Nur noch etwas mehr als zwei Wochen bleiben den Banken bis zum 14. September, dem Stichtag für die Umstellung ihres Onlinebankings. Der Grund der Änderungen ist, wie mehrfach berichtet, die EU-Richtlinie PSD2, die erhöhte Sicherheitsvorkehrungen verlangt. Doch je näher der Tag rückt, desto größer scheint die Verunsicherung unter den Konsumenten zu sein.
Ab dem 14. September müssen sich Bankkunden beim Onlinebanking stärker identifizieren. „Das ist komplizierter und nicht mehr ganz so effizient und benutzerfreundlich wie bisher“, sagt Michael Ernegger, stellvertretender Generalsekretär des Bankenverbandes. „Es ist für alle eine Umstellung und für viele ein Problem, weil sich die gewohnten Abläufe ändern.“
Das ändert sich
Was ändert sich also? Derzeit reicht beim Einstieg ins Onlinebanking noch die Verfügernummer und ein Pin, für eine Überweisung ist ein TAN-Code nötig, der kommt meist per SMS (auf Papier ist er künftig übrigens verboten).
Neu ab 14. September ist, dass man sich beim Einloggen, aber auch beim Überweisen stärker autorisieren muss. Diese zusätzliche Identifizierung kann am Smartphone über die Gesichtserkennung oder den Fingerabdruck erfolgen – oder über eine TAN, die über eine App auf das Smartphone kommt, die so genannte pushTAN. Die Verwirrung beginnt damit, dass einige Banken die TAN via SMS im Zuge der Umstellung abschaffen wollen (wie Raiffeisen und Erste), andere (wie Bawag und Easybank) die SMS weiterhin versenden.
Kein SMS-Verbot
Die EU-Richtlinie verbietet die SMS nicht dezidiert, aber das Verfahren gilt in seiner bisherigen Form als nicht mehr sicher, wie auch die Konsumentenschützer des VKI einräumen. SMS werden unverschlüsselt gesendet und können abgefangen werden. Eine zeitverzögerte Zustellung könne zu Problemen beim Zahlungsvorgang führen. Hannes Derler von Raiffeisen sagt: „Die bis jetzt übliche Handhabung geht mit der Richtlinie nicht konform.“
Dennoch lenken jene Banken, die das pushTAN-Verfahren priorisieren, im Moment wieder ein und gewähren Übergangsfristen. Raiffeisen hat das SMS-Verfahren an die Erfordernisse der Richtlinie angepasst und kommt damit Kunden entgegen, die nicht zeitgerecht, also bis 14. September, umstellen. Die Kritik, dass Banken das SMS-Verfahren nur deshalb los werden wollen, weil deren Versand Kosten verursacht, weist Derler zurück: „Das ist nicht das ursprüngliche Motiv. Wir sehen in der SMS aber nicht die Zukunft, da sie nicht benutzerfreundlich ist. Beim pushTAN entfällt die manuelle Eingabe.“
Die Alternative zum Smartphone
Kritik geübt wird auch wegen anderer Punkte. Der VKI ortet einen „Zwang zum Smartphone“, tatsächlich bieten Banken als Alternative zur pushTAN das cardTAN-Verfahren an und geben dafür TAN-Generatoren aus. Zudem sind pushTAN-Programme auch für den Desktop angekündigt.
Die Arbeiterkammer wiederum hält den Geldinstituten vor, mit der Information der Betroffenen zu spät begonnen zu haben. „Wir haben in den letzten Monaten zehntausende Informationsgespräche in den Filialen geführt“, entgegnet Derler.
Warum mehr Sicherheit?
Dass die Sicherheit beim Onlinezugriff auf das Konto überhaupt erhöht werden muss, liegt daran, dass Banken die Konten – auf Wunsch der Kunden nur – gegenüber Drittanbietern öffnen müssen. „Das war der politische Wille und geschieht aus Gründen des Konsumentenschutzes“, erklärt Ernegger vom Bankenverband. Da die Richtlinie EU-weit gilt, mussten alle Banken in Europa Lösungen finden – dass sie unterschiedlich ausfallen, erleichtert den Durchblick für Konsumenten freilich nicht.
Einen Aufschub bei der Umsetzung der Richtlinie gewährte die Bankenaufsicht bei Kartenzahlungen im Internet, da vielen Händlern noch die technischen Voraussetzungen fehlen.