Doppelt gesichert beim Online-Banking

Berlin (dpa) l Das Anmelden im Online-Banking oder das Einkaufen online wird für viele Verbraucher künftig etwas länger dauern. Vom 14. September an greifen die Regelungen der zweiten europäischen Zahlungsdiensterichtlinie PSD2 (Abkürzung nach dem englischen Namen: Payment Services Directive2), wie der Bundesverband deutscher Banken in Berlin erklärt. Was Bankkunden jetzt dazu wissen sollten:

Was genau ist vom 14. September an neu?
Bankkunden müssen sich beim Zugriff auf ihr Online-Banking nun immer mit der sogenannten Zwei-Faktor-Methode identifizieren. Auch Kartenzahlungen im Internet müssen sie künftig stets mit zwei Faktoren freigeben. Und sofern sie zustimmen, können nun auch Drittanbieter auf ihr Konto zugreifen.

Was sind Drittanbieter?
Gemeint sind Anbieter, die die Infrastruktur von Banken nutzen, ohne sie selbst zu betreiben, erklärt der Bankenverband. Konkret sind das Dienste, die Zahlungen auslösen und Kontoinformationen sammeln und bündeln, sowie Dienste, die Zahlungskarten herausgeben. Im Prinzip können das auch andere Banken sein. Die Dienstleister unterliegen der Aufsicht der Bundesanstalt für Finanzdienstleistungen (Bafin).

Ohne die Erlaubnis des Kunden bekommen die Drittanbieter keinen Zugriff auf das Konto. Dann jedoch können sie zum Beispiel bei Interneteinkäufen Zahlungen auslösen oder Konten bei unterschiedlichen Geldinstituten in einer Übersicht darstellen.

Was ändert sich bei Online-Banking und Online-Einkäufen?
Künftig gilt laut Bankenverband die gesetzliche Pflicht zur sogenannten starken Kundenauthentifizierung. Das heißt, jeder Kunde muss sich immer mit zwei von drei möglichen Faktoren identifizieren: etwa einer Pin, einer Originalkarte oder biometrischen Merkmalen wie einem Fingerabdruck.

In der Praxis werden Banken nach Einschätzung der Bafin für das Einloggen in das Online-Banking allerdings oft die einfache Authentifizierung zulassen – also zum Beispiel wie bisher die Eingabe eines Passworts. Spätestens alle 90 Tage muss der Kunde aber eine starke Kundenauthentifizierung vornehmen.

Bei Kartenzahlungen im Internet müssen sich Verbraucher künftig ebenfalls grundsätzlich mit zwei Faktoren identifizieren. Die Umsetzung verzögert sich allerdings etwas: Die Bafin stellte Mitte August Mängel bei den neuen PSD2-konformen Schnittstellen fest. Vorerst will die Bafin deshalb auch weiterhin Kreditkartenzahlungen ohne starke Kundenauthentifizierung zulassen.

Wie kommt man künftig an die Tan?
Für Aufträge muss eine eigens generierte Tan genutzt werden. Die Tan soll erst in dem Moment entstehen, in dem die Zahlung ausgelöst wird. Dafür gibt es verschiedene Möglichkeiten – nicht jedes Geldinstitut bietet alle an.

Beim SMS-Tan-Verfahren erhalten Kunden per SMS einen Code. Diesen geben sie dann zur Bestätigung der Transaktion online ein. Für das Photo-Tan-Verfahren muss der Nutzer nach Eingabe der Überweisungsdaten einen Barcode scannen. Teilweise ist dafür ein eigener Generator nötig, teilweise geht es mit dem Smartphone. Manche Institute bieten auch an, die Tan per E-Mail zu übermitteln.

Müssen Kunden sich für die neuen Tan-Verfahren anmelden?
Die Geldinstitute haben in den vergangenen Wochen mit Schreiben oder Meldungen im Online-Banking bereits auf die Änderungen hingewiesen. Denn Kreditkartennutzer müssen selbst aktiv werden und sich bei ihrer Bank online für das gewählte Verfahren anmelden, erklärt die von der Stiftung Warentest herausgegebene Zeitschrift „Finanztest“ (Ausgabe 9/2019). Dafür fordern sie einen Identifikationscode an, der per Überweisung, Umsatzanzeige oder Post zugestellt wird. Danach schalten sie mit diesem Code das gewählte Verfahren frei.

Werden Zahlungen dadurch teurer?
Grundsätzlich dürfen Geldinstitute für die Sicherheitsverfahren zur Kasse bitten. Viele Kunden können aber voraussichtlich auch weiter kostenlos Zahlungen in Auftrag geben, zumindest dann, wenn sie bestimmte Verfahren wählen.