Das ändert sich beim Onlineshopping

01.08.2019
Es passiert beim Online-Shopping: Nach Eingabe der Kreditkartennummer erscheint die Meldung «Der Bezahlvorgang kann nicht ausgeführt werden.» Die Karte sei nicht beim Authentifizierungssystem registriert. Was ist denn hier los?
TAN-Generatoren als eigene kleine Geräte bieten die Banken bislang fast ausschließlich fürs Onlinebanking an. Foto: Christin Klose/dpa-tmn
TAN-Generatoren als eigene kleine Geräte bieten die Banken bislang fast ausschließlich fürs Onlinebanking an. Foto: Christin Klose/dpa-tmn

Berlin (dpa/tmn) - Wer häufig im Internet kauft oder bucht, hat es wahrscheinlich schon bemerkt: Kreditkartennummer, die Gültigkeit und der dreistellige Prüfcode genügen beim Bezahlen oft nicht mehr.

Immer mehr Banken verlangen eine weitergehende Authentifizierung über einen Code, der in einer App generiert wird oder als SMS aufs Smartphone (mTAN) kommt, bei Kreditkarte meist 3D-Secure genannt. Damit können Banken die Vorgaben der neuen EU-Zahlungsrichtlinie (PSD 2) erfüllen, die am 14. September in Kraft tritt.

Neue EU-Zahlungsrichtlinie

Die Richtlinie sieht sowohl fürs Onlineshopping als auch fürs Onlinebanking vor, dass sich Kunden beim Bezahlen und bei Bankgeschäften im Netz aus Sicherheitsgründen zusätzlich identifizieren muss - daher der Name Zwei-Faktor-Authentifizierung (2FA). «Wichtig ist dabei, dass die Faktoren aus verschiedenen Kategorien stammen, also eine Kombination aus eigenem Wissen wie Passwort oder PIN, Dingen im persönlichen Besitz wie Chipkarte oder einem TAN-Generator oder Biometrie, etwa dem eigenen Fingerabdruck, verwendet wird», erläutert Matthias Gärtner, Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Was bedeutet das für Kunden, die kein Smartphone benutzen, aber weder aufs Onlineshoppping noch aufs Onlinebanking verzichten wollen? Kein Problem, versichert Tanja Beller vom Bundesverband deutscher Banken (BDB): «Es gibt verschiedene Hardware-TAN-Generatoren, zum Beispiel Chip-TAN-Generatoren oder auch Photo-TAN-Generatoren.» Aber auch das mTAN-Verfahren, bei dem der Code per SMS an jedes beliebige Handy geschickt werden kann, bleibe bei vielen Banken erhalten.

Kreditinstitute

Welche Systeme wann angeboten oder abgeschafft werden, bleibt aber allein dem jeweiligen Kreditinstitut überlassen. «Im Deutschen Sparkassen- und Giroverband sind 384 Sparkassen organisiert», die eigenständig am Markt auftreten, betont deren Sprecher Thomas Rienecker. Und der BDB verweist ebenso an die einzelnen Häuser wie der Bundesverband der Deutschen Volks- und Raiffeisenbanken (BVR).

«Wir empfehlen allen Kreditinstituten, die Einmalpasswörter per SMS als Backup für Kunden ohne Smartphone weiter anzubieten», sagt Mastercard-Sprecherin Juliane Schmitz-Engels. Die Lage sei aber unübersichtlich, weil es selbst innerhalb von Gruppen nicht immer einheitlich zugehe. Für die Sparkassen seien etwa zwei Dienstleister tätig: Einer verzichte künftig auf mTANs, der andere behalte sie bei.

Das BSI rät von mTANs unter Sicherheitsaspekten ab.

TAN-Generatoren, die nach Einschätzung der Behörde höchste Sicherheit bieten, werden aber bislang überwiegend fürs Onlinebanking eingesetzt, nicht aber für Zahlungen beim Onlineshopping. Zudem müssen die kleinen Geräte meist von den Bankkunden bezahlt werden. Für jede mTAN wird inzwischen meist ein zweistelliger Cent-Betrag fällig.

Die Onlinebanking-Monokultur bei den TAN-Generatoren könnte bald ein Ende haben. Visa Deutschland ist auf Anfrage guter Hoffnung, «dass Kreditinstitute, die heute bereits solche Verfahren für die Authentifizierung von eBanking-Überweisungen nutzen, diese mit hoher Wahrscheinlichkeit auch für die Authentifizierung von 3D-Secure Zahlungen verwenden.»

Ein Beispiel ist die Commerzbank. Deren Photo-TAN-Generator (30 Euro) wird einem Sprecher zufolge vom 14. September an nicht mehr nur TANs fürs Onlinebanking erzeugen, sondern auch solche für Onlinezahlungen. Kunden mit Smartphone können natürlich auch weiter eine App nutzen.

Zwei-Faktor-Authentifizierung

Das BSI rät allerdings von der Zwei-Faktor-Authentifizierung und Online-Bankgeschäften auf demselben Gerät ab - zumindest so lange das genutzte Smartphone über keinen Sicherheitschip (Secure Element) verfügt, in der die Identifizierung sicher gekapselt ablaufen kann.

Denn «grundsätzlich ist es immer riskanter, wenn Kriminelle nur ein Gerät unter Kontrolle bringen müssen», erläutert BSI-Sprecher Gärtner. Dieser Empfehlung arbeiten jedoch manche Kreditinstitute regelrecht entgegen. «Auf ein und demselben Phone: Banking und TAN», bewirbt etwa eine Sparkasse im Google Play Store ihre App.

Auch Christian Urban von der Verbraucherzentrale Nordrhein-Westfalen sieht Banking und 2FA auf einem Gerät kritisch: «Viele Banken bieten Alternativen zur App.» Allerdings würden diese an den Hotlines nicht immer kommuniziert und seien auf den Homepages teils nicht einfach zu finden. «Wenn eine Bank das von Ihnen bevorzugte TAN-Verfahren nicht oder nicht mehr anbietet, sollten Sie über einen Wechsel nachdenken und dies auch gegenüber dem Berater deutlich machen», rät Urban.

Es gibt Verbraucher, die bereit wären, eine Banking- oder 2FA-App zu installieren, es aber nicht dürfen: Auf gerooteten Mobilgeräten erlaubt die gesammelte Kreditwirtschaft aus Sicherheitsgründen keine Installation und Nutzung solcher Apps. Diese Haltung unterstützt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI),weil die weitestgehenden Superuser-Rechte, die ein Nutzer auf einem gerooteten Smarpthone hat, auch zum Einfallstor für Schadsoftware und Kriminelle werden kann.

Ähnliches gilt für Geräte mit älteren beziehungsweise veralteten Android-Versionen. Wann eine Android-Version nicht mehr sicher sei, lasse sich angesichts der Vielzahl von Herstellern und Typen aber nicht pauschal sagen. Ein Label, mit dem IT-Sicherheit signalisiert und damit bei der Kaufentscheidung berücksichtigt werden könne, sei in Vorbereitung, sagt BSI-Sprecher Matthias Gärtner. «Momentan können wir nur allen Kunden raten, ihre Geräte upzudaten, und an die Hersteller appellieren, Sicherheitslücken schnellstmöglich zu schließen.»


Verfasser: dpa-infocom GmbH

KEYWORDS

TEILEN


Das könnte Sie auch interessieren
Beim SmartTAN-Verfahren braucht man zusätzlich zum Passwort für den Online-Banking-Zugang noch die Bankkarte und den TAN-Generator. Anhand einer Abfolge von Lichtsignalen auf dem Bildschirm ermittelt das Gerät dann eine gültige Transaktionnummer (TAN). Diese Methode gilt als sehr sicher. Foto: Andrea Warnecke Ein Passwort reicht nicht: Zweifaktor-Authentifizierung Nur durch Passwörter geschützte Onlinekonten sind im schlimmsten Fall schnell gehackt. Mit Zweifaktorauthentifizierung ist man sicherer unterwegs, und die Daten sind geschützt. Aber was ist das eigentlich? Und welche Möglichkeiten gibt es?
Wichtige Informationen rund um Versand, Rückgabe oder Käuferschutz sind bei den Asien-Shops gar nicht oder nicht auf Deutsch verfügbar. Foto: Andrea Warnecke Zwischen Frust und Lust: Online-Shopping in Fernost Egal ob Smartphone, Actioncam oder Tablet: Online-Anbieter aus Fernost verkaufen Elektronikgeräte teilweise zu absoluten Schleuderpreisen. Doch wer dort bestellt, braucht nicht nur viel Geduld, sondern auch Mut, gute Vorbereitung und Nerven.
Wer nervige Mails als Spam markiert, hilft Mailprogrammen und Dienstanbietern dabei, sie künftig besser herauszufiltern. Foto: Andrea Warnecke Wenn Spam persönlich wird: Geldwäschern auf der Spur Unzählige Spam-Mails sind im Umlauf. Aber was, wenn plötzlich eine mit persönlicher Ansprache dabei ist? Mit Name, Adresse, Telefonnummer und einem Job-Angebot? Dann ist es besonders wichtig, einen kühlen Kopf zu bewahren.
Wer auf Reisen sein Notebook mitnimmt, sollte daran denken, dass das Gerät verloren gehen oder entwendet werden könnte. Foto: Britta Pedersen Hotel-PCs nur fürs Surfen und Lesen nutzen Für Reisende sind kostenlos nutzbare PCs in Hotel-Lobbys oder an Flughäfen sehr nützlich. Jedoch ist davon abzuraten, sich an so einem Gerät für Online-Dienste jeglicher Art einzuloggen.