User sollen besser vor Online-Kriminellen geschützt werden. Wer seine Online-Einkäufe mit Kreditkarte bezahlt, muss ab 15. Januar nicht mehr nur seine Kartendaten eingeben, sondern sich zusätzlich per TAN oder Passwort verifizieren.
So sollen Verbraucher immer nachweisen, dass sie auch die rechtmäßigen Inhaber der Bezahlkarte sind. Abbuchungen durch Cyber-Kriminelle oder Hacker könnten dadurch erschwert werden.
Zahlen mit Kreditkarte: Was gilt ab 15. Januar 2021?
Die Umstellung erfolgt in drei Etappen. So sollen sich die Online-Shops und deren Kunden schrittweise an die neue Regeln gewöhnen.
Etappe 1: Ab dem 15. Januar 2021 müssen Zahlungen ab 250 Euro, die mit einer Kreditkarte (Visa, MasterCard, American Express) getätigt werden, mit zwei voneinander unabhängigen Faktoren freigegeben werden. Dazu zählen: Karteninhaber, Kartennummer, dreistellige CVC2-Nummer und zusätzlich Passwort oder TAN.
Etappe 2: Einen Monat später, am 15. Februar, greift die "Zwei-Faktor-Authentifizierung" dann ab 150 Euro.
Etappe 3: Bereits ab 0,01 Euro soll die Regel dann ab 15. März greifen.
Was müssen Kunden beachten?
Karteninhaber müssen prüfen, ob ihre Visa, Mastercard oder American Express bereits für die Zwei-Faktor-Authentifizierung freigeschaltet wurde. Entsprechende Aktivierungsverfahren finden Verbraucher im Online-Banking unter dem Reiter "Kreditkarte", "Service" oder "Sicherheit".
Um die Zwei-Faktor-Authentifizierung zu aktivieren, brauchen Verbraucher in der Regel eine App, welche die Hausbank zur Verfügung stellt. Die Kreditkarte wird in der Regel über diese App erfasst, verschlüsselt abgespeichert und dann für das TAN-Verfahren aktiviert.
Bei der DKB ist es beispielsweise DKB TAN2GO, bei der Sparkasse die App PushTan. Die Commerzbank, Comdirect, Norisbank, 1822direkt, ING Diba und Deutsche Bank nutzen Alternativen wie beispielsweise das PhotoTan-Verfahren.
Andere Anbieter haben TAN-Generatoren im Einsatz, die dann pro Transaktion eine PIN ausspucken. Solche Generatoren sind oft so groß, wie ein Feuerzeug.
Ein Großteil der Bankkunden nutzt das wesentlich einfache SMS-TAN-Verfahren. Dabei schickt die Bank einen oft sechsstelligen Code per SMS, den Kunden dann eingeben müssen. Allerdings verlangen die Kreditinstitute pro SMS in der Regel zwischen 9 und 19 Cent. Solche Verfahren nutzen etwa Comdirect, Deutsche Bank, Norisbank, 1822direkt, HypoVereinbank/UniCredit, Skatbank, ING Diba,Santander, Wüstenort und Netbank.
Grundsätzlich gilt, dass jedes Kreditinstitut mindestens ein kostenloses TAN-Verfahren anbieten muss. Zudem sollten alle Bankkunden besonders achtsam sein.
Kriminelle könnten jetzt Betrugs-E-Mails verschicken. Darin könnten Links platziert sein, die zu Fake-Seiten führen. Loggen sich Kunden auf diesen Seiten ein, werden die Anmeldedaten, darunter Benutzername und Passwort weitergegeben. Mit den sensiblen Daten, wie Adresse, Geburtsdatum und Kontonummer könnten die Betrüger im Extremfall Kredite abschließen oder gar Konten plündern.
Daher gilt: Öffnen Sie keine Links, die angeblich von Ihrer Bank kommen. Loggen Sie sich lieber direkt per Online-Banking ein und prüfen Sie unter "Postfach", ob das Kreditinstitut bereits Hinweise zur Aktivierung des Zwei-Faktor-Authentifizierung hinterlegt hat. Hilfe erhalten Sie auch über den Kundenservice des Kredithäuser.
Hier finden Sie die wichtigsten Adressen und Nummern: (Links entfernt)
Commerzbank: Kontaktdaten und Hotline
Comdirect: Kontaktdaten und Hotline
Deutsche Bank: Kontaktdaten und Hotline
DKB: Kontaktdaten und Hotline
ING-DiBa: Kontaktdaten und Hotline
Norisbank: Kontaktdaten und Hotline
Sparkasse: Kontaktdaten und Hotline
Achtung! Viele Karten sind bereits seit 2019 registriert
Kreditinsitute hatten die Zwei-Faktor-Authentifizierung bereits bei Kreditkarten im Jahr 2019 aktiviert. In der Zwischenzeit haben aber Händler die Regel nicht umgesetzt. Daten könnten somit veraltet oder nicht mehr gültig sein. "Viele Kunden können sich an den Registrierungsschritt nicht mehr erinnern, haben zwischenzeitlich ihr Mobiltelefon gewechselt oder das Passwort verlegt", warnt Andreas Brugger, Seniorberater bei der SIZ GmbH.
Daher sollten Kunden unbedingt jetzt schon im Online-Banking prüfen, ob die Zwei-Faktor-Authentifizierung bereits aktiv ist und ob die dort hinterlegten Daten (Handynummer, App- oder SMS-Verfahren) noch gültig sind.
Experten rechnen damit, dass Kunden zum Start erhebliche Probleme mit dem neuen Verfahren haben werden. "Es könnte sicher zu vielen Abbrüchen kommen", klagen Branchenkenner. Bei Unsicherheiten könnten Verbraucher auf PayPal, Klarna oder Sofort-Überweisung umsteigen.
Regel gilt seit 2019 – nun wird sie EU-weit umgesetzt
Eigentlich gilt diese Pflicht zur "starken Kundenauthentifizierung" nach neuen EU-Regeln ("Payment Service Directive"/PSD2) bereits seit dem 14. September 2019 für jede Zahlung im Online-Banking und beim Einkaufen im Internet.
Doch weil mancher Anbieter Probleme bei der Umsetzung dieser "Zwei-Faktor-Authentifizierung" hat, gab es bereits einmal Aufschub von der Finanzaufsicht Bafin bis Ende 2020. Im Handel bestehe "nach wie vor erheblicher Anpassungsbedarf", stellte die Behörde im August 2019 fest. Zum 1. Januar 2021 sollten die neuen Regeln nach bisheriger Planung greifen. Doch die Bafin gewährt eine erneute Schonfrist.
"Wir wollen damit den Beteiligten ein sicheres Hochfahren ihrer neu implementierten Systeme ermöglichen", begründete ein Sprecher der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) kurz vor Weihnachten den erneuten Aufschub. Bei der Einführung neuer IT-Systeme gebe es erfahrungsgemäß oft Anlaufschwierigkeiten.
Banken und Kreditkartenanbieter haben nach Einschätzung der Bafin ihre Hausaufgaben erledigt: "Nach Kenntnis der Bafin haben die Zahlungsdienstleister ihre Implementierungsarbeiten bezüglich der Anwendung der starken Kundenauthentifizierung bei Kartenzahlungen im Internet abgeschlossen", erklärte der Bafin-Sprecher.
Auch der Onlinehandel arbeitet daran, technische Lücken zu schließen. "Allerdings sind Händler auch abhängig von den Vorstufen, das heißt von ihren eigenen Dienstleistern, den Acquirern, aber auch von den Kartenherausgebern und ihrem Umgang mit den neuen Verfahren", sagt Ulrich Binnebößel vom Handelsverband HDE.
Quelle: Sparkasse, DKB, Volksbank, Commerzbank und Co. betroffen: Das ändert sich jetzt für alle Kunden - CHIP