Logo

Finanzen

Für Onlinezahlungen gelten neue Regeln

Transaktionslisten auf Papier sind Geschichte – Kreissparkasse und Volksbank Ludwigsburg vorbereitet – Umstellung im Internethandel hakt noch

Das Bezahlen beim Einkaufen im Internet soll sicherer werden. Nicht nur Verbraucher, auch Kreditinstitute und Onlinehändler müssen sich darauf einstellen. Stichtag ist der 14. September. Für Kreditkarten gilt noch eine Befristung der bisherigen Regel
Das Bezahlen beim Einkaufen im Internet soll sicherer werden. Nicht nur Verbraucher, auch Kreditinstitute und Onlinehändler müssen sich darauf einstellen. Stichtag ist der 14. September. Für Kreditkarten gilt noch eine Befristung der bisherigen Regeln. Foto: Monika Skolimowska/dpa

Ludwigsburg. Bankgeschäfte im Internet sollen sicherer und einfacher werden. Bankkunden, die Onlinebanking machen, müssen sich daher umstellen. Überweisungen vom Girokonto an Laptop oder PC können sie in Zukunft ab diesem Samstag nicht mehr wie bisher durch die Transaktionsnummern (Tan) auf Papierlisten freigeben. Denn die sechsstelligen, nummerierten Tan auf Papier werden abgeschafft. Diese Neuregelung ist Teil der Umstellung durch die europäische Zahlungsdienstrichtlinie (Payment Service Directive) – kurz PSD2. In Ludwigsburg sind beispielsweise Kreissparkasse und Volksbank auf die Veränderungen schon längst vorbereitet. Fragen und Antworten zum Thema:

..Warum hat die Europäische Union das Aus für Papierlisten beschlossen?

Brüssel will den Zahlungsverkehr in der Europäischen Union für Verbraucher sicherer und bequemer machen. Zugleich soll der Wettbewerb gestärkt werden. Geregelt wird dies in der EU-Richtlinie. Die PSD2 schreibt vor, dass die für das Onlinebanking notwendigen Transaktionsnummern nun dynamisch generiert werden müssen, was mit der festen sechsstelligen Zahlenfolge auf Papier nicht möglich ist. „Im Grundsatz bedeutet die starke Kundenauthentifizierung, dass Transaktionen immer durch zwei Faktoren abgesichert sein müssen“, betont Gustav-Herbert Binder von der Kreissparkasse Ludwigsburg.

..Für die Kunden bedeutet das...

Sowohl beim Onlinebanking als auch beim Einkaufen im Internet gilt die gesetzliche Pflicht zur starken Kundenauthentifizierung. „Das Einrichten des Verfahrens kann in der Filiale oder auch online und per App stattfinden“, sagt Bernd Weisheit, Sprecher der Ludwigsburger Volksbank. Der Freischaltcode komme dann per Post. Auch Kunden, die schon länger Onlinebanking machen, müssen ihre Identität mit zwei von drei möglichen Faktoren nachweisen. „Wissen und Besitz“, betont Binder. Wissen beinhaltet zum Beispiel den Anmeldenamen und die Geheimnummer/Pin. Besitz bedeutet die Original-Zahlungskarte. Zudem wird bei den Verfahren pushTan und SMSTan der Faktor Besitz über das Smartphone des Kunden hergestellt. Per SMS schickt die Bank eine Tan aufs Handy. „Hier ändert sich beim Onlinebanking im Grundsatz nichts“, so Binder. Allerdings werde eine Tan bei der KSK nicht nur bei Überweisungen, sondern beispielsweise auch alle 90 Tage bei Umsatzabfragen benötigt.

..Wie ist es bei den Kreditkarten?

Käufer müssen sich in Zukunft auch bei Kreditkartenzahlungen im Internet mit zwei Faktoren identifizieren. Die Vorgaben sind streng, denn Name, Nummer und die Prüfziffer auf der Rückseite dieser Karten können leicht ausgespäht werden – zum Beispiel beim Einsatz in Restaurants und Tankstellen.

Nach den neuen Regeln brauchen Verbraucher für Kreditkartenzahlungen beim Onlineshopping neben der Karte zwei weitere Sicherheitsfaktoren: ein Passwort und eine Tan. „Unseren Kunden steht schon seit Jahren das sogenannte 3-D-Secure-Verfahren zur Verfügung“, sagt Binder, „bei dem der Kunde seine Zahlung durch eine Tan freigibt.“ Die Finanzaufsicht Bafin lässt vorerst noch die alten, nicht so strengen Sicherheitsbestimmungen gelten, weil es im Onlinehandel bei der Umstellung noch hakt.

..Wie bekommt man künftig die Tan zur Zahlungsfreigabe?

Die Bankkunden brauchen für jeden Überweisungsauftrag eine eigene Tan. „Der Kunde kann sie sich per SMS auf eine zuvor hinterlegte Handynummer als ,mobileTan‘ (mTan oder SMS-Tan) schicken lassen“, betont Weisheit. Der Nachteil war bisher, dass man aus Sicherheitsgründen quasi zwei Geräte brauchte. „Für das Onlinebanking einen PC und ein Smartphone oder Handy für die SMS, die die mTan beinhaltet“, so Weisheit. Beim neuen Verfahren ist nun beides auf einem Gerät möglich. Auch ein spezieller Tan-Generator kann zum Einsatz kommen. Dieses kleine Gerät erzeugt im Zusammenspiel mit der Bankkarte eine Tan fürs Onlinebanking (chipTan-Verfahren). Auch die Kreissparkasse bietet diese drei Verfahren an.

Manche Institute bieten ein photoTan-Verfahren an. So auch die Volksbank mit Scan2Bank in ihrer VR-BankingApp. Mit der Tan-App VR-SecureGo gibt es Tans aufs Smartphone oder Tablet. Bis zu 30 Euro kann man auch ohne Tan überweisen. Außerdem können so Daueraufträge eingerichtet oder gelöscht werden.

..Waren die Papierlisten unsicher?

Kriminelle versuchen Bankkunden immer häufiger per Phishing-Mails dazu zu bringen, Pin und Tan zu verraten – etwa, indem sie sie auf gefälschte Websites leiten oder Verbraucher per E-Mail oder SMS auf die falsche Fährte locken. Wenn dann die per Post verschickten gedruckten iTan-Listen in falsche Hände geraten, können Kriminelle das Konto plündern. „Wir haben die iTan-Listen bereits im März 2012 vollständig durch die neuen Tan-Verfahren ersetzt“, betont Binder. „Papierlisten verwenden wir seit Jahren nicht mehr“, sagt auch Weisheit.

..Sind die anderen Verfahren sicherer?

Die dynamischen Legitimationsverfahren haben den Vorteil, dass eine Tan jeweils neu erstellt wird – anders als bei der gedruckten iTan-Liste. Die Nummern sind an den jeweiligen Auftrag gekoppelt und nur zeitlich begrenzt gültig. „Wir haben auch bisher schon mit dem mTan-Verfahren gearbeitet“, so Weisheit. „Wir bieten unseren Kunden nur sichere Tan-Verfahren an. Auch das SMS-Tan-Verfahren ist sicher“, betont auch Binder. Da immer mehr Bankkunden aufs Onlinebanking mit dem Smartphone umsteigen, rät er, auf pushTan umzusteigen. „Langfristig gehen wir davon aus, dass diese Art SMSTan durch pushTan ersetzt wird.“

Allerdings gibt es auch Bedenken gegen das „mTan“-Verfahren. So warnt das Bundesamt für Sicherheit in der Informationstechnik: „Das mTan-Verfahren ist zwar praktisch und benutzerfreundlich, birgt aber leider auch einige Risiken. Unter Umständen können Kriminelle die zur Authentifizierung verschickten SMS abfangen oder umleiten. So besteht die Gefahr, dass die darin enthaltene Tan missbraucht werden kann.“

..Welche Neuerungen müssen Bankkunden noch beachten?

„Der Kunde kann Dritten außerhalb seiner Hausbank erlauben, auf seine Kontodaten zuzugreifen“, sagt Weisheit. Und die Kreditinstitute müssen dann Drittanbietern wie Finanz-Start-ups (Fintechs) den Zugriff auf die Daten ermöglichen. So gibt es Firmen, die Tagesgeldzinsen vergleichen und den Transfer anbieten. Andere legen automatisch kleine Beträge zur Seite. Banken sind von dieser Neuregelung nicht begeistert. Denn wer weiß, wie viel Geld Kunden auf dem Konto haben und wofür sie es ausgeben, kann ihnen weitere Dienste anbieten: Baufinanzierungen, Kredite und Versicherungen. Auch die Kreissparkasse will davon profitieren. Sie hat 2018 die Multibankenfähigkeit im Onlinebanking eingeführt. Kunden können damit auch Konten anderer Kreditinstitute einbinden und ihre Konten bankenübergreifend verwalten. Möglich ist das natürlich auch mit der VR-BankingApp.

..Kann nun jeder auf Konten zugreifen?

„Die Antwort ist klar nein. Kontozugriffe sind nur dann möglich, wenn sie vom Kontoinhaber explizit erlaubt wurden“, betont Binder. Verbraucher müssen also nicht fürchten, dass Firmen unkontrolliert auf ihre Daten zugreifen. „Die PSD2-Schnittstelle wird streng überwacht und reglementiert“, erklärt Weisheit. Das maschinengesteuerte Auslesen von Girokonten, das Auskunft über sämtliche Zahlungen und Gewohnheiten von Bankkunden gibt, hat die EU verboten.

..Wie funktioniert die Öffnung von Konten in der Praxis?

Die Fintechs können über die PSD2-Schnittstelle auf bestimmte Daten zugreifen. Auf dieser Grundlage können sie Kunden Angebote unterbreiten. Allerdings hat die Bafin erst Mitte August festgestellt, dass die Technik nicht so reibungslos funktioniert wie erwartet. Es gebe „funktionale Mängel“ bei den PSD2-konformen Schnittstellen, hieß es. Daher müssten die Geldinstitute nachbessern und dürfen nicht einfach die alten Datenkanäle zumachen. Die Volksbank hat die Probleme jedenfalls im Griff, wie Weisheit feststellt. Allerdings: „Es ist noch ein weiter Weg, bis alles läuft“, meint Weisheit, „bis bei allen Unternehmen die Schnittstellen angepasst sind.“

Autor: