Online-Banking

Neuregelung bei Online-Zahlungen: Papierlisten mit TANs ade

Bank­geschäfte sollen sicherer und einfa­cher werden. Doch erst einmal müssen sich Millionen Bank­kunden umstellen. Und die Technik funk­tioniert noch nicht in allen Fällen so reibungslos wie gewünscht.
Von dpa /

Ab dem 14. September gelten neue Regelungen beim Online-Banking Ab dem 14. September gelten neue Regelungen beim Online-Banking
(c) dpa
Viele Bank­kunden in Deutsch­land müssen sich von einer Gewohn­heit verab­schieden: Beim Online-Banking am heimi­schen Computer können sie Über­weisungen künftig nicht mehr durch Eingabe einer sechs­stel­ligen Ziffern­folge frei­geben, die sie von einer gedruckten Liste abtippen. Denn die Papier­listen mit numme­rierten Trans­akti­onsnum­mern (TAN) werden abge­schafft.

Vom 14. September an dürfen Banken nach EU-Recht dieses iTAN-Verfahren für Über­weisungen vom Giro­konto nicht mehr anbieten. Die Neure­gelung ist Teil einer größeren Umstel­lung.

Warum werden die Papier­listen abge­schafft?

Ab dem 14. September gelten neue Regelungen beim Online-Banking Ab dem 14. September gelten neue Regelungen beim Online-Banking
(c) dpa
Grund ist die euro­päische Zahlungs­diens­tericht­linie ("Payment Service Direc­tive"/"PSD2"). Mit ihr will Brüssel den Zahlungs­verkehr in der Euro­päischen Union für Verbrau­cher bequemer und sicherer machen und zugleich den Wett­bewerb fördern. Die Richt­linie schreibt unter anderem vor, dass die für das Online-Banking notwen­digen Trans­akti­onsnum­mern künftig dyna­misch gene­riert werden müssen, was mit einer Zahlen­folge auf Papier nicht möglich ist.

Was bedeutet das für Kunden?

Beim Online-Banking und beim Einkaufen im Internet gilt künftig die gesetz­liche Pflicht zur "starken Kunden­authen­tifi­zierung". Heißt: Jeder Kunde muss seine Iden­tität in jedem Fall mit zwei der drei folgenden Möglich­keiten nach­weisen: "Wissen" (z.B. Geheim­nummer/PIN), "Besitz" (z.B. Smart­phone, Original-Zahlungs­karte), "Sein" (biome­trische Merk­male wie z.B. ein Finger­abdruck). Um eine Über­weisung online frei­zugeben, braucht man dann zum Beispiel die PIN und kann sich per SMS eine TAN aufs Handy schi­cken lassen.

Wie ist es bei Zahlungen per Kredit­karte?

Auch bei Karten­zahlungen im Internet müssen sich Verbrau­cher künftig grund­sätz­lich mit zwei Faktoren iden­tifi­zieren. Bei Kredit­karten sind die Vorgaben beson­ders streng, denn Nummer und Prüf­ziffer dieser Karten können relativ leicht ausge­späht werden - zum Beispiel beim Einsatz im Restau­rant. Darum reicht der Besitz der Karte nicht aus.

Verbrau­cher brau­chen für Kredit­karten­zahlungen beim Online-Shop­ping nach den neuen Regeln zwei weitere Sicher­heits­faktoren: zum Beispiel ein Pass­wort und eine TAN. Weil es im Handel bei der Umstel­lung hakt, lässt die Finanz­aufsicht Bafin vorüber­gehend noch die bishe­rigen einfa­cheren Sicher­heits­bestim­mungen gelten.

Wie bekommt man künftig die TAN zur Frei­gabe von Online-Zahlungen?

Für jeden Auftrag benö­tigen Bank­kunden eine eigens erstellte TAN. Diese kann sich der Kunde beispiels­weise per SMS auf eine zuvor bei der Bank hinter­legte Handy­nummer schi­cken lassen ("mobileTAN"/"mTAN"). Auch ein spezi­eller TAN-Gene­rator kann zum Einsatz kommen. Dieses kleine Gerät erzeugt im Zusam­menspiel mit der Bank­karte eine TAN fürs Online-Banking ("chipTAN-Verfahren").

Manche Insti­tute bieten ein "PhotoTAN"-Verfahren an: Dabei erscheint im Online-Banking des Kunden ein Barcode, der mit dem Handy abfo­togra­fiert wird. Daraufhin wird eine TAN gene­riert und die Buchung nach Frei­gabe durch den Kunden abge­wickelt.

Warum dürfen die Papier­listen mit den TANs nicht mehr genutzt werden?

Krimi­nelle versu­chen immer wieder Bank­kunden dazu zu bringen, PIN und TAN zu verraten - etwa, indem sie gefälschte Websites schalten oder Verbrau­cher per E-Mail oder SMS auf die falsche Fährte locken. Wenn dann noch die per Post verschickten gedruckten iTAN-Listen in falsche Hände geraten, können Krimi­nelle das Konto plün­dern.

"Wenn Sie sorgsam mit der TAN-Liste umgehen und Ihren Computer nach aktu­ellen Stan­dards sichern, bietet die TAN-Liste ausrei­chenden Schutz. Gerät Ihre TAN-Liste aber in Hände Dritter, kann keine Sicher­heit gewähr­leistet werden", schreibt beispiels­weise die Post­bank.

Sind die anderen Verfahren wirk­lich sicherer?

Dyna­mische Legi­tima­tions­verfahren haben den Vorteil, dass eine TAN - anders als bei der gedruckten iTAN-Liste - jeweils neu erstellt wird. Diese Nummern sind dann an den jewei­ligen Auftrag gekop­pelt und zeit­lich begrenzt gültig. Aller­dings gibt es auch Bedenken. "Das mTan-Verfahren ist zwar prak­tisch und benut­zerfreund­lich, birgt aber leider auch einige Risiken", warnt das Bundesamt für Sicher­heit in der Infor­mati­onstechnik. "Unter Umständen können Krimi­nelle die zur Authen­tifi­zierung verschickten SMS-Nach­richten abfangen oder umleiten. So besteht die Gefahr, dass die in der SMS enthal­tene TAN miss­braucht wird."

Was ändert sich noch für Banken­kunden?

Die "PSD2" bricht zudem das Monopol der Banken beim Zugriff auf Konto­daten. Künftig müssen Geld­häuser auch Dritt­anbie­tern wie Finanz-Start-ups (Fintechs) den Zugriff auf Daten ihrer Kunden ermög­lichen. So gibt es Firmen, die Tages­geld­zinsen verschie­dener Banken verglei­chen und den Geld­transfer dorthin anbieten. Andere helfen Verbrau­chern beim Sparen, indem sie auto­matisch kleine Beträge zur Seite legen. Banken sind von der Neure­gelung alles andere als begeis­tert. Denn wer weiß, wie viel Geld Kunden auf dem Konto haben und für was sie es ausgeben, kann ihnen leicht weitere Dienste anbieten - Baufi­nanzie­rungen etwa, Kredite oder Versi­cherungen.

Kann nun jeder auf mein Konto zugreifen?

Verbrau­cher müssen nicht fürchten, dass Firmen unkon­trol­liert auf ihre Daten zugreifen. Bank­kunden müssen die Weiter­gabe von Daten ausdrück­lich erlauben, der Zugriff geschieht über die Haus­bank und nur für den ange­fragten Zweck. Das maschi­nenge­steu­erte Auslesen von Giro­konten, das Auskunft über sämt­liche Zahlungen und Gewohn­heiten von Bank­kunden gibt, hat die EU verboten.

Wie funk­tioniert die Öffnung von Konten in der Praxis?

Nach Zustim­mung des Kunden können Fintechs über eine neue Schnitt­stelle auf bestimmte Daten zugreifen. Auf dieser Grund­lage können sie Kunden dann Ange­bote unter­breiten. Aller­dings stellte die Finanz­aufsicht Bafin Mitte August fest, dass die Technik noch nicht so reibungslos funk­tioniert wie erwartet.

Es gebe noch "funk­tionale Mängel" bei den neuen PSD2-konformen Schnitt­stellen. Daher müssen die Geld­insti­tute nach­bessern und dürfen daher nicht zum 14. September einfach die alten Daten­kanäle zuma­chen.

Inzwi­schen nutzen schon erste Betrüger die neue EU-Richt­linie aus. Wie Sie grund­sätz­lich das Risiko beim Online-Banking mini­mieren, lesen Sie in einem Ratgeber.

Mehr zum Thema Online-Banking