Kunden der Bank Austria müssen es ab Montag tun. Für Kunden anderer Banken ist es längst Routine. Wieder andere haben noch ein paar Tage Zeit. Aber nicht mehr viele. Denn ab 14. September gilt die EU-Zahlungsdiensterichtlinie PSD2. Damit soll das Onlinebanking sicherer gemacht werden. Für Kunden bedeutet das eine Umstellung.

Zwei Faktoren müssen nun für die Nutzung der Onlinebankingdienste verwendet werden. Der bisherige Login via Verfügernummer und PIN-Code reicht dann nicht mehr aus. Auch der TAN-Code zur Bestätigung von Transaktionen ist dann in vielen Fällen nicht mehr vorhanden, denn künftig gibt es eine stärkere Kundenauthentifizierung, die in der Praxis Zwei-Faktor-Authentifizierung genannt wird.

Drei Kategorien

Drei verschiedene Kategorien stehen den Banken zur Verfügung, um diese zwei Faktoren für die Authentifizierung herzustellen. Diese sind:

• Wissen – also etwas, das nur der Benutzer weiß, etwa ein PIN-Code.
• Besitz – etwas, das nur der Nutzer besitzt, etwa einen TAN-Code oder das Smartphone.
• Inhärenz – etwas, das nur der Nutzer hat, also biometrische Daten wie Fingerprint.

Dass drei Möglichkeiten für eine Zwei-Faktor-Identifizierung für Verwirrung sorgen können, liegt auf der Hand. Und so ist es nun auch. Denn nicht jede Bank setzt auf die gleiche Kombination aus Faktoren. Einige Banken streichen die TAN-Codes komplett – auch jene, die per SMS verschickt wurden, und leiten ihre Kunden zu einer neuen Sicherheitsebene via App um. Der Kunde wird über die App identifiziert und damit autorisiert. Auf diese Kombination setzen beispielsweise die Raiffeisen Bank und die Erste Group Österreich. In der App – bei der Erste Group heißt diese s-Identity – können Kunden dann zwischen einem PIN und biometrischen Daten wählen.

Zugangskontrollen verschärft

Bei der Bawag und der Bank Austria hingegen wird der Zugang zum Onlinebanking verschärft. Beim ersten Login nach der Umstellung müssen Kunden einen TAN eingeben, den sie per SMS erhalten. Wer sein Banking in einem Browser erledigt, muss alle 90 Tage einen neuen TAN eingeben, Nutzer der Banking-App müssen das nicht tun. Der SMS-TAN wird in diesen Häusern also noch weiterleben.

60 Prozent der Österreicher erledigen ihre Bankgeschäfte bereits im Internet. Umstellungen in diesem Bereich rufen immer auch große Skepsis hervor, warnt die Arbeiterkammer (AK). Noch dazu, wenn die Lösung nicht in jeder Bank einheitlich ist. Vor allem für jene Kunden, die kein Smartphone haben und damit auch keine App installieren können, wird es einen Schritt komplizierter. "Sie brauchen einen TAN-Generator, also ein Gerät, das TAN-Codes erzeugt", erklärt Christian Prantner, Konsumentenschützer der AK. Kunden fühlten sich von der seit Wochen laufenden Umstellung teils überfordert.

Nachfragen

Die Telefone der Konsumentenschutzabteilung in der Arbeiterkammer laufen seit einigen Wochen diesbezüglich heiß, teilt die AK mit. Sie rät dazu, dass Kunden bei ihrer Bank nachfragen, was sie im konkreten Fall tun müssen. Auf den Bankwebsites stehen Informationen und Videos mit Anleitungen zur Verfügung. Wer sich nicht um die neuen Sicherheitsfeatures kümmert, kann ab 14. September sein Onlinebanking nicht mehr verwenden.

Hintergrund all dessen ist das Vorhaben der EU, das Banking in Summe sicherer zu machen. Denn wer sich online Zugang zu einem Konto verschafft, kann über die dort liegende Summe verfügen, wenn er auch die TAN-Liste des betroffenen Kunden hat. Da es mit diesen Papier-TANs, die per Post verschickt werden, zu Betrügereien gekommen ist, werden diese nun eingestellt. Dass per SMS verschickte TANs ausgelesen werden können, darauf weisen Datenschützer hin. Bankexperten betonen aber die Sicherheit dieses Systems. Der Schaden ist bei dieser Betrugsform jedenfalls schnell größer, als wenn jemandem die Geldbörse gestohlen wird. Diesbezügliche Schäden, die durch das Hacken von Konten in Europa in den vergangenen Jahren entstanden sind, gehen in die Millionen. Haften muss hier oft die Bank. Mit der Umsetzung der neuen EU-Richtlinie soll also nicht nur das Banking sicherer werden – es soll damit auch Betrügern schwerer gemacht werden, Zugang zum Konto zu erlangen. (Bettina Pfluger, 8.9.2019)