AccessControl ac = AccessControl.getAccessControl(request);

OnlinebankingDas nahe Ende der smsTAN sorgt für Unsicherheit

Durch eine Richtlinie der EU erhöht sich zwar die Sicherheit im elektronischen Zahlungsverkehr. Konsumentenschützer kritisieren aber, dass das neue Verfahren für Kunden komplizierter wird.

EU-Richtlinie gibt das Ende der smsTan im Onlinebanking vor © wutzkoh - stock.adobe.com
 

Ab Mitte September wird Online-Banking für Konsumenten sicherer, aber auch komplizierter. Grund ist eine Richtlinie der EU, die Betrügereien im Internet verhindern soll. Statt bisher nur Verfügernummer und PIN-Code benötigt man beim Online-Banking nun auch einen pushTAN-Code. Diesen bekommt man - je nach Bank - entweder über eine App oder teilweise noch via SMS.

Die Kleine Zeitung berichtete über die kommenden Neuerungen bereits ausführlich.

Schonfrist bei Interneteinkäufen

Eigentlich hätten mit der Zahlungsdienstleiste-Richtlinie der EU (Payment Services Directive/PSD2) auch für Online-Zahlungen bei Interneteinkäufen strengere Vorschriften gelten sollen. Die heimische Finanzmarktaufsicht (FMA) gewährte aber eine Schonfrist, um betroffenen Zahlungsdienstleistern und Handelsunternehmen zusätzliche Zeit für technische Umstellungen zu ermöglichen. Bis wann, stehe noch nicht fest, sagte FMA-Sprecher Klaus Grubelnik zur APA. Ende September findet eine Sitzung der Europäischen Bankenaufsicht EBA statt, bei der dies entschieden wird. Auch in anderen Ländern gab es nämlich Einwände.

Kein Aufschub bei Online-Banking

Der Aufschub gilt aber nicht für das Online-Banking. Hier gelten die neuen Vorschriften europaweit ab 14. September. Beim Online-Login werden Kunden seit einigen Monaten über die geplanten Änderungen informiert. Bei der Bank Austria etwa gilt die Zwei-Faktor-Authentifizierung ab 9. September. Häufiger als bisher wird man zur Eingabe einer Transaktionsnummer (TAN) aufgefordert, um so weniger anfällig für Betrug zu werden. Neben PIN oder Passwort, einer Karte mit Chip oder dem Smartphone kann die Identifizierung auch über ein biometrisches Kennzeichen (Fingerabdruck, Iris, Stimme) erfolgen.

Für Ärger bei Konsumenten sorgt die Abschaffung der TAN-Codes per SMS bei einigen Banken, etwa Raiffeisen und Erste Bank. Dort ist man quasi gezwungen, sich eine App auf das Smartphone zu installieren, über die man künftig diese pushTAN-Codes bekommt.

Kein Smartphone - was dann?

Kompliziert wird es für Kundinnen und Kunden von Banken, die keine SMS-TANs mehr anbieten und die auch kein Smartphone besitzen. Diese brauchen einen TAN-Generator, also ein Gerät, auf dem man TAN-Codes zugeschickt bekommt. "Die Banken stellen dieses Gerät zwar zur Verfügung, aber nicht kostenlos", kritisierte Bernd Lausecker, Finanzexperte beim VKI, im APA-Gespräch. Grundsätzlich werden die verschärften Sicherheitsmaßnahmen beim Verein für Konsumenteninformation zwar begrüßt, bei der Umsetzung hapere es aber. Auch weitere Alternativen für Kunden, die kein Smartphone haben, werden vermisst.

"Viele Banken verlegen alles auf das Smartphone. Wir empfehlen eine Trennung der Geräte", sagte Lausecker. Sprich, dass die Freigabe des TAN-Codes via App am Handy erfolgt, die eigentliche Überweisung aber am Computer durchgeführt wird und nicht auch am Smartphone.

Beim Bezahlen im Supermarkt oder im Geschäft ändert sich übrigens nichts. Auch kontaktloses Zahlen wird weiterhin möglich sein.

Zwischen 0 Uhr und 6 Uhr ist das Erstellen von Kommentaren nicht möglich.
Danke für Ihr Verständnis.

ChihuahuaWelpe55
3
5
Lesenswert?

Sms Tan vs Push Tan

Bei einem SMS Tan handelt es um eine zusätzliche Dienstleistung eines Netzanbieters (Magenta, A1, Drei), die von den Banken bezahlt werden und uns aufs Girokonto mitverrechnet werden. Beim PushTan handelt es sich lediglich um eine Pushnachricht (Apple, Android) mit einer Id, die auf das Smartphone gespielt werden. Diese Art kostet der Bank nichts, denn die Pushbenachrichtigung wird direkt vom Softwarehersteller der Smartphones (Google, Apple) bereitgestellt und das zahlen wir Emdverbraucher über das Handy! Da sich somit die Bank die SMS Kosten erspart, muss das an uns Endkonsumenten weitergegeben werden!

Antworten
tenke
0
2
Lesenswert?

Zu bedenken

sind aber auch die ENORMEN Kosten für die App-Entwicklung und deren ständige Optimierung. Den großen Gewinn werden die Banken damit nicht erwirtschaften.

Antworten
wirklichnicht
4
2
Lesenswert?

Stimmt schon

Aber die Kosten müssen nicht unbedingt an den Kunden weitergegeben werden, die Banken machen ja Profit. Bestes Beispiel ist die easybank, sie bietet weiterhin smsTAN und das Konto ist weiterhin gratis.

Antworten
wirklichnicht
2
29
Lesenswert?

Falschinformation: smsTAN ist weiterhin erlaubt

Die EU-Richtlinie verbietet nur die TANs, die auf Papier abgedruckt sind. Die smsTAN ist weiterhin erlaubt, denn sie ist Teil eines 2-Faktor Authorisierungsverfahrens, viele Banken (z.B. easybank) bieten sie natürlich weiterhin an. Die Sicherheit von smsTAN ist wirklich ziemlich sicher, vor allem da die smsTAN nur 5 Minuten gültig ist und nur mit einem IMSI-Catcher abgefangen werden könnte, der mehrere Tausend Euro kostet.
Warum Stimmung gegen die smsTAN gemacht wird, hat andere Gründe. Die Banken müssen für SMS zahlen und möchten Kosten sparen und stattdessen eigene Apps anbieten (die leider oft fehlerhaft sind). Die EU-Richtlinie kommt ihnen als gelegene Ausrede, das auf die EU zu schieben. Leider zieht die Presse (APA Artikel, die von den meisten Tageszeitungen übernommen werden) mit den großen Banken mit (Erste Bank usw.) und recherchiert nicht vollständig.

Antworten
critica
5
41
Lesenswert?

PC-Version ohne Smartphone-Zwang muss von den Banken angeboten werden!

Die EU schreibt in der neuen Richtlinie keinen Smartphone-Zwang vor. Es erhebt sich der Verdacht, dass es sich einzelne Banken bei dieser Gelegenheit "leichter" machen wollen, dazu bietet sich vielleicht auch die Möglichkeit an, ein (neues) Körberlgeld zu kassieren!
Auch ich gehöre zu denen, die auch künftig Online-Banking nur über den PC vornehmen wollen und werden - und das ohne Extrakosten!

Antworten
eleasar
3
6
Lesenswert?

Zwang erzeugt Widerstand

Ich habe aufgrund verschiedener Prinzipien kein Smartphone und werde auch in Zukunft darauf verzichten. Bin noch ErsteBank Kunde, suche aber nach einer Bank, die mir eine vernünftige Smartphone-freie Lösung bieten kann. Meine Bank hat mir schon George aufgezwungen. Zwang ist scheinbar ein Geschäftsmodell. Ich stehe aber nicht so auf Zwang. Leider ist es durch die EU-Verordnung schwer, Alternativen zu finden.

Antworten
tenke
1
13
Lesenswert?

Sie müssen weder ein Smartphone besitzen noch benutzen.

Banken bieten so genannte Card-TAN-Reader an (bei Raiffeisen z.B. kostenlos). Mit diesen kleinen TAN-Generatoren und Ihrer Bankomatkarte können Sie auch ohne einer App das Online-Banking voll nutzen.

Antworten
compositore
1
1
Lesenswert?

@tenke

Von wegen Card-Tan-Reader bei Raiffeisen kostenlos. Raika verlangt € 10,-- (sende ihnen auf Wunsch gerne Kassenbeleg zu).

Antworten
tenke
1
1
Lesenswert?

Raiffeisen ist nicht gleich Raiffeisen.

Meine Bank verrechnet nichts.
Auf der anderen Seite muss man sagen, wenn man die kostenlose Push-TAN nicht verwenden will, kann einem der Reader einmalig auch EUR 10,- wert sein.

Antworten
fwf
7
5
Lesenswert?

Tangeneratoren

Habe einige Zeit mit einem solchen Ding gearbeitet. Funktiomniert oft nicht und dass manche Banken dieses nicht gratis abgeben, ist sowieso eine Zumutung. Jedenfalls ist alleine die Einrichtung der neuen Überweisungsmodalitäten für nicht Computerfreaks eine Zumutung. Wann endlich werden wir begreifen, dass aus der EU fast nur Dinge kommen, die eine Belastung für den Staatsburger darstellen. Und Gauner werden auch hier Wege finden, das System zu umgehen.

Antworten
tenke
0
1
Lesenswert?

Nicht-Computer-Freaks

haben noch immer die Möglichkeit ihre Geschäfte in der Bank direkt abzuwickeln (und werden das auch bisher gemacht haben).
Abgesehen davon läuft der Zahlungsverkehr (Strom, Miete, Versicherungen usw.) ohnehin großteils über Lastschriften, also ist dafür kein Online-Banking nötig. Alles andere können jene nicht PC-affinen Personen weiterhin in bar/mit Karte bezahlen.

Antworten
herwig67
20
10
Lesenswert?

Auch weiterhin Tan per SMS

Ich erhalte weiterhin einen Tan per SMS wie schon bisher. Verstehe die Aufregung nicht ganz. Und wer dann halt bei einer Bank sein Konto hat, die auf ein Smartphone bestehen, sollte die Bank wechseln.

Antworten
tenke
3
15
Lesenswert?

Das glaube ich Ihnen,

aber nur mehr bis 13.09.2019.

Antworten
aToluna
27
6
Lesenswert?

Sollte die Bank wechseln

Wer eine Bank hat, die noch immer auf das unsichere sms-Tan Verfahren setzt, sollte die Bank wechseln.

Antworten
ha52583mvrhtcom
3
11
Lesenswert?

Beschreibe Mal die Unsicherheit.

Antworten
aToluna
3
1
Lesenswert?

Unsicherheitsfaktor

Sie!!!!

Antworten
paulrandig
31
20
Lesenswert?

Was konkret spricht eigentlich gegen...

...Wiedereinführung der TAN-Briefe?
Die waren für mich früher immer ideal und sollten eigentlich die Bedingungen erfüllen.

Antworten
tenke
1
19
Lesenswert?

Unsicherer geht es kaum.

Für Betrüger ist es ein Leichtes solche Listen in Ihrem Namen anzufordern und diese dann am Postweg abzufangen. Dann können Sie nur mehr hoffen, dass Ihr Konto keinen hohen Habenstand aufweist.

Antworten
H260345H
4
3
Lesenswert?

In der WERBUNG

TÄUSCHEN die Banken das neue PUSH-Modell als Vereinfachung vor, in Wirklichkeit ist das sehr kompliziert, man muss praktisch immer ein Handy zur Verfügung haben.
Da werden sich aber vor allem ältere Semester freuen!

Antworten
crawler
4
30
Lesenswert?

Was ich nicht verstehe

warum die Banken die Bürgerkarte mit Lesegeät nicht mehr als Identifizierung bei Internetbanking zulassen. Bei der PKS z.B. kann man ohne Handy und "klar" dann überhaupt keine Buchungen mehr durchführen. Die nächste PSK- Bank ist 40Km entfernt. Im Alter, wenn das Handy seine Wichtigkeit verloren hat, kann man so die PKS vergessen.

Antworten
herwig67
0
8
Lesenswert?

Klar geht bei der PSK bald ohnehin nicht

Wie bekannt gehen BAWAG und PSK getrennte Wege.

Antworten
Hazel15
3
19
Lesenswert?

Bürgerkarte mit Lesegeät

Das die Software für das Lesegerät mit Java arb eitet, sollte bekannt sein. Das die Java-Software äußerst unsicher und leicht gehackt werden kann, sollte auch bekannt sein. Java sollte schon lange nicht mehr auf dem System installiert sein. So untersützt Firefox aus sichewrheitsgründen Java schon länger nicht mehr. Wer noch mit einem Lesegerät ausweist und einloggt, soll sich nicht wundern, das einmal seine Daten gestohlen werden. Das sind noch Methoden vom Mittelalter.

Antworten
movinC
0
0
Lesenswert?

Das arme Java kann nix dafür....

Java ist nicht per se unsicher, die Java Runtime-Umgebung darf ruhig auf dem Computer installiert bleiben. Was Sie vermutlich meinen, ist das Java-Plug-In für Java-Applets, die im Browser ablaufen sollen, dies wird häufig für Schadprogramme auf präparierten Webseiten verwendet und wird daher auch von Oracle als veraltet angesehen und nicht mehr mit der Java Runtime ausgeliefert.
Das Problem ist also in diesem Fall nicht so sehr die Unsicherheit des konkret verwendeten Java-Applets, sondern eher, dass die Browser-Unterstützung für Java-Applets generell aus Sicherheitsgründen eingestellt oder eingeschränkt wurde.

Antworten
Gedanke
0
1
Lesenswert?

Digitale Signatur wäre wünschenswert

Grundsätzlich sollte zwischen Bürgerkarte und Signaturkarte unterschieden werden - für das Internetbanking benötigt man keine Bürgerkarte - es reicht die Signaturkarte - diese könnte für fast alle Geschäftsfälle verwendet werden, die lt. ABGB die Schriftform erfordern. Mit einem Client braucht man auch kein Java.
Ich habe mich intensiv mit den neuen Möglichkeiten der Authentifizierung bei den Banken beschäftigt - trotz inzwischen erreichter Routine mit der CARD-TAN ist der Zeitaufwand ein zig-faches (auch schon ohne Vertippen bei Eingabe unzähliger Codes)- die Installation einer App auf ein Kommunikationsgerät im privaten Bereich halte ich für (grob) fahrlässig, weil es ohne enormen Aufwand nicht möglich ist zu prüfen, was die App am Gerät tatsächlich macht.
Teilweise wird für CARD-TAN Generatoren ein Entgelt verlangt, bei einigen Finanzinstituten nicht.
Ich werde jedenfalls der Mühsal ausweichen indem ich neue Konten bei Banken mit einfacher Authentifizierung eröffnen werde.

Antworten