Flagge der UkraineUnsere Solidarität gilt der Ukraine. Alle Menschen haben ein Recht auf Demokratie, Freiheit und Frieden. Betroffene finden hier Informationen.

Onlinebanking und -shopping: Die TAN-Verfahren seit PSD2

Stand:
Seit September 2019 sorgt die Europäische Union beim Onlinebanking und Bezahlen in Online-Shops für mehr Sicherheit. TAN-Listen auf Papier sind seitdem abgeschafft.
Ein TAN-Rechner mit einem Kugelschreiber

Das Wichtigste in Kürze:

  • Seit 14. September 2019 gelten in der EU neue Sicherheitsvorgaben beim Onlinebanking und auch für das Bezahlen im Netz.
  • TAN-Listen auf Papier sind nicht mehr erlaubt.
  • Banken und Sparkassen fordern zunehmend die Nutzung von Smartphones und speziellen Apps.
  • Alternativen sind oft nur noch TAN-Generatoren und SMS.
On

Was sich im September 2019 änderte – und warum

Banken und ihre Kunden werden heute meist digital angegriffen. Täter stürmen keine Filialen mehr, sondern versuchen, beim Onlineshopping und -banking zuzuschlagen. Die EU hat zwar schon recht umfassend dafür gesorgt, dass Sie als Kunde nicht auf den Schäden sitzenbleiben. Vorausgesetzt, Sie haben keine eigenen schwerwiegenden Sicherheitsfehler begangen. Die Schäden bei den Banken, Sparkassen und Zahlungsdiensten, ab hier kurz  Banken genannt, nehmen aber zu. Und am Ende zahlen wir alle dafür  - über höhere Kontokosten und Preise.

Die Regeln der EU, die seit 14. September 2019 in Kraft sind, sollen es Betrügern schwieriger machen. Das funktioniert über die so genannte Zahlungsdiensterichtlinie II / PSD2.

Die EU setzt mit ihren Regeln auf zwei Schutzmechanismen:

  1. Eine einzigartige TAN für jeden Zahlungsvorgang ist nun Pflicht.
    Täter haben sich immer wieder in Abläufe beim Onlinebanking eingeschaltet und die Aufträge verändert, indem sie zum Beispiel eine Überweisung auf ihr Konto umgelenkt haben. Damit das nicht mehr möglich ist, müssen Bankkund:innen schon seit 2011 einen ganz bestimmten Freigabe-Code, die sogenannte TAN, angeben. Dieser Code gehört zu einem konkreten Auftrag, wie etwa "Überweisung von X Euro an das Konto mit der Nummer Y".
    Die Codes wurden meist per SMS übermittelt oder mit kleinen Zusatzgeräten (TAN-Generatoren) erzeugt. Inzwischen gibt es dafür immer häufiger auch Apps. Einige Banken verwendeten bis zuletzt einfache TAN-Listen auf Papier. Die genügten der EU nicht mehr und wurden spätestens zum 14. September 2019 abgeschafft.
  2. Zwei Faktoren sind Pflicht
    Beim Onlinebanking brauchten Kund:innen immer schon eine PIN zum Einloggen und eine TAN als Code für die Überweisung. Mit einem geklauten Passwort allein konnten Betrüger also nie Geld vom Konto holen. Noch sicherer: Mit der TAN per SMS oder einem TAN-Generator kam sogar noch ein zweites Gerät dazu. Selbst wenn der Computer mit einem Virus infiziert war, kamen Betrüger dann nicht so leicht weiter.

    Beim Onlineshopping sah das lange Zeit anders aus: Im Internet brauchte man oft nur die Kreditkartenummer mit Prüfziffer angegeben. Ob  tatsächlich der Besitzer der Karte einkaufte oder ein Betrüger die Karte oder Daten gestohlen hatte, konnte niemand prüfen. Dies hat sich geändert. Der Sicherheitsaufwand, der vom Onlinebanking schon bekannt war, wurde seit September 2019 auch für den Einsatz von Kreditkarten verlangt.

Nach einer Übergangsfrist wurden die Regeln auch im Onlineshopping ab Mitte März 2021 angewendet. Seitdem müssen dort mindestens zwei von drei Merkmalen eingesetzt werden.

Um diese drei Merkmale geht es:

  • etwas haben (zum Beispiel ein Handy, das SMS empfängt oder eine Karte),
  • etwas wissen (zum Beispiel PIN oder Passwort),
  • etwas sein (nachgewiesen zum Beispiel über biometrische Merkmale wie einen Fingerabdruck).

Eine weitere wichtige Neuerung durch die jetzt geltenden EU-Regeln: Falls Betrüger Geld abheben, überweisen oder Waren einkaufen, ist die Haftung klarer. Banken, Sparkassen und Händler müssen für die beschriebenen Sicherheitsvorkehrungen sorgen. Tun sie das nicht, müssen sie für die Schäden gerade stehen. Stiehlt zum Beispiel jemand Ihre Kreditkarte und kauft damit bei einem Händler ohne die beschriebenen zwei Faktoren ein, können Sie viel Geld verlieren. Das muss dann aber der Händler Ihrer Bank erstatten, nicht Sie.

Die TAN-Verfahren im Kurzportrait

Von der SMS-TAN bis zu speziellen Apps: Wie sicher die jeweiligen Verfahren sind, erfahren Sie in diesem Beitrag.

Keine Regel ohne Ausnahme

Diese Sicherheit beim Bezahlen ist sehr aufwändig. Daher gibt es einige gesetzlich zugelassene Ausnahmen:

  • Zahlungen beim Einkaufen sind bis 30 Euro frei von aufwändigen Sicherheitsverfahren – zumindest wenn Sie zwischendurch auch wieder geprüft zahlen.
  • Kontaktloses Bezahlen mit dem NFC-Chip in Smartphone oder Karte, je nach Anbieter bis zu 50 Euro je Vorgang.
  • Bei wiederkehrenden Zahlungen muss nicht jede erneut bestätigt werden. Das betrifft zum Beispiel Daueraufträge für den Stromvertrag und die Miete. Einen solchen Dauerauftrag richten Sie einmal ein, dann wird er jeden Monat ohne neue Sicherheitsprüfung ausgeführt.
  • Online-Shops, die Sie häufig nutzen, können Sie künftig auf eine Liste sicherer Zahlungsempfänger setzen.
  • Anbieter können sich unter bestimmten Voraussetzungen von aufwändigen Sicherheitsverfahren bei Kreditkarten befreien lassen. Das kann technische Gründe haben und dürfte eher die Ausnahme bleiben.

Auch nach der Umstellung gilt weiterhin: Vorsicht vor Betrügern!

Zwar werden viele Kund:innen mittlerweile mit dem Sicherheitsverfahren vertraut sein. Dennoch schrecken Betrüger nicht davor zurück, zu verwirren und sich, etwa per Phishing-Attacken, Zugriff auf Konten zu verschaffen.

Um nicht auf Straftäter hereinzufallen, vergewissern Sie sich im Zweifel immer selbst, wie das Sicherheitsverfahren Ihrer Bank fürs Onlinebanking und für die Kreditkarte abläuft und fragen Sie bei Unklarheiten nach. Lassen Sie sich nicht verunsichern. Seien Sie besonders skeptisch, wenn E-Mails mit Hinweisen und Anweisungen verdächtig formuliert sind. Mehr über typische Merkmale für Phishing-Mails lesen Sie in diesem Beitrag.

Komme ich künftig ohne Smartphone nicht mehr zurecht?

Viele Banken setzen verstärkt auf eigene Apps für die TAN-Verfahren. Diese Lösungen verursachen oft keine zusätzlichen Kosten. Das übt aber einen gewissen Druck auf Kund:innen aus, ein Smartphone zu nutzen. Wie komfortabel die Banking-Apps anzuwenden sind, hat Stiftung Warentest ausprobiert.

Achtung: Wenn Sie ein TAN-Verfahren per App wählen, müssen Sie wohl regelmäßig ein neues Smartphone kaufen. Wenn es für ein Modell keine Sicherheits-Updates mehr gibt, funktionieren die Apps der Banken meist nicht mehr.

Wer ein Smartphone nicht einsetzen kann oder will, findet beim Onlinebanking regelmäßig Alternativen. Weit verbreitet sind zum Beispiel TAN-Generatoren oder noch die SMS-TAN. Achten Sie dabei auf die Kosten und suchen Sie im Zweifel nach einem günstigeren Kontomodell oder einer anderen Bank. Die Stiftung Warentest gibt einen Überblick über zahlreiche Kontomodelle und was sie jeweils kosten.

Wenn es ums Onlineshopping mit Kreditkarte geht, sehen die Verbraucherzentralen ebenfalls einen Trend zur App. Hier kann es sogar vorkommen, dass ein Anbieter erklärt: Ohne Smartphone oder Tablet mit App keine Kartenzahlung mehr im Internet. So lesen die Verbraucherzentralen zum Beispiel die FAQ der Sparkassen-Lösung S-ID-Check. Zunächst bleibt nur die Alternative, zu einem anderen Konto-Anbieter zu wechseln oder die Kreditkarte über einen anderen Anbieter zu beziehen.

Gibt es Zusatzkosten für die Sicherheitsverfahren?

Darauf sollten Sie achten: Einige Banken berechnen etwas für die Sicherheitsverfahren. Dann können Kosten etwa für jede SMS entstehen. Besonders ärgerlich ist, dass eine erste Bank selbst für die SMS fürs Einloggen ins Onlinebanking ein Entgelt berechnet. Einige Banken stelen kostenfrei TAN-Generatoren zur Verfügung. Bei anderen müssen Sie sie kaufen.

Vorteil: Viele Generatoren lassen sich für mehrere Konten und Anbieter nutzen, weil Sie immer Ihre zugehörige Zahlungskarte hineinschieben.

Dass Sie für die Sicherheitsverfahren extra bezahlen sollen, ist aus Sicht der Verbraucherzentralen ein klarer Fehler. Dass eine Bank sich davor schützt, auf einen Betrüger hereinzufallen, ist keine Zusatzdienstleistung für Kund:innen. Die Kosten für diese Maßnahmen sollten mit dem Kontoentgelt bereits abgerechnet sein. Der Gesetzgeber hat zusätzliche Kosten für Sicherheitsverfahren aber leider zugelassen.

Auch beim Einloggen ins Onlinebanking kann eine TAN erforderlich sein

Bei einigen Instituten ist schon beim Zugang zum Onlinebanking selbst eine TAN notwendig. Andere warnen bisher ausdrücklich davor, bei der Anmeldung eine TAN anzugeben, weil das in der Vergangenheit ein beliebter Betrugstrick war. Was stimmt denn nun?

Unter bestimmten Voraussetzungen ist es Pflicht, sich auch schon für die Anmeldung zum Onlinebanking mit PIN und einer TAN einzuloggen:

  • Wenn Sie im Onlinebanking mehr Zugriff bekommen als nur auf Kontostand und Zahlungsvorgänge der vergangenen 90 Tage.
  • Wenn mehr als 90 Tage vergangen sind seit dem letzten Anmelden mit einer TAN.
  • Bei der ersten Anmeldung ins Onlinebanking.

Der zusätzliche Aufwand beim Einloggen dient aber letztlich auch Ihrer Sicherheit. Fremde können dann nicht so leicht einsehen, was auf Ihrem Konto passiert, Ihre Daten sind also besser geschützt. Und online jederzeit kostenlosen Zugriff auf die Kontoauszüge vieler Monate zu haben, kann ein angenehmer Service sein.

Verlangen Banken seit 14. September 2019 beim Anmelden eine TAN, ist das also rechtens. War das bei Ihrem Konto bisher nicht so und werden Sie plötzlich unerwartet mit der Eingabe einer TAN konfrontiert, heißt es aber: Wachsam sein. Fragen Sie im Zweifel bei Ihrer Bank nach, ob das Verfahren verändert wurde.