Mehr Schutz im Netz: Darum wird das Onlineshoppen kompliziert

In diesen Wochen erhalten alle Bankkunden Post von ihren Kreditinstituten. Denn spätestens am 14. September beginnt für die Inhaber von Girokonten, Geldkonten und Depots eine neue Ära. Von diesem Tag an greift eine neue EU-Richtlinie. Sie trägt den sperrigen Namen „Payment Services Directive“ oder PSD2. Für die Bürger bedeutet sie vor allem zweierlei: Zum einen reicht die Eingabe von normaler Nutzerkennung und Pin beim Login auf das Konto künftig nicht mehr aus. Zum anderen wird auch das Bezahlen von Onlinekäufen etwa auf Kreditkarte komplizierter.

Was sich ändert

Für jeden Zugriff und jede Transaktion ist ab 14. September zwingend einen sogenannte „starke Authentifizierung“ erforderlich. Das bedeutet: Egal ob man auf sein Konto zugreifen oder im Netz bezahlen will, muss man künftig auf zwei verschiedene Arten seine Identität belegen. Und: zwei Passwörter reichen dafür nicht. Der Nutzer muss sich auf zwei unterschiedliche Arten ausweisen. Dabei müssen zwei von drei Merkmalen erfüllt sein:  „Wissen“, „Inhärenz“ oder „Besitz“. Zu „Wissen“ (etwas, das nur der Kunde weiß) gehören die Pin oder eine ID. Zu „Inhärenz“ zählen biometrische Kennzeichen wie ein Fingerabdruck, ein Iris-Scan oder die Stimme. Mit „Besitz“ (etwas, das nur der Kunde hat) gehört die Handy-Sim oder ein Tan-Generator.

Ausnahmen von der starken Authentifizierung sind allerdings möglich: zum Beispiel wenn es Kleinstbeträge geht oder auch für eine Auswahl von Shops oder Diensten, die der Kunde für vertrauenswürdig hält und auf eine „White List“ setzt, der die Bank zustimmt. Nicht betroffen sind zudem via Telefon ausgelöste Kontobewegungen, von Händlern ausgelöste Zahlungen, etwa für Abonnements, oder auch Einsätze der Karten außerhalb des europäischen Wirtschaftsraum, das heißt in anderen Ländern als der EU sowie Norwegen, Liechtenstein und Island. Für Einsätze der Kreditkarte etwa in der Schweiz, in den USA, in der Türkei oder in Israel gilt das neue Regelwerk also nicht.

Die zweite Neuerung, die die PSD2 mit sich bringt, ist nichts geringeres als eine stille Revolution: Banken verlieren die alleinigen Rechte auf die Daten ihrer Kunden und müssen Drittanbietern künftig einen Zugriff aufs Konto gewähren – so diese es erlauben.

Was das für Folgen hat

Onlineeinkäufe zum Beispiel werden mit den neuen Regelungen sicherer, aber auch aufwändiger. Der Handel befürchtet sogar, dass nicht wenige Kunden von den Neuerungen und Herausforderungen irritiert sein und Transaktionen bei Onlinekäufen entnervt abbrechen könnten. Wer mit Kreditkarte im Netz zahlt, braucht bislang lediglich die Kartennummer, das Ablaufdatum und die Prüfziffer eingeben. Künftig wird das aber nicht reichen. Verlangt wird dann ein zweiter Faktor wie ein Sicherheitscode. Händler, die ihre Bezahlsysteme bereits auf eine solche zwei-Faktor-Authentifizierung umgestellt hätten, berichteten jedoch von mehr Kaufabbrüchen und gesunkenen Umsätzen, heißt es beim europäischen Dachhandelsverband Euro Commerce.

Auch wer ab 14. September weiter ohne Hindernis sein Konto checken will, muss sich mit den Veränderungen bei seiner Bank auseinandersetzen. So werden Benutzername und Passwort künftig nicht mehr reichen, um aufs Onlinekonto zuzugreifen. Wie bei der Überweisung üblich, wird man in Zukunft schon beim Login neben dem Passwort eine zusätzliche Tan eingeben müssen.

Welche Verfahren es gibt

Schon jetzt bieten Banken verschiedene Methoden an, um ein zusätzliches Einmal-Passwort zu generieren. Bislang braucht man das allerdings erst, wenn man Geld überweisen will. Künftig muss man die zusätzliche Tan bereits generieren, um sich überhaupt beim Onlinebanking einzuloggen.

Gängige Verfahren sind zum Beispiel App-Tan oder PushTan, bei denen die Tan in einer selbst Pin-gesicherten App auf dem Smartphone generiert wird. Eine Alternative ist die PhotoTan, die entweder mit einem gesonderten Gerät oder aber ebenfalls über eine App funktioniert. Auch die Chip-Tan ist eine Option, bei der die Tan über einen externen Generator erzeugt wird.

Noch bieten viele Institute auch die Mobile-Tan an, bei der die Bank die Tan per Sms zuschickt.  Mit ihr wird man künftig aber wohl nicht mehr auf alle Banking-Funktionen zugreifen können. Einige Banken schalten sie wie zum Beispiel die Berliner Sparkasse gerade komplett ab. Die Postbank verabschiedet sich ebenfalls bis August von der Mobile-Tan. Weitere Informationen zu den Tan-Verfahren, finden Sie hier.

Unterschiede bei den Banken

Nicht bei jeder Bank sind die Anforderungen gleich hoch. Bei der ING etwa gilt die neue Regelung nur für Girokonten, nicht aber für andere Konten. Während man die herkömmlichen iTAN-Listen aus Papier bei den meisten Banken ab September entsorgen kann, rät die ING, selbige unbedingt aufzuheben. Denn man brauche sie, um die Banking-App für das Smartphone neu zu installieren. Auch ob die zwei starken Authentifizierungsmerkmale bei jedem Login oder nur alle 90 Tage abgefragt werden, hängt von der Bank ab.

Tan-Systeme sind zudem in manchen Fällen nur noch mit einem einzigen Endgerät nutzbar. So weist die Sparda Bank Berlin explizit darauf hin, dass ihr Verfahren SecureGo, das in einer App die Tan generiert, nur mit einem einzigen für den Vorgang zugelassenen Gerät funktioniert. Mit anderen Worten: Man kann die App nicht abwechselnd auf Smartphone und iPad nutzen.