Kunden von Banken und Sparkassen erhalten aktuell Post von ihrem Kreditinstitut, in der es um neue Regeln im Zahlungsverkehr und Sicherheit beim Online Banking geht. Insbesondere geht es um einen Ersatz für die „alte“ TAN-Liste.
Die europäische Zahlungsdiensterichtlinie PSD2 ist vielen Bankkunden vollkommen unbekannt. Dabei soll sie für Konsumenten zahlreiche Verbesserungen bringen. Eine davon betrifft die Sicherheit beim Online Banking und Bezahlen.
Bis zum 14. September 2019 müssen Banken und Sparkassen aufgrund gesetzlicher Vorgaben technische und vertragliche Anpassungen im Onlinebanking und beim Bezahlen mit Karte vornehmen.
Mehr Sicherheit für die Kunden
Ein zentraler Punkt ist dabei die sogenannte „starke Authentifizierung“ oder „Zwei-Faktor-Authentifizierung“. Eine Bank oder Sparkasse muss zukünftig noch genauer prüfen, ob ihr Kunde seine Transaktionen im Internet ordnungsgemäß autorisiert hat. Dazu muss sie ihn eindeutig identifizieren.
Zahlungsvorgänge im Internet oder mit Karte müssen zukünftig mit Hilfe mindestens zweier Eingabeelemente bestätigt werden. Diese Elemente müssen aus zwei der folgenden drei Kategorien stammen:
- „Wissen“ (etwas, worüber alleine der Kunde Kenntnis hat, z.B. eine PIN),
- „Besitz“ (etwas, worüber einzig der Kunde verfügt, z.B. ein Smartphone oder eine Karte) und
- „Sein“ (eine Eigenschaft, die einzig dem Kunden zuzuordnen ist, z.B. ein Fingerabdruck).
Wegfall der TAN- und iTAN-Listen
Die elektronische Transaktionsnummer (TAN) gehört zur Kategorie Besitz und muss zusätzlich mit der Online-Transaktion im Moment der Zahlung, d.h. „dynamisch“ verknüpft sein. Das bedeutet bei Transaktionen im Internet, dass die vom Bankkunden einzugebende TAN nur für eine spezielle Online-Transaktion (in den meisten Fällen ein Zahlungsvorgang) gültig ist.
Statische Verfahren wie die iTAN-Liste, bei der die TAN schon vorher bekannt ist und nicht speziell für die Zahlung generiert wird, sind dann für die Freigabe von Zahlungen nicht mehr zulässig.
Neue TAN-Verfahren
Bei der Zahlung im Supermarkt oder an der Ladenkasse ändert sich nichts – schon heute werden hier die Anforderungen durch Karte und PIN erfüllt.
Beim Bezahlen im Internet wird es zu Anpassungen bei den Sicherheitsverfahren kommen. Auch hier benötigt der Kunde künftig zur Freigabe der Zahlung zwei Faktoren. So kann z. B. bei Online-Händlern die Freigabe der Internetzahlungen mit Karte über eine Banking-App oder per SMS-basierter TAN erfolgen.
Für das Online Banking bieten die Banken und Sparkassen unterschiedliche Verfahren an:
- Die mTAN wird, z.B. als SMS, auf einem separaten Gerät (z.B. Smartphone) empfangen und bleibt nur wenige Minuten lang gültig.
- Bei der photoTAN wird ein Smartphone als Lesegerät zur Generierung der TAN benötigt. Nach Eingabe der Überweisungsdaten muss mit der photoTAN-App oder dem Lesegerät der im Online Banking angezeigte farbige Barcode gescannt werden, anschließend erhält man eine TAN zur Freigabe.
- Bei App-basierte-TAN-Verfahren besteht die Möglichkeit über eine spezielle App der eigenen Bank eine zweite Sicherheitsfreigabe über einen generierten Code oder einen Fingerabdruck zu erteilen.
- Ein TAN-Generator als zusätzliches Verfahren, vor allem für die Kunden, die kein Mobiltelefon besitzen. Hier wird mit Hilfe der Bankkarte eine chipTAN oder smartTAN generiert.
Viele Banken und Sparkassen bieten die Verfahren kostenlos an, einige verlangen allerdings auch Geld dafür. Zur Umstellung werden die Kunden von ihren Instituten benachrichtigt und müssen i.d.R. ein Verfahren auswählen und entsprechend freischalten.