5.9.2019

Onlinebanking neu: Mehr Sicherheit, aber mit Rücksicht auf Konsumenten

Knapp 60 Prozent der ÖsterreicherInnen erledigen ihre Bankgeschäfte im Internet. Ab 14. September gibt es etwa für Überweisungen neben Verfügernummer, PIN und TAN-Code einige technische Neuerungen beim Online Banking. 

In der Theorie klingt es einfach und schlüssig: Eine neue EU-Richtlinie will für mehr Sicherheit beim Onlinebanking sorgen. Künftig soll es eine „starke Kundenauthentifizierung“ bzw. „2-Faktor-Authentifizierung“ geben. 

Bis jetzt brauchten KundInnen für Banktransaktionen im Internet ein Passwort, eine Verfügernummer und – zur endgültigen Bestätigung – einen TAN-Code. Dieser soll jetzt durch körperliche Merkmale wie Fingerabdruck oder Gesichtserkennung ergänzt werden. In der Praxis wird es für BankundInnen dadurch komplizierter. Einen einheitlichen Vorgang zur starken Kundenidentifizierung gibt es nicht, jede Bank setzt auf ihr eigenes System.  

Fix ist: Der PapierTAN ist Geschichte. Um den neuen Sicherheitsbestimmungen gerecht zu werden, bieten die Banken eigene Apps für Smartphones an. Problematisch ist, dass manche dafür gar keine SMS-TAN Verfahren mehr zur Verfügung stellen wollen. „Sehr kompliziert wird es für BankkundInnen ohne Smartphone. Diese brauchen einen TAN-Generator, also ein Gerät, das TAN-Codes erzeugt“, sagt AK Konsumentenschützer Christian Prantner.

Was ist die gesetzliche Basis dieser Änderungen?  

Die neuen Vorgaben basieren auf dem Zahlungsdienstegesetz (ZaDiG), das eine EU-Richtlinie (Zahlungsdiensterichtlinie) umsetzt. Die neuen gesetzlichen Vorgaben verbieten das alte iTAN-Verfahren (PapierTAN-Listen) endgültig und auch Kreditkartenzahlungen im Internet nur mit Kartennummer, Gültigkeitsdatum und Prüfziffer sind nicht mehr erlaubt, wobei laut den Bankaufsichtsbehörden die Onlinehändler aktuell noch eine Übergangsfrist bis 31.12.2020 nützen können. Die neuen gesetzlichen Regelungen gehen aus dem Zahlungsdienstegesetz hervor, das die entsprechenden Vorgaben der EU-Zahl­ungs­diensterichtlinie (PSD2) umsetzt. Die Details sind durch eine EU-Verordnung geregelt. Das Ziel der sogenannten starken Kundenauthentifizierung ist es, dass es mehr Sicherheit im Online Banking gibt. Konkrete Festlegungen gibt es in dieser EU-VO.

Welche TANs sind gesetzlich erlaubt?

In Österreich findet der PapierTAN seit einiger Zeit ohnehin keine Anwendung mehr, aber die österreichischen Banken stellen nun - auf freiwilliger Basis – dennoch ihre TAN-Verfahren um. Als neue Verfahren werden Apps für das Smartphone zur Authentifizierung eingesetzt und das SMS-TAN-Verfahren wird von manchen Banken nicht mehr angeboten. Die Erste Bank argumentiert die Einstellung des SMS-TAN-Verfahrens sogar mit den gesetzlichen Vorgaben, was nicht zutrifft, denn laut der Europäischen Bankenaufsichtsbehörde (EBA) (Seite 6, Pkt 25 und Tabelle auf Seite 7) sind die Elemente „Wissen" (Einmalpasswort TAN) und Besitz (SMS an ein Handy, dessen SIM-Karte und Telefnonnummer das Element „Besitz" ausmacht) beim TAN-Verfahren gegeben und die gesetzlichen Anforderungen damit erfüllt. 

Welche Neuerungen haben die österreichischen Banken vor?

Jede Bank kocht ihre eigene Suppe. Die Banken favorisieren eigene APPs, die als sicher angepriesen werden. Und die Banken forcieren die Möglichkeit, dass Online-Banking primär über das Smartphone vorgenommen werden soll – angeblich, weil dies den Kundenbedürfnissen und –erwartungen entspricht. Es gibt eine branchenübergreifende Lösung: das ist der sogenannte Push-TAN. Das ist, verkürzt gesagt, eine App, die auf das Smartphone oder den PC installiert werden muss. Das Onlinekonto und die App werden in weiterer Folge gekoppelt. Wenn die/der BankkundIn eine Zahlung beauftragt, wird eine Push-Nachricht an diese App geschickt, die sie/ihn auffordert, zu bestätigen, dass die Aktion auch wirklich durchgeführt werden soll.

Der angepriesene Sicherheitsvorteil gegenüber einem „klassischen" SMS-TAN: Die Übertragung erfolgt bei der Push-TAN-App - vom Server der Bank bis zur App - verschlüsselt. Die App selbst ist zusätzlich geschützt: entweder durch ein Passwort oder auch biometrischen Verfahren (Fingerabdruck, Gesichtserkennung). Die Banken betonen auch die Bequemlichkeit und die Sicherheit des Push-TAN-Verfahrens.

Die AK hat sieben Großbanken in Wien befragt, wie künftig die „technischen" Voraussetzungen für das Online-Banking aussehen.

  • Drei von sieben Banken stellen die Möglichkeit ein, die Authentifizierung mittels SMS-TAN vorzunehmen. Diese Banken bieten technische Alternativen in der Form von CardTAN-Generatoren, die – kleinen Taschenrechnern ähnlich – die Erzeugung einer Transaktionsnummer ermöglichen. Eine Bank forciert die Möglichkeit, dass sich ihre Kunden von SMS-TAN auf ihre Security App (Mobile oder Desktop) umstellen. Für Kunden, die kein Smartphone besitzen oder ihr Mobiltelefon nicht für Internet Banking verwenden möchten, ist die Umstellung auf einen TAN-Generator mit eigenem Markennamen angedacht, aber noch nicht umgesetzt.

  • Das SMS-TAN-Verfahren wird von vier Banken angeboten.

  • Alle sieben Banken bieten den BankkundInnen (neue) Authentifizierungs-Apps.  

Wie kommen Kunden zu den von den Banken forcierten Sicherheits-Apps?

Die Apps können zum Beispiel über Google Play, Apple App Store, Microsoft Store heruntergeladen werden. Das bedeutet, dass KonsumentInnen die technischen Voraussetzungen – vor allem die Betriebssysteme - auf ihren Endgeräten (zB Smartphone, PC etc.) haben, die einen Download ermöglichen. Bei Fragen sollte Ihnen die Bank für Beratung und Information zur Verfügung stehen. Nach erfolgter Installation muss die Push-TAN aus dem Onlinebanking aktiviert werden, damit das Konto und die Authentifizierungs-App verbunden werden. Die Anleitungen dazu sind auf Bankenwebsites zu finden. Es gibt jedoch technische Alternativen zu den Apps:

CardTAN-Generator: Das ist ein zusätzliches kleines Gerät, das seit Jahren erprobt ist, vor allem im Geschäftskundenbereich. Die BankkundInnen können das Gerät (nur) bei Ihrer Bank erwerben (meist sogar kostenlos). Sie brauchen aber auch eine CardTAN-fähige Debitkarte (Bankomatkarte).

Sie geben im Online-Banking wie gewohnt Ihre Überweisung ein und anstatt eines SMS TAN wird der TAN mittels CardTAN-Generator erstellt. Dazu halten Sie das Gerät auf Ihren Bildschirm um den „Flicker-Code" zu scannen. Der auf dem Display angezeigte TAN muss wieder am PC eingegeben werden. Das klingt nun sehr kompliziert – einfacher ist es, wenn Sie sich die Videos ansehen, die die Banken dazu auf den jeweiligen Homepages zur Verfügung stellen.

Gibt es Ausnahmen bei der „starken" Kundenauthentifizierung? Es gibt Ausnahmen, z.B. bei Kleinbeträgen (zB 30 Euro) oder bei wiederkehrenden Zahlungen an Empfänger, die nicht als „sensibel" eingestuft werden. Allerdings legt nach derzeitigem Wissenstand jede Bank ihre Ausnahmen individuell fest. 

Wie ist die Haftung der Kunden ausgestaltet?

Das Zahlungsdienstegesetz sieht vor, dass die Haftung für sogenannte nicht autorisierte Zahlungen (Missbrauch) auf 50 Euro begrenzt ist, und zwar für den Fall, dass nur leichte Fahrlässigkeit des Kunden vorliegt. Bei grober Fahrlässigkeit ist eine volle Haftung für den entstandenen Schaden möglich. Wenn der Verlust, der Diebstahl oder die missbräuchliche Verwendung eines Zahlungsinstruments für den Zahler vor einer Zahlung nicht bemerkbar war, dann gibt es nach dem Gesetz jedenfalls keine Haftung für den Kunden. Zu beachten sind immer Sorgfaltspflichten im Umgang mit den Zahlungsinstrumenten (zB Zahlungskarten, PC, Handy) und den geheimen Passwörtern. Weiters gibt es die Verpflichtung einen Missbrauch, Verlust oder Diebstahl sofort der Bank oder Kreditkartenfirma zu melden, sobald man ihn bemerkt hat. Ab der Sperre trifft den Kunden keine Haftung mehr. 

Wie schaut es mit dem Datenschutz aus?

Nicht alle Banken informieren KonsumentInnen vor dem Installieren der App darüber, welche Folgen das auf die Verarbeitung ihrer personenbezogenen Daten hat. Das erschwert es NutzerInnen, ein klares Bild darüber zu erhalten, weshalb die Anwendung den Zugriff auf bestimmte Funktionen ihres Endgeräts benötigt und welche Folgen das für ihre Privatsphäre hat. Die Beratung der AK Wien zeigt, dass KundInnen bei persönlicher Rückfragen dazu von ihren Banken oft keine Informationen erhalten. Die Anwendungen setzen auf verschlüsselte Kommunikation und erhöhen damit die Sicherheit ihrer KundInnen. 

Unsere Forderungen

All das sorgt für Verunsicherung und Überforderung. Seit einigen Wochen laufen die Telefone in der AK-Konsumentenschutzabteilung deshalb heiß. Hauptbeschwerdegründe waren: Unverständnis und Überforderung mit den neuen technischen Sicherheitsstandards, wie neue Apps, TAN-Generatoren oder neu ausgestellten Debitkarten. Viele Beschwerden betrafen die geplante Einstellung von SMS-TANs durch ein paar Banken (Erste Bank, Oberbank, Raiffeisenlandesbank NÖ-Wien); auch die sogenannten s-identity App der Erste Bank war oft Gegenstand von Anfragen.

Um die Umstellung konsumentenfreundlicher zu gestalten, fordert die AK daher: 

Wahlfreiheit: Die AK fordert, dass alle VerbraucherInnen weiterhin Entscheidungsfreiheit haben sollten, ob und wie umfassend sie am digitalen Leben teilnehmen wollen. Wenn KonsumentInnen von Zahlungsdienstleistern die digitale Kommunikation aufgezwungen wird, dann schränkt dies die Wahlfreiheit stark ein.

Beibehaltung des SMS TAN: Sicherheit ist wichtig, aber die Bankkundinnen sollen keine unnötigen bzw über die gesetzlichen Erfordernisse hinausgehenden Lösungen aufgezwängt werden. Das betrifft zum Beispiel die vielerorts erwähnte oder angedachte Einstellung des SMS TANs: es gibt aus der Sicht der AK keinen rechtlichen hinreichenden Grund, weshalb das SMS-TAN-Verfahren eingestellt werden sollte. Aus Bankenkreisen ist zu hören, dass der SMS TAN aus Kostengründen eingestellt werden soll. Dieses Kostendenken basiert jedoch nicht auf dem Sicherheitsgedanken der Zahlungsdiensterichtlinie und ist daher aus Konsumentensicht kein gesetzeskonformer Einstellungsgrund. Auch der Zwang zur Nutzung des Smartphone und einer Authentifizierungs App ist nicht im Sinne vieler Kunden – es gibt viele, die kein Smartphone besitzen und/oder keine App benutzen wollen. Zudem gibt es Bankkundinnen, die Online Banking bevorzugt auf einem PC mit entsprechender technischer Ausrüstung (Betriebssystem, Virenschutz) praktizieren wollen: Für diese Gruppe muss es – alternativ zu einer App – Angebote geben.

Kein Smartphone-Zwang, sondern technische Wahlfreiheit: Es darf daher keinen Zwang zum Smartphone mit den neuesten Betriebssystemen geben. KonsumentInnen sollten Internet Banking mit normalen Handys oder nur mit PCs (Standrechnern) betreiben können. Zudem kann es nicht im Sinne der Sicherheit sein, wenn alle „Zugänge" zu einer Bank ausschließlich auf dem Smartphone gespeichert sind – Probleme können etwa bei Verlust, Beschädigung oder Abhandenkommen aufkommen.

Fazit

Die BankkundInnen sollen durch neue Authentifizierungsregeln nicht dazu angehalten werden, ausschließlich auf die Nutzung eines Smartphones oder einer bestimmten Banking-App angewiesen zu sein – dies verengt die Wahlfreiheit. Zudem: Auch Banking Apps können von Betrügern oder Hackern „geknackt" werden.

Kein „Körberl-Geld" durch teure Zusatzprodukte: Als Alternativen zur Authentifizierungs App gibt es TAN-Generatoren, die das Aussehen kleiner Taschenrechner haben. Diese Geräte sollten – wenn nicht kostenlos – maximal zum Selbstkostenpreis an die Bankkundinnen abgegeben werden. Die neuen Sicherheitsstandards sollen kein neues „Geschäftsfeld" für neue Produkte darstellen, wie etwa kostenpflichtige Versicherungen, die gegen Missbrauch abgeschlossen werden können.

Keine neuen Spesen: Außerdem sollen die neuen Authentifizierungsregeln nicht dazu genutzt werden, neue Gebührenmodelle einzuführen, wie zB kostenpflichtige TANs. BankkundInnen haben einen Girokontovertrag mit vereinbarten Entgelten. Wenn es also jahrelang in der Werbetrommel der Banken geheißen hat, dass Internet Banking „kostenlos im Kontopakt" inkludiert ist, dann dürfen nicht einfach neue Spesenmodelle in den aufrechten Vertrag hineingeschummelt werden.

Traditionelle BankkundInnen nicht „bestrafen“: Jahrelang trommelten die Banken, dass Internet Banking kostenlos sei – und kostengünstiger als die Schaltertransaktionen. Fest steht: die Banken haben alle Schalter- bzw. Bartransaktionen in den letzten Jahren sehr verteuert. Das zeigt auch das AK-Bankenmonitoring.

Fazit

Traditionelle Bankkundinnen, die auf das Internet bewusst verzichten, sollen nicht mit hohen Spesen belastet werden – mit dem Hintergrund, auch diese Zielgruppe ins Internet Banking zu lenken. Es ist zu respektieren, wenn eine Bannkundin nicht in die digitale Welt einsteigen will. Diese Kunden sollen nicht zwangsweise in das Internet Banking gedrängt werden – vor allem nicht auf dem Weg, dass traditionelle Bankgeschäfte (am Schalter, im Bankfoyer) extrem verteuert werden. 

Tipps: So machen Sie Onlinebanking sicher!

Es ist bequem, all seine Bankgeschäfte online zu erledigen. Allerdings finden Betrügereien auch virtuell statt. Damit KundInnen keine bösen Überraschungen erleben, sollten sie diese Tipps beachten: 

  • Beratung und Information bei Banken einholen. Tipps und Videos mit Handlungsanleitungen finden sich auf deren Webseiten. 

  • Überlegen Sie aus Sicherheitsgründen, das Onlinebanking und die Push-TAN-App zu trennen – etwa das Online-Banking auf dem PC und die Sicherheits-App auf dem Handy.

  • Sichern Sie alle Geräte durch Passwort.

  • Installieren Sie die Sicherheits-Apps nicht auf mehreren Endgeräten. So vermeiden Sie mehrere Einfallstore für mögliche BetrügerInnen.

  • Sind Sie bei Ihrem E-Banking auf dem neuesten Stand? Informieren Sie sich rechtzeitig! 

  • Technisch unsicher? Die Banken bieten telefonisch und in der Filiale Unterstützung an. 

  • Achtung Phishing-Mails! Auch BetrügerInnen nutzen große Umstellungsphasen. Ihre Bank fragt Sie niemals online oder telefonisch nach Benutzernamen und Passwörtern.  

  • Virenschutz am PC und Smartphone installieren. 

  • Smartphone verloren oder gestohlen? Meldung an die Bank und Sperre des Kontos.

  • Haftung der BankkundInnen: Die gesetzliche Haftung ist bei nicht-autorisierten Zahlungen (Missbrauch) auf 50 Euro begrenzt ist (bei leichter Fahrlässigkeit des Kunden). Achtung, bei grober Fahrlässigkeit ist eine volle Haftung für den entstandenen Schaden möglich. Wenn der Verlust, der Diebstahl oder die missbräuchliche Verwendung eines Zahlungsinstruments für den Zahler vor einer Zahlung nicht bemerkbar war, dann gibt es nach dem Gesetz jedenfalls keine Haftung für den Kunden.

  • Passen Ihnen die technischen Neuerungen Ihrer Bank nicht? Dann ist es vielleicht Zeit, die Konto-Konditionen zu überprüfen. Dabei hilft der Bankenrechner: www.bankenrechner.at/girokonto

Kontakt