Neue Regeln zum Schutz vor Betrug im Internet Das ändert sich bald beim Online-Banking

Düsseldorf · Online-Banking und auch Internetgeschäfte werden ein wenig komplizierter. Um mehr Sicherheit zu schaffen. Bis spätestens 14. September müssen sich Verbraucher und Anbieter darauf einstellen. Ein Überblick.

Mit dem sogenannten Tan-Generator erzeugt der Bankkunde seine Tan selbst. Foto: dpa

Foto: picture alliance / Andrea Warnec/Andrea Warnecke

PSD 2 oder „Payment Service Directive“ oder EU-Zahlungsrichtlinie. Viele Bankkunden sind dieser Tage überfordert oder genervt durch Schreiben ihrer Bank, in denen solche seltsamen Begriffe vorkommen. Und denen zu entnehmen ist, dass sich da bald, bis spätestens zum 14. September, etwas am Online-Banking ändern soll und man sich bei Online-Überweisungen auf eine Veränderung einstellen muss. Aber die Veränderungen bei Online-Überweisungen sind nur ein Teil der Regelungen. Auch beim Onlineshopping gibt es neue Sicherheitsstandards. Ein weiterer wichtiger Bereich der neuen Regeln liegt nämlich in der Öffnung des Marktes der Zahlungsabwicklungen für sogenannte Zahlungsauslösedienste. Diese haben dann, neben der Bank, Zugriff auf Zahlungskonten. Worum geht es im Einzelnen?

Online-Banking

Benutzername und Kennwort werden nicht länger für den Login beim Onlinebanking ausreichen, ein weiteres Sicherheitskriterium (zum Beispiel eine TAN-Nummer) wird erforderlich. Das nennt sich „starke Kundenauthentifizierung“ und soll den Zahlungsverkehr sicherer machen. Gemeint ist: Onlinezahlungen müssen grundsätzlich durch zwei unabhängige Merkmale bestätigt werden. Etwas, was der Nutzer weiß (zum Beispiel Pin oder Passwort), was er besitzt (zum Beispiel Handy oder Tan-Generator) und etwas, was ihm persönlich „anhaftet“, zum Beispiel Fingerabdruck oder Gesichtserkennung. Erst wenn wenigstens zwei dieser drei Kategorien herangezogen werden, geht das Geld seinen gewünschten Weg. Die klassische TAN-Liste auf Papier, aber auch die als nicht so sicher geltende SMS-Tan wird es nicht mehr geben. Der Nutzer kann mit Hilfe eines kleinen Gerätes, dem Tan-Generator, selbst eine Tan generieren. Und diese dann zur Bestätigung des Vorgangs eingeben.

Nun ist für manch einen, der Online-Banking betreibt, diese starke Authentifizierung schon längst Alltag und daher nichts Neues. Doch Dieter Heiliger, Experte bei Capco, einer Beraterfirma für die Finanzdienstleistungsbranche, betont, dass die Sicherheit demnächst doch weitergehend sei: denn nicht erst bei der Transaktion, also beispielsweise der Überweisung eines Geldbetrags, sondern schon beim Einloggen auf der Plattform der Bank wird diese starke Authentifizierung gefordert.

Onlineshopping

Ein bloßes Passwort wird auch bei Einkäufen im Internet nicht mehr ausreichen. Spätestens ab 14. September genügt es nicht mehr, dass beim Einkauf per Kreditkarte neben deren Nummer nur die dreistellige Sicherheitsnummer abgefragt wird. Auch hier wird die Zwei-Faktor-Authentifizierung Pflicht. Kunden erhalten in ihrer Smartphone-App oder per SMS einen nur für die einzelne Zahlung generierten Code.

Bankenexperte Heiliger sieht dabei durchaus den Sicherheitsvorteil für den Verbraucher, dass Betrugsversuchen ein weiterer Riegel vorgeschoben wird. Andererseits werde darin ein Komfortverlust liegen, da dem Nutzer ein weiterer Schritt im Bestellvorgang abverlangt wird. „Das Kundenerlebnis wird holpriger“, sagt Heiliger. Was Händlern erfahrungsgemäß nicht gefalle, weil mit jedem zusätzlichen Schritt das Risiko steige, dass diese aus dem Bestellvorgang aussteigen und den Kauf dann doch nicht abschließen.

Drittanbieter können Einblick in Kontodaten bekommen

Die PSD 2 wird dazu führen, dass demnächst auch in die Zahlungsvorgänge einbezogene Drittdienstleister und eben nicht mehr nur die Bank selbst Einblick in die Kontodaten des Bankkunden haben. Weil gegebenenfalls die Bank ihren Datenschatz über das Finanzgebaren ihres Kunden mit dem Drittanbieter teilen muss. Was jedoch nur dann passiert, wenn der Bankkunde zustimmt. Aber warum sollte er das tun?

Weil es ihm vielleicht nutzen kann, dass er offenherzig mit seinen finanziellen Daten ist. Ein Beispiel: Mit einer App auf dem Handy lassen sich Bankgeschäfte erledigen. Diese App macht aber noch etwas anderes: sie analysiert, wie viel Geld der Nutzer wofür ausgibt. Hat er vielleicht einen besonders teuren Stromanbieter? Wenn ja, bekommt er einen Alternativvorschlag vom Betreiber der App. Oder der Kunde möchte alle Konten, die er bei verschiedenen Banken hat, in einer App dargestellt haben.

Jedenfalls aus Anbietersicht liegt der Vorteil auf der Hand: Wenn bekannt ist, wie viel Geld ein Bankkunde hat und wofür er es gern ausgibt, so lassen sich leicht weitere Produkte anbieten. Von Versicherungen bis Baufinanzierungen. Oder: Ein Kontoinformationsdienst, dem man den Zugriff erlaubt hat, erstellt für einen möglichen Kreditgeber ein Bonitätsprofil. Ob man all das will - wie gesagt, es bedarf der Zustimmung des Bankkunden - ist freilich eine andere Frage. Schließlich gibt man Zugangsdaten aus der Hand - Missbrauch nicht ausgeschlossen.

Doch Dieter Heiliger weist darauf hin, dass solche Drittanbieter von der Bundesaufsicht für Finanzdienstleistungen (Bafin) lizensiert werden müssen. Und dass sie auch Versicherungsnachweispflichten für mögliche Schadensfälle haben. Dass alternative Drittanbieter in den Zahlvorgang eingeschaltet werden, sieht der Fachmann durchaus als positiv. Das sorge für Wettbewerb – etwa gegenüber den Anbietern von Kreditkarten. Die neuen Anbieter dürften preiswerter sein als die Herausgeber von Kreditkarten, was sich für den Händler und damit idealerweise auch für den Kunden positiv auswirke - wenn nämlich ein kleinerer Teil des Geschäfts für die Provision draufgehe.