Mann hält Smartphone in der Hand | Bildquelle: picture alliance / empics

Neue Verfahren Online-Banking komplizierter und sicherer

Stand: 14.08.2019 11:26 Uhr

Wer Online-Banking nutzt, muss sich auf Änderungen einstellen. Vom 14. September an gelten neue Vorschriften - zum Beispiel zur Authentifizierung für sichere Bankgeschäfte. Hier die wichtigen Neuerungen.

Von Oliver Feldforth und Sandra Scheuring, HR

Die Banken haben viele ihrer Kunden in der letzten Zeit kontaktiert, denn von September an wird einiges anders beim Online-Banking. Manches wird auch weniger bequem. Auf einmal ist von Zwei-Faktor-Authentifizierung die Rede, von Push- und Photo-TAN.

Sehr geläufig ist bis heute das Überweisen im Internet mit den Transaktionsnummern auf TAN-Listen, das sogenannte iTAN-Verfahren. Das wird vom 14. September an für viele Bankgeschäfte Geschichte sein. Das Verfahren, nachdem die Bank nach dem Zufallsprinzip TAN-Nummern vom Kunden abfragt, gilt als nicht mehr sicher.

Alles neu im Onlinebanking für mehr Sicherheit
Mittagsmagazin, 14.08.2019, Sandra Scheuring, HR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

TAN-Listen nicht sicher genug

Auch für das Login in den Internet-Bank-Account reicht nicht mehr eine einfache PIN, sondern es werden zwei von drei Faktoren abgefragt - deswegen Zwei-Faktor-Authentifizierung. Die zweite europäische Zahlungsdienstrichtlinie (PSD2) regelt das.

"Weil es nicht mehr sicher ist, ist eigentlich schon seit zwei, drei Jahren klar, dass die TAN-Listen weg müssen", sagt Hermann-Josef Tenhagen, Chefredakteur des gemeinnützigen Verbraucher-Ratgebers Finanztip. Die Banken seien spät dran, ihren Kunden zu sagen, dass sie etwas Neues brauchen.

Die Zwei-Faktor-Authentifizierung

Von September an müssen Online-Kunden zwei von drei Sicherheitskriterien nutzen, um ihr Bankgeschäft machen zu können. Das erste Kriterium lautet "Wissen" und bedeutet einen Faktor, den nur der Nutzer kennt - zum Beispiel ein Passwort oder eine PIN.

Das zweite Kriterium lautet "Besitz". Es beschreibt einen Faktor, den nur der Nutzer besitzt - zum Beispiel ein Smartphone, eine Bankkarte oder ein TAN-Generator.

Das dritte Kriterium bedeutet "biometrische Merkmale", die einen Faktor meinen, der Teil des Nutzers selbst ist - zum Beispiel ein Fingerabdruck oder die Iris eines Auges.

Verifizierungsverfahren werden komplizierter

Etwas langwieriger als früher gelangen die Kunden auf diesem Weg in ihren Online-Bank-Account. Und dort warten ab nächstem Monat weitere Neuerungen, bevor eine Überweisung abgeschlossen ist. Reichte bisher die TAN-Liste aus, werden jetzt die Verifizierungsverfahren komplizierter. Hier einige der von den Banken angebotenen Verfahren, eine TAN zu generieren:

PhotoTAN: Voraussetzung ist ein spezielles Lesegerät oder eine PhotoTAN-App auf dem Smartphone. Nachdem die Überweisungs- oder Transaktionsdaten in den Computer eingegeben sind, liefert dieser einen farbigen Code, den man mit der PhotoTAN-App scannen muss. Diese zeigt daraufhin einen sechsstelligen PIN, der, eingegeben in den Computer, die Transaktion abschließt. Wer lieber auf dem Smartphone über die App seiner Bank seine Finanzgeschäfte erledigt, der wird erleben, dass sich diese App mit der PhotoTAN-App verbindet. Für dieses Verfahren wird also nur ein Gerät benötigt.

QRTAN: Voraussetzung ist ein Smartphone und eine App, die QR-Codes lesen kann. Dann läuft das Verfahren analog zu dem der PhotoTAN

AppTAN: Voraussetzung ist eine passwortgeschützte App auf dem Smartphone. Auf der App kann man, nach der Eingabe der Transaktionsdaten auf dem Computer, sich die Auftragsdaten noch einmal ansehen und eine dort gelieferte TAN in den Computer eingeben. Auch dies Verfahren funktioniert nur mit mit dem Smartphone, dann mit der Benutzung zweier Apps. Für dieses Verfahren haben sich die Sparkassen entschieden.

ChipTAN: Voraussetzung ist ein kleines Lesegerät für die Girocard. Nach der Eingabe der Auftragsdaten auf dem Computer wird dort ein Code abgebildet. Nun steckt man die Girocard in das Lesegerät und scant damit den Code auf dem Computer. Im Lesegerät erscheint dann ein PIN, den man in den Computer einträgt. ChipTAN gilt als das sicherste Verfahren.

SMSTAN: Voraussetzung ist ein normales Mobiltelefon genügt. Der Bestätigungs-PIN für die Auftragseingabe auf dem Computer erfolgt per SMS. Für die Smartphone-Fans: Dies ist nicht mit nur einem Mobiltelefon möglich. Es benötigt zwei Geräte, eines für die Auftragseingabe und eines für die SMS.

Gesundes Misstrauen bleibt wichtig

Es wird also komplizierter für den Bankkunden, aber der Betrug wird so erschwert. "Die neuen Verfahren sind schon sicherer", sagt Tenhagen. "Die EU hat zusätzlich beschlossen, dass die Kunden in Missbrauchsfällen mit maximal 50 Euro haften. Und sogar darauf verzichten viele Banken."

Vorsichtig müssen die Bankkunden aber bleiben. Updates, Virenschutzprogramme sind notwendig. Auch sollen sie darauf achten, die Bank-Webadresse möglichst direkt einzugeben, um nicht irrtümlich auf gefälschten Web-Seiten zu landen. Ein gesundes Misstrauen bleibt wichtig, auch wenn es um vermeintliche Mails der eigenen Bank geht. Das Geldinstitut wird nie per Mail nach geheimen Zugangsdaten, wie einer PIN fragen.

Über dieses und andere Themen berichtet das ARD-Mittagsmagazin ab 13 Uhr.

Darstellung: