wenn sie sich nicht mit den neuen Regeln beim Onlinebanking beschäftigen, die spätestens vom 14. September an gelten.

Zwar informieren die Geldinstitute auf ihrer Internetseite und per Brief. Doch wer das nicht beachtet, kann plötzlich vom Onlinebanking ausgeschlossen sein. Warum gibt es Änderungen? Was bedeutet das für Bankkunden? Muss ich mir zusätzliche Geräte anschaffen? Brauchen jetzt alle ein Smartphone? Das Abendblatt sprach mit Experten und beantwortet die wichtigsten Fragen.

Warum gibt es die neuen Regelungen?

„Die Kreditinstitute müssen die Vorgaben aus der zweiten EU-Zahlungsdienstrichtlinie (PSD 2) in nationales Recht umsetzen. Dazu gehört auch die sogenannte starke Kundenauthentifizierung“, sagt Sylvie Ernoult vom Bundesverband deutscher Banken. Das soll Betrügereien beim Onlinebanking verhindern, aber die neuen Vorgaben verkomplizieren auch die Abläufe. Denn jede Online-Überweisung muss mit mindestens zwei von drei Faktoren (Sicherheitsmerkmale) legitimiert werden. „Verbraucher müssen sich darauf einstellen, dass elektronische Zahlungen von Mitte September an etwas komplizierter werden“, sagt Frank Christian Pauli vom Bundesverband der Verbraucherzentralen. Um diese Faktoren geht es: Wissen beruht auf einem Passwort oder einer PIN, die nur dem Kunden bekannt ist. Die EC-Karte, der Generator von Transaktionsnummern (TAN) oder das Smarthome gehören zum Faktor Besitz. Körperliche Merkmale wie ein Fingerabdruck gehören zum dritten Faktor Sein. Zwei der drei Sicherheitsmerkmale müssen beim Onlinebanking angewandt werden.

Gilt das auch, wenn ich nur meinen Kontostand wissen will?

Wollen Kunden von Mitte September an via Internet ihren Kontostand einsehen, reichen der Benutzername oder Kontonummer und das Passwort nicht mehr aus. Prinzipiell gilt das Zwei-Faktor-Verfahren. Aber einige Banken nutzen eine Ausnahmeregelung der PSD 2, denn sie müssen den zweiten Sicherheitscode nur alle 90 Tage abfragen. Von dieser Ausnahmeregelung machen folgende Banken Gebrauch, wie eine Abendblatt-Umfrage unter 15 Geldinstituten ergab: Hamburger Sparkasse (Haspa), HypoVereinsbank, Santander-Bank, Sparkasse Holstein, Comdirect Bank und ING.

Wie kann ich mich bei den vielen Sicherheitsverfahren orientieren?

Das wird zunächst von den Banken bestimmt, die zwei oder drei Verfahren vorgeben (s. Tabelle in der Grafik). In dem Infokasten (siehe unten) sind die Verfahren auf Basis einer Einschätzung von Stiftung Warentest nach ihrem Sicherheitsstandard angeordnet. Zusatzgeräte werden dabei immer etwas sicherer eingeschätzt als eine App. Fast alle Verfahren haben eine sehr hohe oder hohe Sicherheit. Lediglich bei der SMS-TAN gilt die Sicherheit als mittelmäßig. Wer sich keine Zusatzgeräte anschaffen möchte, wählt also Lösungen wie die Verfahren BestSign oder Push-TAN, die mit einer App funktionieren. Wer nicht so mit dem Internet vertraut ist, entscheidet sich eher für Chip-TAN, Photo-TAN oder SMS-TAN.

Welche Verfahren sind nicht mehr zulässig?

Abgeschafft wird das Onlinebanking mit TAN-Listen, weil es nicht mehr den Sicherheitsanforderungen entspricht. Bisher wird dem Kunden beim Abschicken des Transaktionsauftrags die Verwendung einer bestimmten TAN vorgegeben, die er aus der Liste auswählt. Dieses Verfahren ist vom 14. September an nicht mehr zulässig. „Kunden, die dieses Verfahren jetzt noch nutzen, müssen sich also auf alle Fälle umstellen“, sagt Kay Görner von den Finanzmarktwächtern der Verbraucherzentralen.

Bin ich ohne Smartphone vom Onlinebanking ausgeschlossen?

Fast alle vom Abendblatt befragten Banken bieten Verfahren an, für die man kein Smartphone benötigt und nicht unbedingt mit einer App hantieren muss. Allerdings muss man sich dann ein Zusatzgerät anschaffen. So können diese Kunden bei der Commerzbank und der Deutschen Bank das Photo-TAN-Verfahren nutzen, für das ein spezielles Lesegerät erforderlich ist. Die Haspa bietet den Kunden ohne Handy oder Smartphone die Chip-TAN an. Lediglich die Bank Santander teilt in der Umfrage mit, dass ein Handy oder Smartphone Voraussetzung für das Onlinebanking sind.

Die Postbank schafft die mobile TAN ab. Welche Alternativen habe ich?

Die Postbank stellt zum 8. September die mobile TAN für Privatkunden ein. Ursprünglich sollte das schon Mitte August erfolgen. Da die Lieferzeit der von ihr angebotenen TAN-Generatoren jedoch bei sechs Wochen liegt, wurde die Frist jetzt verlängert. „Wir wollen unseren Kunden damit mehr Zeit für die Umstellung geben“, sagt Kerstin Lerch-Palm von der Postbank. In den Postbank-Filialen seien aber ausreichend TAN-Generatoren vorhanden. Die Kunden können grundsätzlich zwischen den Verfahren Chip-TAN und BestSign wählen (s. Infokasten). Dazu muss sich der Kunde allerdings eines dieser Geräte anschaffen. Das Verfahren BestSign kann allerdings auch ohne Zusatzgerät über die Postbank-App Finanzassistent genutzt werden. Die Freigabe der Transaktion erfolgt dann per Fingerabdruck oder auch mit einem Passwort.

Mit welchen Kosten muss ich rechnen?

Wer nicht mit Smartphone oder Tablet agieren will, kommt um die Anschaffung zusätzlicher Geräte in der Regel nicht umhin. Die Kosten für die Zusatzgeräte liegen zwischen 10 Euro (Sparda-Bank Hamburg) und 30 Euro (Commerzbank). Die Geräte für Chip-TAN oder Photo-TAN können auch im Fachhandel gekauft werden. Wer weiterhin auf die mobile TAN setzt, sollte auf mögliche Kosten achten. Denn bei der Commerzbank kostet jede auf das Handy geschickte TAN 12 Cent. Der Preis wurde gerade um 33 Prozent erhöht. Die SMS wird aber nicht nur benötigt, um eine Überweisung abzuschicken, sondern wird auch jedes Mal fällig, wenn man sich in sein Konto einloggt. Sofern man sich für das Verfahren entschieden hat und nicht doch lieber Photo-TAN nutzt.

Gelten die neuen Regelungen auch im Onlinehandel?

Sofern der Kunde mit der Kreditkarte bezahlt, ist auch hier eine Zwei-Faktor-Authentifizierung notwendig. Die bisherigen Sicherheitsmerkmale Kreditkartennummer und Prüfziffer reichen nicht aus, denn sie entstammen einem Faktor, dem Besitz der Karte. Doch bis auf Weiteres dürfen die Unternehmen im Onlinehandel noch an der alten Praxis festhalten, weil sie noch nicht alle die Voraussetzungen für die neue Praxis haben. „Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, werden wir für Kreditzahlungen im Internet vorübergehend nicht auf einer starken Kundenauthentifizierung bestehen“, sagt ein Sprecher der Finanzaufsicht BaFin. Wann diese Übergangsregelung ausläuft, ist noch nicht festgelegt.

Was ändert sich bei den Zahlungs- diensten Paypal und Paydirekt?

Bei Paypal müssen sich die meisten Kunden nicht auf Änderungen einstellen. Bisher werden die Zahlungen lediglich mit einem Benutzernamen und einem Passwort freigegeben. Die starke Kundenauthentifizierung gilt nur, wenn für die Bezahlung die Kreditkarte hinterlegt ist. Häufig erfolgen die Zahlungen aber im Lastschriftverfahren. Paydirekt konnte keine Angaben dazu machen, was sich für die Kunden bei dem neuen Verfahren ändern wird.

Wer haftet bei Schäden?

Die gesetzliche Regelung sieht vor, dass der Kunde im Schadensfall bis zum Zeitpunkt der Kontosperrung mit maximal 50 Euro haftet. Folgende Banken verzichten auf eine Selbstbeteiligung: Commerzbank, Deutsche Bank, HypoVereinsbank, Postbank, Sparda-Bank Hamburg, Targobank, DKB, und ING.

Können fremde Firmen in mein Konto schauen?

Auch das ist möglich. Banken müssen künftig Drittfirmen einen Blick auf das Konto des Kunden ermöglichen. Allerdings setzt das die Zustimmung des Kunden voraus. Bei diesen Drittfirmen kann es sich um einen Kreditanbieter handeln, der mit dem Blick auf das Konto feststellen will, ob der Kunde kreditwürdig ist. Oder der Drittanbieter sorgt dafür, dass Kontoinformationen von verschiedenen Banken für den Kunden in einer Übersicht aufbereitet werden. Diese Dienstleister unterliegen der Bankenaufsicht BaFin und können nach Zustimmung des Kunden bis zu viermal innerhalb von 24 Stunden das Konto einsehen.

Was man für das Onlinebanking künftig benötigt

Für die Chip-TAN wird ein Gerät benötigt, das wie ein kleiner Taschenrechner aussieht und in einem Schlitz die EC-Karte aufnehmen kann. Das Gerät muss einmalig mit dem Konto synchronisiert werden. Nachdem die Überweisungsdaten am PC eingegeben wurden, erscheint eine Grafik, die mit dem Gerät gescannt werden muss. Danach erzeugt das Gerät eine TAN. Kosten: ab 10 Euro.

Das Zusatzgerät BestSign sieht aus wie ein USB-Stick oder wie eine Scheckkarte und muss mit einem Code aktiviert und mit dem PC verbunden werden. Nach dem Eingeben der Überweisungsdaten am PC können diese mit dem Stick per Knopfdruck bestätigt werden. Eine TAN gibt es in diesem Fall nicht. Das Gerät kostet ab 30 Euro. Das BestSign-Verfahren kann auch über eine App auf dem Smartphone angewendet werden. Dann ist kein Zusatzgerät erforderlich.

Für das Photo-TAN-Verfahren ist ein Lesegerät erforderlich, das ab 25 Euro kostet. Nach dem Ausfüllen der Überweisung am Computer wird auf dem Bildschirm eine farbige Grafik erzeugt, die mit dem Lesegerät gescannt wird. Das Lesegerät zeigt dann die Überweisungsdaten und eine TAN an. Alternativ kann eine App auf das Smartphone geladen werden. Die Überweisung wird dann mit dem Smartphone gescannt.

Das QR-TAN-Verfahren funktioniert ausschließlich über eine App. Nach dem Ausfüllen der Überweisung erscheint ein QR-Code auf dem Bildschirm, der dann mit dem Smartphone gescannt werden muss, bevor eine TAN generiert wird.

Für das Push-TAN-Verfahren gibt es sehr viele Bezeichnungen wie VR SecureGo, Easy-TAN oder TAN2go. Dazu muss eine App Ihrer Bank auf das Smartphone geladen werden. Die App ist mit einem Passwort geschützt, das auch für die Freigabe der Überweisung benötigt wird. In der App wird dann die TAN angezeigt.

Die SMS-TAN ist eines der bekanntesten Verfahren, gilt aber nicht mehr als so sicher. Es ist nur ein einfaches Mobiltelefon erforderlich. Nach dem Ausfüllen der Überweisung wird eine TAN angefordert, die dann auf dem Mobiltelefon zusammen mit den Zahlungsdaten erscheint.