Die neuen Regeln der EU, die sogenannte Zahlungsdiensterichtlinie II (PSD2) setzt auf zwei Schutzmechanismen, wie die Verbraucherzentrale erklärt.
Punkt 1: Eine einzigartige TAN für jeden Zahlungsvorgang wird Pflicht. Der Grund: Kriminelle schalteten sich bisher immer wieder in die Abläufe beim Online-Banking ein und veränderten die Aufträge – indem sie zum Beispiel eine Überweisung auf ihr Konto umgelenkt haben. Damit das nicht mehr möglich ist, verlangen viele Banken schon seit 2011 von ihren Kunden, dass sie einen ganz bestimmten Freigabe-Code (TAN) angeben müssen, der zu einem konkreten Auftrag, wie etwa „Überweisung von X Euro an das Konto mit der Nummer Y“, gehört.
Papier-Tan fällt weg
Diese Codes wurden meist per SMS übermittelt oder mit kleinen Zusatzgeräten (TAN-Generatoren) erzeugt. Inzwischen gibt es dafür immer häufiger auch Apps. Einige Banken verwendeten aber weiterhin einfache TAN-Listen auf Papier, die der EU nicht mehr genügen und die nun abgeschafft werden.
Punkt 2: Zwei Faktoren werden Pflicht. Beim Online-Banking brauchte man immer schon eine PIN zum Einloggen und eine TAN als Code für die Überweisung. Mit einem geklauten Passwort allein konnten Betrüger also nie Geld vom Konto holen. Noch sicherer: Mit der TAN per SMS oder einem TAN-Generator kam sogar noch ein zweites Gerät dazu. Selbst wenn der Computer mit einem Virus infiziert ist, kommen Betrüger dann nicht so leicht weiter.
Prüfziffer reicht nicht
Beim Online-Shopping sah das bis heute anders aus: Im Internet brauchte man oft nur die Kreditkartennummer mit Prüfziffer angeben. Ob da tatsächlich der Besitzer der Karte einkauft oder ein Betrüger, der die Karte gestohlen hatte, konnte niemand prüfen. Dies soll sich nun auch ändern. Allerdings hat die Finanzaufsicht Bafin in diesem Fall den Umstellungs-Zeitpunkt noch einmal verschoben, weil Handel und Banken es nicht rechtzeitig geschafft haben, ihre Verfahren für Online-Einkäufe auf Kreditkarte umzustellen. Ein neuer Stichtag steht bisher aber noch nicht fest. Nichtsdestotrotz wird der Sicherheitsaufwand, der vom Online-Banking schon bekannt ist, künftig auch für den Einsatz von Kreditkarten verlangt. Das heißt: Künftig müssen auch beim Online-Shopping mindestens zwei von drei Merkmalen eingesetzt werden. Um diese drei Merkmale geht es: etwas haben (zum Beispiel ein Handy, das SMS empfängt), etwas wissen (PIN oder Passwort) und etwas sein (zum Beispiel biometrische Merkmale wie ein Fingerabdruck).
Eine weitere wichtige Neuerung : Falls Betrüger Geld abheben, überweisen oder Waren einkaufen, ist die Haftung klarer. Banken, Sparkassen und Händler müssen für die beschriebenen Sicherheitsvorkehrungen sorgen. Tun sie das nicht, müssen sie für die Schäden geradestehen. Kauft zum Beispiel jemand mit einer gestohlenen Kreditkarte bei einem Händler ohne die beschriebenen zwei Faktoren ein, dann muss der Händler der Bank des Bestohlenen den Schaden erstatten.
Die (neuen) Tan-Verfahren:
SMS aufs Handy
Für jede Überweisung, die man tätigen möchte, wird eine TAN angefordert. Beim mTAN-Verfahren erhält man diese als SMS auf sein Handy, um sie dann für den Banking-Vorgang einzusetzen. Bewertung der Verbraucherzentrale: „Die Methode ist relativ sicher, aber das Handy kann gestohlen bzw. die TAN kann abgefangen werden.“ Das zuständige Bundesamt BSI warnt vor SMS-TAN und empfiehlt, auf das Verfahren zu verzichten.
Push-Tan
Auch hier wird für jede Überweisung, die man tätigen möchte, die TAN angefordert. Im Unterschied zur mTAN nutzt man hier eine spezielle App, in der die TAN generiert wird. Bewertung: Hohe Sicherheit, wenn für App und Online-Banking verschiedene Apps oder Geräte verwendet werden.
App-Tan
Startet man eine Überweisung, reagiert die App auf dem Smartphone. Hier muss man sich mit einem vorher gewählten Passwort einloggen. Eine TAN wird zwar im Hintergrund generiert und übergeben – man bekommt sie aber gar nicht zu sehen. Bewertung: Hohe Sicherheit, wenn für App und Online-Banking verschiedene Apps oder Geräte verwendet werden.
Chip-Tan
Beim Chip-TAN-Verfahren kommt ein TAN-Generator (Lesegerät, das man zu Hause nutzt) in Kombination mit dem Chip auf der Bankkarte zum Einsatz. Der Generator ermittelt durch Auslesen eines flackernden Feldes auf dem Schirm die jeweils erforderliche TAN. Bewertung: Hohe Sicherheit, da zwei getrennte Geräte verwendet werden und zusätzlich die Bankkarte nötig ist.
Photo-Tan
Das Photo-TAN-Verfahren läuft im Prinzip so wie das Chip-TAN-Verfahren – nur dass hier eine Grafik statt eines flackernden Feldes zum Einsatz kommt, die mit einer App auf dem Smartphone ausgelesen wird. Bewertung: Hohe Sicherheit, sofern nicht für App und Onlinebanking das gleiche Smartphone verwendet wird. WOLFGANG DE PONTE
(mit Material von dpa)