Die EU will Bürgerinnen und Bürger besser vor Internetbetrügern schützen. Seit Mitte September 2019 gilt in der Europäischen Union daher die neue „Zahlungsdiensterichtlinie II“ (PSD2) für das Online-Banking sowie beim Bezahlen im Internet. Sie sorgt dafür, dass es Cyberkriminellen erschwert wird, auf Konten zuzugreifen. David Riechmann, Referent für Bank- und Kapitalmarktrecht bei der Verbraucherzentrale NRW, erklärt die wichtigsten Änderungen.
Keine TAN-Listen mehr auf Papier
Eine der wichtigsten Neuerungen: TAN-Listen auf Papier sind nicht mehr erlaubt. Das heißt, dass TANs nun entweder per SMS, per TAN-Generator oder über eine Smartphone-App übermittelt werden müssen. „TAN-Listen auf Papier galten schon länger als unsichere Methode, weil sie nicht mit den Transaktionsdaten verbunden und damit ein vergleichbar leichtes Ziel von Phishing-Attacken waren“, weiß David Riechmann. Neu ist auch, dass man schon beim Einloggen in den Online-Bankaccount zur Eingabe einer TAN aufgefordert werden kann. „Das muss aber nicht der Fall sein. Verpflichtet ist die Bank dazu nur, wenn der Kunde im Online-Banking auf mehr zugreifen kann als auf den Kontostand und die Zahlungsvorgänge der letzten 90 Tage. Auch wenn man sich das erste Mal im Online-Banking anmeldet oder seit der letzten Anmeldung mehr als 90 Tage vergangen sind, muss die zusätzliche Hürde eingebaut werden“, so der Experte.
Zwei-Faktor-Authentifizierung verpflichtend
Beim Online-Banking ist schon lange die Regel: Wer eine Überweisung tätigt, muss sich mithilfe von zwei Faktoren authentifizieren, also als die Person ausweisen, der das Konto gehört. Das geschieht meist mit einer PIN oder einem Passwort in Verbindung mit einer TAN. Dies wird nun auch beim Bezahlen mit Kreditkarte Pflicht. Insgesamt gibt es drei Faktoren, die zur Authentifizierung eingesetzt werden können:
- z. B. eine PIN oder ein Passwort (Faktor „Wissen“)
- z. B. eine Bankkarte oder ein Handy, das SMS empfängt (Faktor „Besitz“)
- Biometrische Merkmale wie z. B. ein Fingerabdruck (Faktor „Inhärenz“)
„Es ist nun für die Banken verpflichtend, grundsätzlich zwei dieser drei Merkmale für die Authentifizierung des Kunden einzusetzen – nicht nur beim Online-Banking, sondern auch beim Online-Shopping mit Kreditkarte“, weiß David Riechmann. Dadurch soll das Bezahlen im Internet sicherer werden. „Bislang konnte man mit der Kreditkartennummer und der Prüfziffer auf der Kartenrückseite einkaufen. Waren Betrüger einmal im Besitz der Daten, konnten sie leicht missbraucht werden.“ Da es vor allem im Online-Handel noch Probleme bei der Umstellung auf die neuen Verfahren gibt, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eine Fristverlängerung bis Ende 2020 gewährt. Daher ist es bei einigen Anbietern immer noch möglich, ohne die starke Authentifizierung per Kreditkarte zu bezahlen. „Den Kunden entsteht dadurch aber kein Nachteil“, betont der Finanzexperte. „Kommt es zu einem Schaden, haftet die jeweilige Bank.“
David Riechmann, Jurist Finanzdienstleistungen, Verbraucherzentrale NRW
© Verbraucherzentrale NRW
Ausnahmen sind möglich
Die neuen Regelungen versprechen mehr Sicherheit, sind aber für die Kunden auch aufwändiger. Aus diesem Grund gibt es einige Ausnahmen. Zahlungen bis 30 Euro können zum Beispiel immer noch ohne verschärfte Sicherheitsverfahren getätigt werden. Beim kontaktlosen Bezahlen im Handel gilt dies sogar bis 50 Euro. Online-Shops, die häufig genutzt werden, können zudem auf eine Liste mit sicheren Zahlungsempfängern gesetzt werden – das aufwändige Authentifizieren entfällt dann auch hier. David Riechmann: „Ob diese Ausnahmen mit dem eigenen Konto oder mit den eigenen Bankkarten möglich sind, hängt von der jeweiligen Bank ab. Die Banken können die Möglichkeiten anbieten, müssen es aber nicht.“
Die Konditionen überprüfen
Grundsätzlich entscheiden die Banken selbst, welche Verfahren sie zur Authentifizierung einsetzen. Der Kunde hat darauf keinen Einfluss. Daher gilt es zu überlegen, ob die eigene Bank eine zufriedenstellende Lösung anbietet. Manche Banken verlangen etwa eine Gebühr, wenn sie einen TAN-Generator zur Verfügung stellen. Viele Banken bieten zunehmend auch eigene Apps an, die das Online-Banking zwar komfortabel machen, aber ein Smartphone voraussetzen. „Hier sollte man bedenken, dass das Smartphone regelmäßige Sicherheits-Updates benötigt oder gegen ein neueres Modell ausgetauscht werden muss, weil die App sonst möglicherweise nicht mehr funktioniert“, weiß David Riechmann. Möchte man ein anderes Verfahren als das von der eigenen Bank angebotene nutzen, sollte man die Bank wechseln – ein Vergleich kann sich hier lohnen. SBa (25.10.2019)
