Geldgeschäfte und Bezahlvorgänge in der digitalen Welt sollen sicherer werden. Ab 14. September gelten deshalb EU-weit neue Sicherheitsvorgaben beim Onlinebanking und eigentlich auch fürs Bezahlen von Waren und Dienstleitungen per Kreditkarte im Netz. Onlinebanking und -shopping bekommen mittels einer erweiterten Kundenauthorisierung ein doppelt schwer zu knackendes Schloss verpasst. „Bei jedem Bezahlvorgang von mehr als 30 Euro müssen Kunden künftig anhand von zwei Faktoren nachweisen, dass sie tatsächlich die Person sind, die über das angegebene Konto bzw. die eingesetzte Kreditkarte verfügen können“, erklärt die Verbraucherzentrale NRW das Prinzip, das Betrügern Missbrauch vermiesen soll. Bei der Umsetzung für die Kreditkartennutzung hinken viele Onlineshop-Betreiber allerdings noch hinterher. Auch hier reicht die bloße Angabe von Kartennummer und Sicherheitsziffern beim Bezahlen mit Kreditkarte nicht mehr aus. Die verbindliche Umstellung erfolgt jedoch zu einem späteren Zeitpunkt. Die Verbraucherzentrale NRW erläutert deshalb zunächst die wichtigsten Änderungen, die ab 14. September beim Online-Banking gelten:
- Zeitgemäße Authentifizierungsverfahren: Bei modernen Verfahren wird eine Transaktionsnummer (TAN) aktuell aus den jeweiligen Überweisungsdaten generiert. Das bedeutet, die Zahlencodes sind nur für die dafür vorgesehenen Zahlungsvorgänge in einem engen Zeitfenster verwendbar. Eine Überweisung am PC freigeben per Transaktionsnummer auf Papier (iTAN) geht dann nicht mehr. Um die Sicherheit bei Transaktionen zu gewährleisten, muss die Authentifizierung des Kunden nunmehr über zwei von drei Faktoren erfolgen, die durch Wissen (PIN-Nummer und TAN), Besitz (per Smartphone, PC, Generator, App) oder Existenz (biometrische Merkmale wie Fingerabdrücke) vermittelt werden. Auch beim Login wird zum Teil bereits eine verstärkte Kundenauthentifizierung verlangt werden. Welches Verfahren Kunden nutzen können, entscheidet hierbei die Bank.
- Mehrere Alternativen zu den Papier-TAN-Listen: Bei dem als sicher geltenden Chip-Verfahren wird die TAN durch einen zusätzlichen Generator erzeugt, in den man seine Giro-Card steckt. Auf diese Weise ist das Gerät, das die einmalig nutzbare TAN liefert, nicht mit dem Internet verbunden und kann nicht ausspioniert werden. Gleiches gilt für die Verwendung von Photo-TANs. Hier erscheint eine bunte Mosaik-Grafik auf dem PC-Monitor, die über ein spezielles Lesegerät oder einen QR-Scanner der Banking-App auf dem Smartphone gelesen wird. Beim mTAN-Verfahren erhalten die Bankkunden ihren Zahlungscode hingegen per SMS auf ihr Handy. Diese TAN ist ausschließlich für den vorgesehen Vorgang und nur für kurze Zeit gültig. Das Verfahren ist relativ sicher, da sich bei der Transaktion zwei Geräte – also PC und Handy – gegenseitig ergänzen. Bei der Verwendung von Push-TANs handelt es sich um ein App-basiertes Verfahren, bei dem Kunden über die Banking-App oder per Online-Banking ihres Geldinstituts eine Transaktion starten und zur Freigabe eine sogenannte Push-TAN erhalten. Banking- und TAN-App können miteinander verzahnt agieren und funktionieren dennoch unabhängig voneinander. Das macht sie sicher.
- Ausnahmen bei Kleinstüberweisungen: Bei Transfers von Beträgen bis zu 30 Euro bieten einige Banken ihren Kunden beim Online-Banking eine Überweisung ohne TAN an. Dies hat nach Ansicht der Verbraucherzentrale NRW auch zur Folge, dass die Bank bei diesen Transaktionen allein für mögliche Schäden haftet und von Kunden keinen Ersatz verlangen kann. Wie beim mobilen Bezahlen wird nach gewissen Merkmalen nachgefragt.
- Umsichtigkeit der beste Schutz: Im Umgang mit ihren Zugangsdaten sollten Kunden stets achtsam sein, ihre Passwörter an einem geschützten Ort aufbewahren und nicht per E-Mail oder SMS verbreiten. Ein sicheres Passwort ist für den Online-Zugang zum eigenen Konto dabei besonders wichtig. Online-Banking sollte nur innerhalb des heimischen Netzwerks betrieben werden. Nicht ratsam ist ein Einloggen an öffentlichen Orten – etwa in Cafés oder an Bahnhöfen – über öffentliches WLAN.
Weitere Hinweise gibt’s im Internet unter www.verbraucherzentrale.nrw/tan-aenderungen und www.verbraucherzentrale.nrw/tan.