Online-Banking: Das Ende der Tan-Liste

Von September an gelten neue Regeln beim Einkaufen im Internet und Bezahlen im Netz. Dadurch sollen die Transaktionen sicherer werden. Was sich ändert im Überblick.

"Achtung, wichtig", müsste eigentlich über dem Schreiben der Bank stehen. Denn was in den Briefen und Mails steht, die Bankkunden bereits erhalten haben oder in den kommenden Tagen noch zugeschickt bekommen, ist so relevant wie selten. Auch, wenn es in kryptisches Bankdeutsch verpackt ist. Vom 14. September an gilt mit der PSD2 eine neue EU-Richtlinie im Zahlungsverkehr. Gerade beim Online-Banking und beim Einkaufen im Internet ändert sich damit einiges.

Ziel ist, die Verbraucher im Internet besser zu schützen und den Wettbewerb zu fördern. Das gilt sowohl für das Online-Banking wie auch beim Interneteinkauf, egal ob bei großen oder kleinen Händlern. Die Regeln sind teils schon in Kraft getreten und haben bewirkt, dass Unternehmen beispielsweise seit Anfang 2018 keine Extragebühren für die Zahlung mit Lastschrift, Kreditkarte oder Überweisung mehr verlangen dürfen.

Ab September tritt eine weitere wichtige Neuerung in Kraft: die Zwei-Faktor-Authentifizierung. Kunden, die Online-Banking machen, kennen sie schon von Überweisungen. Wer per Computer Geld überweisen will, bekommt beispielsweise einen Code aufs Handy geschickt, den er auf dem Computer eingeben muss. Dieses Prinzip wird künftig noch strenger gehandhabt und gilt fortan auch fürs Shoppen im Internet. Nur ein Beispiel: Kunden können online beispielsweise per Kreditkarte bezahlen. Dafür reicht es, die Kartennummer, das Gültigkeitsdatum und die dreistellige Prüfnummer auf der Rückseite einzugeben und schon ist das neue Paar Schuhe für den Sommer bestellt. Das wird künftig nicht mehr möglich sein.

Kunden und Banken können die neuen Verfahren umgehen - zumindest teilweise

Von September an muss, wer online einkauft oder eine Überweisung tätigt, zwei von drei Kriterien aus den Bereichen "Wissen", "Biometrie" oder "Besitz" erfüllen. Er muss entweder eine PIN-Nummer oder ein Passwort für eine App eingeben, zudem beispielsweise über eine Girokarte, Kreditkarte oder auch ein Smartphone verfügen oder sich über ein biometrisches Merkmal identifizieren.

Die Kreditkarte oder das Smartphone zählen als Faktor Besitz, zudem bräuchte es also einen zweiten "Faktor": Das kann der Fingerabdruck auf dem Smartphone sein oder eine PIN, die die Bank den Kunden aufs Smartphone geschickt hat. Da jede Bank unterschiedliche Verfahren zur Authentifizierung anbieten wird, läuft der Prozess überall anders ab. Kunden müssen sich darauf jeweils einstellen.

Das Gleiche gilt für das Log-in beim Online-Banking. Reicht bisher bei vielen Banken und Sparkassen ein Benutzername und das dazugehörige Passwort zum Log-in auf der Webseite oder in der App, werden die Geldinstitute künftig zwei Faktoren abfragen müssen. Kunden werden also beispielsweise einen Benutzernamen eingeben und sich anschließend über eine Smartphone-App identifizieren oder dem System per Fingerabdruck signalisieren müssen: Hallo, das bin ich.

Was im Online-Handel und auch beim Online-Banking für viele Verbraucher neu ist, gibt es im Supermarkt schon seit Jahrzehnten. Dort steckt der Kunde seine Karte (Besitz) ganz selbstverständlich ins Lesegerät und gibt seine PIN (Wissen) ein. Seitdem mit dem Smartphone an der Kasse bezahlt wird, kommt auch ein Fingerabdruck auf dem Gerät als zweiter Faktor in Frage. Dass künftig auch beim Bezahlen im Internet zwei Faktoren notwendig sind, finden Verbraucherschützer sinnvoll.

"Die Kunden können auf diese Weise sicherer im Internet einkaufen, das rechtfertigt aus meiner Sicht den Mehraufwand", sagt Kirsti Dautzenberg von der Verbraucherzentrale Brandenburg. Wichtig sei aber, dass die Banken ihre Kunden frühzeitig darüber informieren, welche Verfahren noch zugelassen sind - und welche nicht mehr. Tatsächlich ist die rechtliche Lage in diesem Punkt noch nicht eindeutig geklärt.

Fest steht bislang, dass Bankkunden die Tan-Liste (iTan) auf Papier, mit vielen Nummern zum einmaligen Verwenden und Wegstreichen, spätestens von Mitte September an nicht mehr nutzen können. Sie gilt nach den neuen Richtlinien als zu unsicher und wird Stück für Stück aus dem Verkehr gezogen.

Beim SMS-Tan-Verfahren hingegen ist die Situation unklar. Bei dieser Form der Authentifizierung wird den Bankkunden ein Code aufs Handy geschickt, den sie dann wiederum beim Online-Banking eingeben. Was aber, wenn die Verbraucher die Zahlung direkt vom Smartphone aus abwickeln? Dann ist das Handy sowohl der Faktor Besitz als auch der Faktor Wissen - und für Betrüger leicht anzugreifen. Zuletzt hatten immer wieder Kriminelle mit einfachen Tricks Zugriff auf die Konten von Bankkunden bekommen und haben diese innerhalb einer halben Stunde leer geräumt.

Damit das nicht mehr passiert, wenden sich viele Banken sowieso von der SMS-Tan ab. Stattdessen wollen sie ihre Kunden an eine eigene Sicherheits-App mit Passwort gewöhnen, die nach den Regularien zulässig und sicherer ist. Die Hypo-Vereinsbank beispielsweise versucht ihre Kunden derzeit mit einem Gewinnspiel dazu zu motivieren, auf das App-Tan-Verfahren umzusteigen. Dabei bekommen die Nutzer keine SMS aufs Smartphone, sondern geben ihre Transaktion auf dem Handy mithilfe der App frei. Andere Banken wie die Deutsche Bank führen eine Photo-Tan-App bereits seit längerer Zeit als Standard. Dabei wird mithilfe einer App oder eines Lesegeräts eine Art Barcode gescannt, der beim Online-Banking im Lauf der Transaktion erscheint. Die App generiert eine Tan-Nummer, die der Bankkunde dann noch eingeben muss. Das Smartphone fungiert quasi als Tan-Generator.

Wer sich den Änderungen im Online-Shopping entziehen will, kann weiterhin anders bezahlen, etwa per Rechnung. In dem Fall bezahlt der Kunde die Ware per Überweisung. Außerdem sollen Verbraucher die Möglichkeit bekommen, bestimmte Händler von ihrer Bank auf eine Whitelist setzen zu lassen. Dafür müssten die Kunden sich nur einmal mit zwei Faktoren identifizieren und können im Anschluss so oft auf der Seite einkaufen wie sie möchten - vorausgesetzt, die Bank erlaubt das.

Eine Erleichterung aber gibt es: Einkäufe bis 30 Euro brauchen in der Regel keine starke Authentifizierung, vorausgesetzt man kauft nicht in kürzester Zeit fünf Mal hintereinander ein oder übersteigt mit den Einkäufen 100 Euro. Dann springen die Sicherheitssysteme der Bank an und fragen nach einem zweiten Faktor. Kompliziert, aber auch sicher.