Zum Inhalt

Neuerungen im Onlinebanking: FAQ - Zwang zur App

, aktualisiert am

Neuerungen im Onlinebanking versprechen mehr Sicherheit bei Geldtransfers. So löst eine App z.B. die SMS-TAN ab. Wer kein Smartphone besitzt, wird es künftig allerdings schwer haben.

PSD2: Was sich für Olinebanking-Kunden ändert. (Bild: Paisit Teeraphatsakool/shutterstock.com)

Warum gibt es Änderungen im Onlinebanking?
Hintergrund ist eine neu gefasste EU-Richtlinie (Europäische Zahlungsdienstrichtlinie PSD II bzw. PSD2), die u.a. Sicherheitsoptimierungen beim Onlinebanking verlangt: dahingehend, wie sich Nutzer beim Log- in und bei der Authentifizierung von Auf­trägen ausweisen. Beabsichtigt ist damit also eine Verbesserung der Sicherheit von Zahlungsvorgängen im Internet. Das ist grundsätzlich zu begrüßen.

Wann werden diese Änderungen schlagend?
Die Umstellungsmaßnahmen der Banken sind in vollem Gange, die Übergangsfrist endete am 14. September. Seitdem ge­hören SMS-TAN überwiegend und die TAN-Listen auf Papier vollständig der Vergangenheit an.

Was macht die SMS-TAN so unsicher?
Argumentiert wird damit, dass SMS unverschlüsselt über das Mobilfunknetz gesendet und von Angreifern mithilfe von Schadsoftware abgefangen werden können. Die SMS sind – sofern in den Einstellungen des Smartphones nicht geändert – sogar auf dem Sperrbildschirm offen einsehbar. Auch die mitunter zeitverzögerte Zustellung von SMS kann zu Problemen beim Zahlungs­vorgang führen.

Gibt es eine einheitliche Lösung?
Leider nein. Jede Bankengruppe kocht mehr oder weniger ihr eigenes Süppchen.

Was hat es mit dieser Push-TAN auf sich?
Einzige branchenübergreifende Gemeinsamkeit ist die Einführung der sogenannten Push-TAN; vereinfacht gesagt ist es eine App, die auf Smartphone oder PC installiert werden muss. Das Onlinekonto und die App werden in weiterer Folge gekoppelt. Bei der Beauftragung einer Zahlung erhält der Kunde eine Push-Nachricht an diese App, die ihn auffordert, zu bestätigen, dass die Aktion auch wirklich durchgeführt werden soll.

Wird wirklich alles sicherer?
Die Übertragung erfolgt bei der Push-TAN-App, anders als bei einer SMS, vom Bankrechner bis zur App verschlüsselt – also offenbar tatsächlich sicherer. Die App selbst ist mit Passwort oder auch biometrischem Verfahren (Fingerabdruck, Gesichtserkennung) geschützt. Die Bequemlichkeit wird ebenfalls erhöht: Nutzer müssen keinen per SMS zugeschickten Code in das Onlinebanking-Portal übertragen. Ein Klick genügt. Darin liegt unseres Erachtens aber auch eine Gefahr.

Bernd Lausecker (Bild: A. Thörisch/VKI)

"Es ist ärgerlich, dass jede Bankengruppe ihr eigenes Süppchen kocht. Berichten Sie uns Ihre Erfahrungen, wir werden das Thema weiter verfolgen."

Wo lauert die Gefahr?

Wo lauert dabei die Gefahr?
Beim Onlinebanking gilt nach wie vor unsere Empfehlung der Zwei-Wege-Authentifizierung. Der Trend der Zeit, alles aufs Handy zu verlagern, läuft dem zuwider. Aus Bequemlichkeit wird vermutlich häufig die App auf jenem Endgerät installiert, wo auch das Onlinebanking abgewickelt wird (im schlimmsten Fall das Smartphone).

Wir empfehlen, dies möglichst zu vermeiden – Onlinebanking z.B. am PC (Endgerät 1) durchzuführen und die Push-TAN-App z.B. am Smartphone (Endgerät 2) zu installieren. Diese Trennung der Kommunikationswege bietet den besten Schutz gegen das immer größer werdende Missbrauchspotenzial.

Manche Banken werden zudem eine mehrfache Installation der App zulassen, sodass man nicht auf ein Gerät festgelegt ist. Das sollten Verbraucher sich aber gut überlegen. Denn wer Sicherheitsapps auf mehreren Geräten installiert, öffnet damit auch weitere Einfallstore für mögliche Angreifer.

Muss jede Transaktion mit der Push-TAN-App bestätigt werden oder gibt es Ausnahmen?
Ja, es gibt Ausnahmen. Etwa Zahlungen an als unkritisch eingestufte Empfänger (etwa die Mietzahlungen). Nur die Bawag nutzt diese Ausnahmen. Die Hypo NÖ denkt über eine – in unseren Augen bessere – Whitelist-Lösung nach, bei der Kunden eine eigene Liste von vertrauenswürdigen Empfängern anlegen können.

Wie wird das Thema Haftung gehandhabt?
Die Haftung für nicht autorisierte Zahlungen ist (bei Diebstahl oder Verlust) für den Verbraucher auf 50 Euro begrenzt. Banken können in Ausnahmefällen (z.B. wiederkehrende Zahlungen) auf eine Authentifizierung verzichten. Tun sie das, so haften sie uneingeschränkt. Auf alle Fälle sollte ein Verlust des Smartphones bzw. des Gerätes, auf dem die Authentifizierungs-App installiert ist, sofort der Bank angezeigt werden.

Wie funktionieren ­ Push-TAN-Apps in der Praxis?
Die Apps können in den einschlägigen Online-Portalen heruntergeladen werden (Google Playstore, Apple Appstore, Microsoft Store). Aber Achtung: Sie sind offenbar nur mit den Standard-Betriebssystemen kompatibel. Die Antwort, ob die Apps auch auf anderen Systemen wie Linux oder Ubuntu funktionieren, blieben die Banken schuldig. Windows-Phone oder Symbian könnte ebenfalls Probleme bereiten. Bitte unbedingt vorher mit Ihrer Bank abklären.

Nach erfolgter Installation muss die Push-TAN aus dem Onlinebanking heraus aktiviert werden, um die Kopplung zwischen Konto und Authentifizierungs-App her­zustellen. Genauere Anleitungen bieten alle Banken für ihre jeweiligen Apps auf ihren Homepages.

Ist die Installation der App mit einem Verlust an digitaler Privats­phäre verbunden?
Die Apps greifen auf die für den Betrieb notwendigen Daten zu. Detailinfos dazu können vor der Installation bei der jeweiligen App im App-Store eingeholt werden (weitere Infos > App-Berechtigungen).
Gefordert wird grundsätzlich der Zugriff auf Telefonstatus, Speicher und die biometrische Hardware (für Fingerprint oder FaceID). Theoretisch ist ein Datensammeln also möglich – ein weiterer Schritt in Richtung gläserner Konsument.

Was mache ich ohne Smartphone?

Was mache ich, wenn ich kein Smartphone besitze?
Unser Rundruf bei den Banken hat gezeigt, dass Onlinebanking und Smartphone immer enger verzahnt werden. Viele Institute bieten gar keine PC-gestützten App-Versionen an. Dass hierbei Verbraucher gezwungen werden, sich Smartphones zuzulegen, oder ihre Bankgeschäfte nur noch in den Filialen durchführen können – was übrigens aufgrund der Gebührengestaltung der Banken auch ein teurer Spaß werden kann –, halten wir für äußerst bedenklich. Uns liegen z.B. Beschwerden von langjährigen Bankkunden der EasyBank und Bawag vor, die von ihren Betreuern einfach lapidar auf die neuen Apps und auf die Vorschriften der Richtlinie verwiesen werden – auf spezielle Kundenbedürfnisse wird nicht ein­gegangen. Dass Onlinebanking künftig nicht mehr für alle möglich sein soll, kann nicht im Sinne der Neuregelung sein.

Welche Authentifizierungs-Alternativen gibt es noch?
Wenige. Eine Alternative für Verbraucher ohne Smartphone sind CardTAN-Generatoren. Diese werden allerdings nicht von allen Instituten angeboten. Die Ermittlung der TAN erfolgt über ein separates Gerät, das selbst gekauft werden muss. Das schränkt die Möglichkeiten von (mobilem) Onlinebanking ein – außer, man hat den Generator immer bei sich, was wiederum die Gefahr des Missbrauchs erhöht. Sicherheitsorientierte Verbraucher, die Onlinebanking nur vom PC zu Hause aus durchführen, können CardTAN jedoch als Alternative in Betracht ziehen. Eine weitere Alternative wäre die digitale Signatur (Unterschreiben mit der Bürgerkarte). Dieses Verfahren wird von den Banken allerdings kaum noch angeboten.

Kunden der Hypo Tirol und der Hypo Vorarlberg, die kein Smartphone besitzen, können mithilfe des sogenannten Fido-Token Onlinebanking betreiben. Der Fido-Token ist vereinfacht gesagt ein Hardwareschlüssel, der via USB-Anschluss mit dem PC verbunden und dann mit dem Onlinebanking verknüpft wird. Bei diesen Banken wird auch das SMS-TAN-Verfahren zur Freigabe von Aufträgen weiterhin angeboten. Nach uns vorliegenden Informationen werden einzelne Banken auch weiterhin SMS-TAN in leicht abgewandeltem Procedere anbieten.

Tabelle: Anmeldemöglichkeiten beim Onlinebanking

Leserreaktionen

Immer weniger Filialen

Aus eigener Erfahrung als Bankkunde an der „Peripherie“: Nicht nur kann es ein teurer Spaß werden, seine Bankgeschäfte nur am Schalter zu erledigen, es ist in einigen Fällen für die arbeitende Bevölkerung beinahe unmöglich – etwa bei der Bank Austria. Diese hat in den vergangenen Jahren einen massiven Einschnitt in ihrer Filiallandschaft vorgenommen.

Nun steht im gesamten Bezirk Kufstein nur noch eine einzige Filiale in Wörgl zur Verfügung und diese hat – außer auf Vereinbarung – nur wochentags vormittags geöffnet. Da darf man sich dann also freinehmen, wenn man was zu erledigen hat. Im Übrigen ein großes Lob für die aktuelle Ausgabe, die Themen sind diesmal besonders spannend.

Sebastian Noggler
E-Mail
(aus KONSUMENT 11/2019)

Warum ein neues Smartphone?

Bezugnehmend auf Ihren Bericht bezüglich der Sicherheit des e-bankings finde ich es eine besondere Gemeinheit, dass man uns ältere Kunden nicht nur zum Ankauf eines im Grunde nicht benötigten Smartphones zwingt, sondern dass man diese Smartphones auch noch alle paar Jahre erneuern muss, damit die neuen Applikationen darauf auch funktionieren.

Ich selbst besitze seit etwa 5 Jahren ein Samsung Grand Neo, mit dessen Eigenschaften ich bisher völlig das Auslangen gefunden habe. Neuerdings meldet es bei jeder App, die ich aufladen wollte: „Ihr Gerät ist mit dieser App nicht kompatibel.“ Auf meine Rückfrage hat man mir erklärt, das Gerät sei überholt, ich solle mir gefälligst ein neues kaufen. Das geht mir absolut gegen den Strich!

Meine Frau besitzt ein tadelloses Nokia-Handy aus dem Jahre 2003, welches damals relativ teuer war. Außer einem Austausch des Akkus mussten wir daran bisher nichts machen lassen, es funktioniert zum Telefonieren und für SMS tadellos. Meine Frau hat auch e-banking am PC laufen und benötigt für eventuelle Transaktionen eine M-TAN. Wenn es die nicht mehr gibt, wird sie gezwungen sein, sich ein Smartphone anzuschaffen. Warum bitte? Für ältere Leute ist es ungeheuer schwierig, alle paar Jahre die Funktionen eines neuen elektronischen Systems zu erlernen.

Dieter Umlauft
E-Mail
(aus KONSUMENT 11/2019)

Zwang zum Smartphone

Ja, leider, die Alten stehen im Regen. Schon seit Jahren bemerke ich, dass man als Smartphone-Verweigerer – aus Unvermögen oder aus Unwillen – als Untermensch betrachtet und behandelt wird. Alles nur mehr „online“ mit vielen mangelhaften Formularen dortselbst.

Meine beispielhaften Erfahrungen würden den Rahmen hier sprengen. Barsche Zurechtweisung am Flughafen, weil nicht online eingecheckt, Reiseversicherung für Besucher mit Visumbedarf akzeptiert deren Herkunftsland nicht u.v.a.m. Banken nunmehr direkt am sehr nahen „Hemd“ des täglichen Lebens. Wie viele Apps soll ich nun installieren? Klar, für jede Bank eine mit den zugehörigen Benutzernamen und Passwörtern, welche man sich natürlich nicht notieren soll – genauso wie die bei E-Mail-Anbietern, Reiseportalen, Servicezentren, Onlinegeschäften und und und …

Ich habe die Liste derer noch nicht gezählt. Und alles das soll man mit einem Smartphone ganz leicht bedienen. Ohne Adleraugen und Spinnenfinger? Tut mir leid, ich bin 70+, ohne hilfestellende Nachkommen und in dieser Hinsicht nicht so gewandt. Nun denn, es ist der Lauf der Zeit. Junges IT-Publikum schafft die Welt für eben solches. Ich melde mich wegen Lebens-Unwilligkeit bzw. baldiger -Unfähigkeit zur Hinrichtung. Online und digital – vorerst ...

DI Wolfgang Rieger
Graz
(aus KONSUMENT 11/2019)

Diesen Beitrag teilen

Facebook Twitter Drucken E-Mail

Das könnte auch interessant sein:

Gefördert aus Mitteln des Sozialministeriums

Sozialministerium
Zum Seitenanfang