Schutz vor App-Abzocken: Kostenloses Webinar am Mittwoch, 18. September um 18 Uhr. Melden Sie sich hier an.

Onlinebanking und -shopping: Was sich bei TAN-Verfahren ändert

Stand:

Beim Onlinebanking und Bezahlen in Online-Shops will die EU für mehr Sicherheit sorgen – die Umsetzung führt aber zu Verunsicherung. Einige Banken und Sparkassen drängen Verbraucher zu Apps und kostenpflichtigen Verfahren.

Das Wichtigste in Kürze:

  • Ab 14. September 2019 gelten in der EU neue Sicherheitsvorgaben beim Onlinebanking und auch für das Bezahlen im Netz. TAN-Listen auf Papier sind dann nicht mehr erlaubt. Und beim Bezahlen mit Kreditkarte wird sich einiges tun.
  • Schon vor dem Stichtag haben viele Banken und Sparkassen ihre Sicherheitsverfahren umgestellt. Einige verabschieden sich neben den Papierlisten auch von anderen TAN-Verfahren.
  • Diese Umstellung kann sehr verwirrend oder sogar widersprüchlich wirken. Deshalb ist es wichtig, sich mit den Änderungen vertraut zu machen und beim eigenen Anbieter zu informieren, welche Sicherheitsanforderungen dieser konkret künftig verlangt.
  • Banken und Sparkassen fordern zunehmend die Nutzung von Smartphones und speziellen Apps. Alternativen sind oft nur noch TAN-Generatoren und SMS.
Ein TAN-Rechner mit einem Kugelschreiber
TAN-Listen auf Papier schafft die EU am 14. September 2019 ab.
On

Was sich im September ändert – und warum

Banken und ihre Kunden werden heute meist digital angegriffen. Täter stürmen keine Filialen mehr, sondern versuchen beim Onlineshopping und -banking zuzuschlagen. Die EU hat zwar schon recht umfassend dafür gesorgt, dass Sie als Kunde nicht auf den Schäden sitzenbleiben (vorausgesetzt Sie haben keine eigenen schwerwiegenden Sicherheitsfehler begangen). Die Schäden bei den Banken, Sparkassen und Zahlungsdiensten (ab hier kurz: Banken) nehmen aber zu – und am Ende zahlen wir sie über höhere Kontokosten und Preise alle.

Die neuen Regeln der EU, die am 14. September in Kraft treten, sollen es Betrügern schwieriger machen (die so genannte Zahlungsdiensterichtlinie II / PSD2). Weil Handel und Banken es nicht rechtzeitig geschafft haben, ihre Verfahren für Online-Einkäufe auf Kreditkarte umzustellen, gewährt die Finanzaufsicht BaFin eine Übergangsfrist. Stichtag für Kreditkarten ist also nicht mehr der 14. September. Welches Datum stattdessen gilt, hat die BaFin am 21. August 2019 noch nicht mitgeteilt.

Die EU setzt mit ihren Regeln auf zwei Schutzmechanismen:

  1. Eine einzigartige TAN für jeden Zahlungsvorgang wird Pflicht
    Täter haben sich immer wieder in Abläufe beim Onlinebanking eingeschaltet und die Aufträge verändert – indem sie zum Beispiel eine Überweisung auf ihr Konto umgelenkt haben. Damit das nicht mehr möglich ist, verlangen viele Banken schon seit 2011 von ihren Kunden, dass sie einen ganz bestimmten Freigabe-Code (TAN) angeben müssen, der zu einem konkreten Auftrag, wie etwa "Überweisung von X Euro an das Konto mit der Nummer Y", gehört.
    Diese Codes wurden meist per SMS übermittelt oder mit kleinen Zusatzgeräten (TAN-Generatoren) erzeugt. Inzwischen gibt es dafür immer häufiger auch Apps. Einige Banken verwendeten aber weiterhin einfache TAN-Listen auf Papier, die der EU nicht mehr genügen und die spätestens ab dem 14. September 2019 abgeschafft werden.
  2. Zwei Faktoren werden Pflicht
    Beim Onlinebanking brauchte man immer schon eine PIN zum Einloggen und eine TAN als Code für die Überweisung. Mit einem geklauten Passwort allein konnten Betrüger also nie Geld vom Konto holen. Noch sicherer: Mit der TAN per SMS oder einem TAN-Generator kam sogar noch ein zweites Gerät dazu. Selbst wenn der Computer mit einem Virus infiziert ist, kommen Betrüger dann nicht so leicht weiter.
    Beim Onlineshopping sah das bis heute anders aus: Im Internet brauchte man oft nur die Kreditkartenummer mit Prüfziffer angegeben. Ob da tatsächlich der Besitzer der Karte einkauft oder ein Betrüger die Karte / die Daten gestohlen hat, konnte niemand so richtig prüfen. Dies ändert sich nun. Der Sicherheitsaufwand, der vom Onlinebanking schon bekannt ist, wird nun auch für den Einsatz von Kreditkarten verlangt.

Künftig müssen auch beim Onlineshopping mindestens zwei von drei Merkmalen eingesetzt werden.

Um diese drei Merkmale geht es:

  • etwas haben (zum Beispiel ein Handy, das SMS empfängt oder eine Karte)
  • etwas wissen (zum Beispiel PIN oder Passwort)
  • etwas sein (zum Beispiel biometrische Merkmale wie ein Fingerabdruck)
Grafik mit Erklärung nötiger Merkmale beim Onlinebanking

Eine weitere wichtige Neuerung durch die neuen EU-Regeln: Falls Betrüger Geld abheben, überweisen oder Waren einkaufen, ist die Haftung klarer. Banken, Sparkassen und Händler müssen für die beschriebenen Sicherheitsvorkehrungen sorgen. Tun sie das nicht, müssen sie für die Schäden gerade stehen. Stiehlt zum Beispiel jemand Ihre Kreditkarte und kauft damit bei einem Händler ohne die beschriebenen zwei Faktoren ein, kann viel Geld weg sein. Das muss dann aber der Händler Ihrer Bank erstatten, nicht Sie.

Die TAN-Verfahren im Kurzportrait

Von der SMS-TAN bis zu speziellen Apps: Wie sicher die jeweiligen Verfahren sind, haben wir in einem separaten Beitrag zusammengestellt.

Keine Regel ohne Ausnahme

Der Aufwand für die neue Sicherheit beim Bezahlen ist nicht unbeachtlich. Daher gibt es einige gesetzlich zugelassene Ausnahmen.

Diese sind:

  • Zahlungen beim Einkaufen sind bis 30 Euro frei von aufwändigen Sicherheitsverfahren – zumindest wenn Sie zwischendurch auch wieder geprüft zahlen.
  • Kontaktloses Bezahlen mit dem NFC-Chip in Smartphone oder Karte, je nach Anbieter bis zu 50 Euro je Vorgang.
  • Bei wiederkehrenden Zahlungen muss nicht jede erneut bestätigt werden. Das betrifft zum Beispiel Daueraufträge für den Stromvertrag und die Miete. Einen solchen Dauerauftrag richten Sie einmal ein, dann wird er jeden Monat ohne neue Sicherheitsprüfung ausgeführt.
  • Online-Shops, die Sie häufig nutzen, können Sie künftig auf eine Liste sicherer Zahlungsempfänger setzen.
  • Anbieter können sich unter bestimmten Voraussetzungen von aufwändigen Sicherheitsverfahren bei Kreditkarten befreien lassen. Das kann technische Gründe haben und dürfte eher die Ausnahme bleiben.

Auch bei der Umstellung gilt: Vorsicht vor Betrügern!

Kunden werden durch die Umstellung auf neue oder ungewohnte Sicherheitsverfahren verunsichert. Betrüger könnten diese Umstellungsphase für sich nutzen und etwa per Phishing-Maschen Zugriff auf Konten suchen. Jede Umstellung solcher Verfahren ist eine Gefahr, auf Straftäter hereinzufallen.

Machen Sie sich selbst ein Bild von den neuen Sicherheitsverfahren Ihrer Bank (sowohl fürs Onlinebanking als auch für die Kreditkarte) und fragen Sie bei Unklarheiten dort nach. Lassen Sie sich nicht verunsichern. Seien Sie besonders skeptisch, wenn E-Mails mit Hinweisen und Anweisungen verdächtig formuliert sind. Typische Merkmale für Phishing-Mails haben wir hier zusammengestellt.

Komme ich künftig ohne Smartphone nicht mehr zurecht?

Viele Banken setzen verstärkt auf eigene Apps für die TAN-Verfahren. Diese Lösungen sind zum Teil ziemlich komfortabel anzuwenden und verursachen oft keine zusätzlichen Kosten. Das übt einen gewissen Druck auf Kunden aus, ein Smartphone zu nutzen.

Achtung: Wenn Sie ein TAN-Verfahren per App wählen, müssen Sie wohl regelmäßig ein neues Smartphone kaufen. Wenn es für ein Modell keine Sicherheits-Updates mehr gibt, funktionieren die Apps der Banken meist nicht mehr.

Wer ein Smartphone nicht einsetzen kann oder will, findet beim Onlinebanking regelmäßig Alternativen. Weit verbreitet sind zum Beispiel TAN-Generatoren oder noch die SMS-TAN. Achten Sie dabei auf die Kosten und suchen Sie im Zweifel nach einem günstigeren Kontomodell oder einer anderen Bank. Die Stiftung Warentest gibt einen Überblick über zahlreiche Kontomodelle und was sie jeweils kosten.

Wenn es ums Onlineshopping mit Kreditkarte geht, sehen wir ebenfalls einen Trend zur App. Hier kann es sogar vorkommen, dass ein Anbieter erklärt: Ohne Smartphone oder Tablet mit App, keine Kartenzahlung mehr im Internet. So lesen wir zum Beispiel die entsprechenden FAQ der Sparkassen-Lösung S-ID-Check.  Zunächst bleibt nur die Alternative, zu einem anderen Konto-Anbieter zu wechseln oder die Kreditkarte über einen anderen Anbieter zu beziehen.

Gibt es Zusatzkosten für die Sicherheitsverfahren?

Darauf sollten Sie achten: Einige Banken berechnen für die Sicherheitsverfahren etwas. Dann können Kosten etwa für jede SMS entstehen. TAN-Generatoren werden von einigen Banken kostenfrei zur Verfügung gestellt. Bei anderen müssen Sie sie kaufen. Viele Generatoren lassen sich für mehrere Konten und Anbieter nutzen, weil Sie immer Ihre zugehörige Zahlungskarte hineinschieben.

Dass Verbraucher für die Sicherheitsverfahren extra bezahlen sollen, ist aus Sicht der Verbraucherzentralen ein klarer Fehler. Dass eine Bank sich davor schützt, auf einen Betrüger hereinzufallen, ist keine Zusatzdienstleistung für den Kunden. Die Kosten für diese Maßnahmen sollten mit dem Kontoentgelt bereits abgerechnet sein. Der Gesetzeber hat zusätzliche Kosten für Sicherheitsverfahren aber leider zugelassen.

Auch beim Einloggen ins Onlinebanking kann eine TAN erforderlich sein

Einige Institute kündigen an, dass schon beim Zugang zum Onlinebanking selbst eine TAN notwendig sein wird. Andere warnen bisher ausdrücklich davor, schon bei der Anmeldung eine TAN anzugeben, weil das in der Vergangenheit ein beliebter Betrugstrick war. Was stimmt denn nun?

Unter bestimmten Voraussetzungen ist es künftig Pflicht, sich auch schon für die Anmeldung zum Onlinebanking mit PIN und einer TAN einzuloggen:

  • Wenn Sie im Onlinebanking mehr Zugriff bekommen als nur auf Kontostand und Zahlungsvorgänge der vergangenen 90 Tage.
  • Wenn mehr als 90 Tage vergangen sind seit dem letzten Anmelden mit einer TAN.
  • Bei der ersten Anmeldung ins Onlinebanking.

Der zusätzliche Aufwand beim Einloggen dient aber letztlich auch Ihrer Sicherheit. Fremde können dann nicht so leicht einsehen, was auf Ihrem Konto passiert, Ihre Daten sind also besser geschützt. Und online jederzeit kostenlosen Zugriff auf die Kontoauszüge vieler Monate zu haben, kann ein angenehmer Service sein.

Verlangen Banken künftig beim Anmelden eine TAN, ist das also rechtens. War das bei Ihrem Konto bisher nicht so und werden Sie plötzlich unerwartet mit der Eingabe einer TAN konfrontiert, heißt es aber wachsam sein. Fragen Sie im Zweifel bei Ihrer Bank nach, ob das Verfahren verändert wurde.