Zuletzt aktualisiert am

Einfach war gestern – Onlinebanking wird künftig deutlich komplizierter, weil die EU neue Regeln eingeführt hat. Wer seine Überweisungen am heimischen PC erledigen will, braucht künftig bei einigen Banken ein Bestsign-Gerät oder einen TAN-Generator. Minimum-Investition 15 Euro.

Die Europäische Union (EU) beamt Kunden mit Onlinebanking zurück in die Vergangenheit – und dafür müssen sie auch noch bezahlen. Bislang – und das gilt noch bis 14. September 2019 – war und ist es ganz easy, online eine Überweisung nach Eingabe seiner PIN (Persönlichen Identifikationsnummer) und einer per SMS generierten TAN (Transaktionsnummer) zu erledigen. Das ist ab 15. September 2019 vorbei. Denn ab 15. September müssen sich die Kunden der Banken und Sparkassen doppelt ausweisen. Das verlangt die europäische Zahlungsdiensterichtlinie PSD2 (Payment Services Directive2).

Für Postbank-Kunden endet das Mobile-TAN-Verfahren schon am 11. August 2019, denn dann wird dieses einfache Onlinebanking deaktiviert – „für maximale und komfortable Sicherheit beim Onlinebanking“ (O-Ton Postbank). Aber wer dem nicht zustimmt, kann ja „kostenlos und fristlos kündigen“ (O-Ton Postbank). Die Krönung: Die Postbank nutzt zur Änderung ihrer Konditionen die sogenannte Negativ-Option, das heißt, sagt der Kunde bis 11. August 2019 nicht definitiv „nein“, gilt seine Zustimmung als erteilt.

Onlinebanking wird komplizierter

Zurzeit verschicken Banken und Sparkassen Millionen Briefe an ihre Kunden, in denen sie ankündigen, dass es vorbei ist mit TAN-Listen und dem mobilen TAN-Verfahren. Wer bislang bequem von unterwegs online Rechnungen beglichen hat, braucht künftig ein App, wenn er diesen Service per Handy oder Tablett erledigen will, für den Laptop muss er sich ein Bestsign-Gerät anschaffen oder einen TAN-Generator. TAN-Generatoren sind billiger als Bestsign-Geräte, aber so rund 15 Euro kosten diese Boxen allemal. Für Bestsign-Geräte müssen die Kunden das Doppelte löhnen. Onlinebanking wird künftig komplizierter.

Banken erhöhen die Preise

Wer immer noch auf Belegen besteht, muss künftig deutlich tiefer in die Tasche greifen. Bei der Postbank beispielsweise kostet eine Überweisung oder eine Scheckeinzugsauftrag beim Postgiro direkt 2,50 Euro und beim Postbank Giro plus 1,90 Euro.

Die Digital-Divide, sprich, die digitale Kluft wird damit beim Onlinebanking deutlich größer; das Verfahren komplizierter. Wer seine Bankgeschäfte gar noch beleghaft abwickeln will, muss künftiger schon tiefer in die Tasche greifen. Aber auch für die Onliner wird es teurer, weil sie sich extra ein Gerät anschaffen müssen, wollen sie ihre Bankgeschäfte am PC oder Laptop erledigen.

TAN-Generator oder App

Wer glaubt, Banken und Sparkassen würden sich darum kümmern, ihre Kunden aufzuklären und sogar mit entsprechenden Geräten zum Selbstkostenpreis zu versorgen, der irrt gewaltig.

Kunde muss sich „doppelt ausweisen“

Der Grund für diese Änderung, Banken seien verpflichtet, so die Postbank eine „starke Kundenauthentifizierung“ zu verlangen, wenn online auf ein Zahlungskonto zugegriffen werde. Die EU verlange eine „starke Kundenauthentifizierung“. Das bisherig PIN- und TAN-Verfahren gilt nicht mehr, zumindest betrifft das die TAN-Listen, die einige Banken noch verschickten. Aber, auch das SMS-TAN-Verfahren verschwindet teilweise, zumindest bei der Postbank.

Änderungen auch bei Onlinekauf

PSD2 wird auch den Onlinekauf per Kreditkarte und Paypal verändern. Denn die Strong Customer Authentication (SCA) gilt ab 14. September 2019 auch für Kreditkarte und Paypal. Die SCA verpflichtet jeden, der ab dem 14. September 2019 online bezahlt, sich doppelt authentifizieren muss. Was genau bedeutet das?

Bisher war es so, schreibt das Jimdo-Magazin für Unternehmer „8 Days:

Wer online eine Reise bucht, konnte diese zum Beispiel nur mit der Kreditkarten- plus Sicherheitsnummer (und Verfallsdatum) bezahlen. Genauso reichte es aus, sich mit einem Passwort beispielsweise bei PayPal einzuloggen und die Rechnung so begleichen. Nun ist dafür ein zweiter Sicherheitsfaktor beim bargeldlosen Zahlungsverkehr nötig. Um zu bezahlen, brauchen Käufer jetzt zwei dieser drei Faktoren:
Etwas, das man weiß: Pin, Passwort
Etwas, das man besitzt: registriertes Smartphone, Karte (mit Nummer)
Etwas Persönliches: Fingerabdruck, Gesichtsmerkmale

Künftig werde jeder Kartenzahler, so die „Welt“, für Onlinebanking zusätzlich eine Zeichenkombination brauchen, die ihm auf das Handy geschickt wird, um die Zahlung freizugeben. „Oder er muss per Fingerabdruckleser des Smartphones nachweisen, dass er der rechtmäßige Nutzer der Karte ist“, schreibt die „Welt“ weiter.

Warum soll die SMS entfallen?

Hat die Postbank das Kind mit dem Bade ausgeschüttet? Oder will sie sich den SMS-Versand sparen. Das mutmaßt auch die „Welt“. Der Verdacht kommt auf, denn das Mobile-TAN-Verfahren garantiert ja schon das Zwei-Sicherheitsfaktor-Prinzip. Onlinebanker müssen bei der Postbank schon bisher etwas wissen (ID und Passwort) und etwas besitzen (Smartphone). Die Transaktionsnummer, wird ja speziell für den einen Vorgang generiert.

Was ist ein TAN-Generator?

Postbank-Onlinebanker brauche also künftig ein Bestsign-Gerät oder einen TAN-Generator, das ist ein Lesegeräte im Taschenrechnerformat. Allein, um den TAN-Generator einzurichten, muss der Postbankkunde sieben Schritte absolvieren, für eine Überweisung braucht es sogar zehn Schritte. Der Kunde muss den TAN-Generator sogar an den Bildschirm halten, wehe das Licht fällt ungünstig ein, dann wird’s nichts mit der Überweisung, weil der TAN-Generator einen Fehler anzeigt. Bei sommerlicher Hitze reagieren die TAN-Generatoren auch überaus empfindlich – und auch wieder mit einer Fehlermeldung. Offensichtlich glaubt die Postbank, sie kann ihre Kunde damit zum Smartphone-Banking zwingen.

Was ist mit Kreditkarte und Paypal?

Wer per Internet einkauft, bezahlt häufig mit Kreditkarte oder auch über PayPal. Es ist immer noch nicht klar, wie Unternehmen wie Visa und Mastercard das Problem lösen. Hier werde der Kunde, so die „Welt“ einen zweiten Faktor liefern müssen, dass er tatsächlich derjenige ist, der er vorgibt zu sein. Bislang lassen Visa, Mastercard und Paypal ihre Kunden im Unklaren, was das denn praktisch heißt. Der „Bargeldlosblog“ hat mal schön beschrieben in seinem Beitrag „Die PSD2 – ein Theaterstück“:

Visa und Mastercard wollen bei Zahlungen im Internet mit Kreditkarten künftig Abfrageroutinen etablieren. „Soll der [Webshop, Dienstleister, Anbieter] auf Deine Whitelist gesetzt werden?“. Eine solche Abfrage soll automatisch nach jeder Kartenzahlung im Netz erfolgen. Banken und Acquirer möchten die entsprechende Technik  bitteschön implementieren, um die Whitelists im Online Banking anzufüllen.“ Und weiter heißt es, Visa werde verschiedene Möglichkeiten prüfen, um dies zu unterstützen. Was das genau heißt? Fehlanzeige!

Die EU hat mit PSD2 ein neues Bürokratiemonster geschaffen, dass Verbrauchern, Banken und Handel das Leben schwer macht. Der Brief der Postbank dürfte nur die Spitze des Eisbergs sein. Die Probleme werden erst im Laufe der nächsten Wochen so richtig auftauchen, wenn Kreditkartenfirmen und Paypal auf PSD2 reagieren müssen. t3n schreibt provokant „Die DSGVO war komplex? Dann wartet mal SCA ab!“. Leider ist dem nichts hinzuzufügen.

Einer aktuellen Umfrage zur Strong Customer Authentication (SCA) unter 1000 deutschen Verbrauchern zufolge bevorzugt jeder dritte schnelle Bezahlmethoden im Vergleich zu sicheren, aber zeitraubenden Methoden, schreibt finletter. Fast die Hälfte der Befragten hat demnach bereits mindestens einen Online-Kauf abgebrochen, weil der Sicherheitsprozess zu langwierig schien.

#onlinebanking #postbank #visa #mastercard #paypal #bank #sca

 

Posted by Helmut Achatz

Vorruheständler, Journalist, Börsianer, Vorstand VHS Olching, Wirtschaftsingenieur,

10 Comments

  1. Das Bürokratiemonster PSD2 schlägt nicht nur bei der Postbank zu. Ich musste mir bei der HVB und bei Consors je einen TAN Generator kaufen und meinte damit die Sicherheitslücke mobiles Phone umgangen zu haben. Aber Pfeifendeckel: für die Inbetriebnahme des TAN Generators braucht man zwingend eine Mobilphonnummer.
    Jede Überweisung erfordert nun folgende Schritte zusätzlich:
    Identifizierung via TAN Generators, das ist
    * PIN des TAN Generators eingeben
    * QR Code scannen
    * 6-stellige TAN vom TAN Generator abschreiben
    * TAN auf dem PC eingeben
    Nach Eingabe der Überweisung ist zusätzlich nötig:
    * QR Code scannen
    * Überweisung auf dem Display des Tan Generators prüfen
    * 6-stellige TAN vom TAN Generator abschreiben

    Antworten

    1. Ich ergänze zur PSD2-Schikane, da ich es gerade wieder erlebte.
      Ich will die Dokumente im Posteingang anschauen.
      1) Anmeldung mit Direct Banking Nummer (wie bisher)
      2) Eingabe der PIN (wie bisher)
      Bevor ich jetzt meine Dokument anschauen darf:
      3) PIN des TAN Generators eingeben
      4) QR Code scannen
      5) 6-stellige TAN vom TAN Generator abschreiben
      6) TAN auf dem PC eingeben
      Aufwand verdreifacht! Danke EU Parlament (ironisch gemeint). Vorschlag für die nächste Schikanestufe: Eingabe des Mädchennamens der Mutter fehlt noch.

      Antworten

      1. Alexander Bergdolt 10. Oktober 2019 at 14:20

        Wie bereits früher bemerkt: Bitte nicht das EU Parlament für eine katastrophal kundenunfreundliche Implementierung der PSD2 Richtline durch manche Banken verantwortlich machen. Die beschriebenen Schikanen sind so von der PSD2 NICHT vorgesehen. Wer sehen will, wie es auch geht: In meinem Konto bei der Sparkasse macht Banking macht immer noch Spaß – trotz PSD2 😉

        Antworten

        1. Gratulation zu Ihrer Sparkasse. Bei meiner HVB und Consors und der Sparkasse meiner Frau und Comdirekt hat sich die Prozedur durch PSD2 aufgebläht.
          Selbst wenn das vom EU Parlament nicht so gedacht war: Warum überhaupt das Ganze? Das Sicherheitsargument halte ich nicht für griffig.
          Statt der bisherigen TAN Liste per Briefpost (zweiter Authentifikationsweg!) erhalte ich jetzt die TAN via TAN Generator, der IMO nicht sicherer als der Postweg ist. Das i-Tüpfelchen ist: zur Inbetriebnahme des TAN Generators wurde mir – wie die Hotline erklärte, aus Sicherheitsgründen – ein Inbetriebnahme-Code per Briefpost zugesandt.
          Also wird der Postweg (bisherige Zusendung des TAN-Liste) als angeblich unsicher abgelöst durch den sichereren Postweg (Inbetriebnahme-Code).
          IMO ist das absurd.

          Antworten

  2. Ich verstehe den Ummut zu PSD2 nicht. PSD2 schreibt beim bloßen Kontoabruf SCA mind. alle 90 Tag vor, und lässt bei weniger sicherheitsrelevanten Transaktionen (unter EUR 30, definierte Liste von Ziel-IBANs, Umbuchungen) auch Ausnahmen von SCA zu. Das die Postbank das sehr kundenunfreundlich umsetzt und bei jedem Login SCA erzwingt, dafür kann die EU nichts.
    Übrigens kann man mit einer vernünftigen Finanzsoftware sich das Leben leichter machen. Ich nutze Banking4 von Subsembly, und den passenden bluetoothfähigen Kartenleser von Reiner SCT. Damit entfällt das „an das Display / an den Monitor Halten“ genauso, wie das Abtippen der TAN. Verwalte ich Konten bei mehreren Banken, dann muss ich lediglich die EC Carte im Kartenleser tauschen.

    Antworten

  3. Dr. Bernd Maciejewski 5. September 2019 at 22:17

    England geht den richtigen Weg,

    Antworten

    1. …..und ich dachte schon, ich bin der einzige, der die Briten versteht.

      Antworten

  4. Manfred Nosswitz 4. Juli 2019 at 15:35

    Ich habe ein Konto bei der INGdiba, drei Konten bei der Postbank und ein Konto bei der HVB zu verwalten
    (Bereuuungsvollmachten). Von allen Konten erhalte ich eine mTAN auf mein Smartphone und alles ist gut bzw. war gut.
    Denn am 11.08.2019 wird die Postbank das mTAN-Verfahren einstellen und bald werden auch die anderen Banken
    die 2-Faktoren Authentifizierung einführen. Ich brauche also zukünftig von jeder Bank eine eigene App, die ich nur erhalte,
    wenn ich einen GooglePlay-Account habe. Einen solchen Account möchte ich aber nicht einrichten. Wie komm‘ ich denn dazu!
    Ich fordere die Inverkehrbringer (also die Banken) auf, ihre Apps auf ihren Seiten zum Download zur Verfügung zu stellen
    und einen gemeinsamen Standard für den mTAN-Ersatz zu entwickeln, bevor mTAN abgeschaltet wird.

    Antworten

  5. Eugen Dinkel 6. Juni 2019 at 23:36

    Dieser Beitrag kommt genau zur richtigen Zeit.
    Nicht wegen dem Online-Banking, dort bin ich als nur gelegentlicher Handynutzer
    schon länger mit TAN-Generator unterwegs und das funktioniert problemlos.
    Aber vor wenigen Tagen bekam ich Post von der Bank, dass meine Kreditkarte für den
    zukünftigen Online-Einkauf registriert werden muss.
    Nach Recherchen im Internet fand ich heraus, dass nicht nur für die spätere Nutzung,
    sondern schon bei der Registrierung zwingend ein Mobilgerät benötigt wird, da die
    notwendige App nur auf einem Mobilgerät installiert werden kann.
    Hat schon einmal jemand versucht, mit einem älteren Smartphone seine Kreditkarte
    unter „ http://www.mein-transakt.de“ zu registrieren?
    Auf Erfahrungsberichte bin ich gespannt.
    Die verheerenden Berichte, die man zu diesen Thema im Internet findet, scheinen zu
    stimmen.
    Danke EU, ich habe keine Lust für die Kreditkarten-Registrierung ein neues
    Smartphone zu kaufen – die Kreditkarte werde ich jetzt kündigen.
    Und was bei meinem wichtigsten Bezahldienst PayPal auf mich zukommt, weiß ich
    noch gar nicht.

    Antworten

  6. BestSign nutze ich bei der Postbank schon länger. Überweisungen vom PC aus werden zur Handy BestSign App geschickt und dort freigegeben. Direkt vom Handy oder iPad überweisen geht natürlich auch. Wenn die App erst einmal eingerichtet ist ? dann funktioniert das auch ganz gut.
    Mich verunsichert nur eine Sache etwas: In dem Brief der Postbank stand etwas, dass das einloggen mit dem Passwort nicht mehr gehen wird. Ich bin gespannt, ob das dann auch über die mobile BestSign App gehen wird, oder ob man schon wegen des einloggens so ein Gerät braucht….,

    Antworten

Kommentar verfassen