Änderungen beim TAN-Verfahren

Vor allem das Zahlen mit Kreditkarte wird sicherer

© Ngampol/stock.adobe.com

Die EU will Bürgerinnen und Bürger besser vor Internetbetrügern schützen. Seit Mitte September 2019 gilt in der Europäischen Union daher die neue „Zahlungsdiensterichtlinie II“ (PSD2) für das Online-Banking sowie beim Bezahlen im Internet. Sie sorgt dafür, dass es Cyberkriminellen erschwert wird, auf Konten zuzugreifen. David Riechmann, Referent für Bank- und Kapitalmarktrecht bei der Verbraucherzentrale NRW, erklärt die wichtigsten Änderungen.

Keine TAN-Listen mehr auf Papier

Eine der wichtigsten Neuerungen: TAN-Listen auf Papier sind nicht mehr erlaubt. Das heißt, dass TANs nun entweder per SMS, per TAN-Generator oder über eine Smartphone-App übermittelt werden müssen. „TAN-Listen auf Papier galten schon länger als unsichere Methode, weil sie nicht mit den Transaktionsdaten verbunden und damit ein vergleichbar leichtes Ziel von Phishing-Attacken waren“, weiß David Riechmann. Neu ist auch, dass man schon beim Einloggen in den Online-Bankaccount zur Eingabe einer TAN aufgefordert werden kann. „Das muss aber nicht der Fall sein. Verpflichtet ist die Bank dazu nur, wenn der Kunde im Online-Banking auf mehr zugreifen kann als auf den Kontostand und die Zahlungsvorgänge der letzten 90 Tage. Auch wenn man sich das erste Mal im Online-Banking anmeldet oder seit der letzten Anmeldung mehr als 90 Tage vergangen sind, muss die zusätzliche Hürde eingebaut werden“, so der Experte.

Zwei-Faktor-Authentifizierung verpflichtend

Beim Online-Banking ist schon lange die Regel: Wer eine Überweisung tätigt, muss sich mithilfe von zwei Faktoren authentifizieren, also als die Person ausweisen, der das Konto gehört. Das geschieht meist mit einer PIN oder einem Passwort in Verbindung mit einer TAN. Dies wird nun auch beim Bezahlen mit Kreditkarte Pflicht. Insgesamt gibt es drei Faktoren, die zur Authentifizierung eingesetzt werden können:

• z. B. eine PIN oder ein Passwort (Faktor „Wissen“)
• z. B. eine Bankkarte oder ein Handy, das SMS empfängt (Faktor „Besitz“)
• Biometrische Merkmale wie z. B. ein Fingerabdruck (Faktor „Inhärenz“)

„Es ist nun für die Banken verpflichtend, grundsätzlich zwei dieser drei Merkmale für die Authentifizierung des Kunden einzusetzen – nicht nur beim Online-Banking, sondern auch beim Online-Shopping mit Kreditkarte“, weiß David Riechmann. Dadurch soll das Bezahlen im Internet sicherer werden. „Bislang konnte man mit der Kreditkartennummer und der Prüfziffer auf der Kartenrückseite einkaufen. Waren Betrüger einmal im Besitz der Daten, konnten sie leicht missbraucht werden.“ Da es vor allem im Online-Handel noch Probleme bei der Umstellung auf die neuen Verfahren gibt, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eine Fristverlängerung bis Ende 2020 gewährt. Daher ist es bei einigen Anbietern immer noch möglich, ohne die starke Authentifizierung per Kreditkarte zu bezahlen. „Den Kunden entsteht dadurch aber kein Nachteil“, betont der Finanzexperte. „Kommt es zu einem Schaden, haftet die jeweilige Bank.“