Für die Banken und ihre Kunden beginnt am 14. September mit der Zahlungsdiensterrichtlinie (Payment Services Directive PSD2) ein neues Zeitalter des Banking. Um zu erfahren, welche Umwälzungen mit diesem „PSD2“ auf uns zukommen, werden wir uns zu einem Clubabend Spezialisten einladen.
Was dem Kunden als Allererstes auffällt, sind die Neuerungen beim Zugang zum Internet-Banking, bei dem nunmehr zwei verschiedene Nachweise erbracht werden müssen, ganz ähnlich, wie das auch beim Bankomaten bisher der Fall war (Karte + PIN-Code).
Die Banken reagieren unterschiedlich auf die kommenden Änderungen in den Zugangsbedingungen zum Internet-Banking. Während die BAWAG (verwaltet unser ClubComputer-Konto) nur das Allernötigste unternommen hat, verwendet die ERSTE (verwaltet die Privat-Konten des Autors) diesen Anlass zu umfassenden Änderungen. Auch die Bank Austria beschränkt sich auf das Nötige.
Identitätsnachweis
Um sich gegenüber der Bank-Applikation auszuweisen, benötigt ab 19.9. man zwei von drei möglichen Faktoren:
- Wissen (z.B. Passwort)
- Besitz (z.B. Karte oder Telefon)
- Biometrie (z.B. Augenscan, Fingerabdruck)
Das Passwort allein genügt also für einen Zugang nicht, es muss ein zweites Merkmal mit dabei sein.
Die Bank Austria hat eine lesenswerte und gut verständliche Zusammenstellung von Fragen und Antworten zur Zwei-Faktor-Authentifizierung im Internetbanking im einem PDF-Dokument zusammengestellt: Zwei-Faktor-Authentifizierung FAQs im Detail (PDF). Natürlich bezieht sich dieses Dokument auf die Implementierung der Bank Austria, aber es wird doch ganz allgemein klar, um was es geht und wie es (eben bei der Bank Austria) gemacht wird und warum.
BAWAG
Bei der BAWAG fällt einem die Änderung (seit 18. August aktiv) fast nicht auf. Nachdem man sich mit Verfügernummer und PIN – wie bisher – eingeloggt hat, besteht die Änderung darin, dass man nach dem Login zusätzlich – ganz so wie bei der Freigabe einer Überweisung – einen 5-stelligen Bestätigungscode ans Handy gesendet bekommt. Diese zweifache Authentifizierung nennt die BAWAG starke Authentifizierung. Diese ist seit 18.8. erforderlich, allerdings nur beim ersten Login und danach 90 Tage nach der letzten starken Authentifizierung.
Ab 14.9. werden „bestimmte“ Überweisungen auch ohne Bestätigung durch eine TAN möglich sein. Unklar ist, was diese „bestimmten“ Überweisungen sind, vielleicht solche, die in gleicher Art bereis öfter getätigt wurden.
Klar Banking App
Darüber hinaus kann man optional die „Klar Banking App“ am Smartphone installieren. Nach Eingabe von Verfügernummer und PIN erfolgt die Anmeldung der App in vier Schritten:
- Login festlegen (E-Mail, PS (>12 Zeichen, keine Zeichenwiederholungen),
- E-Mail-Adresse bestätigen
- Telefonnummer bestätigen
- PIN festlegen
ERSTE
Die ERSTE hat sich mit einer solchen kosmetischen Änderung einer Zwei-Faktor-Authentifizierung nicht begnügt, hier wurde so ziemlich alles auf den Kopf gestellt. Die Anwendung „George“ dient schon seit einiger Zeit sowohl am PC als auch am Handy als Schnittstelle zu den Konten. Im Mai bekamen die ersten Kontenbesitzer ihre neue Debitcard, die ein Ersatz für die frühere Bankomatkarte ist.
Ohne Anspruch auf Vollständigkeit, hier eine Liste von Neuerungen:
- George Webapp am PC und George App am Handy verwalten das Konto
- DebitCard (= MasterCard ohne Kreditfunktionalität, d.h. Beträge werden unverzüglich abgebucht)
- ApplePay (Google Pay gibt’s in Österreich noch nicht)
- Login nur mehr über App „s Identity“ (auch am PC verfügbar)
- Besitzer eines alten Tasten-Handys können die Authentifizierung auf einen TAN-Generator umstellen
- Für eine Debit-Card kann auch eine Handybezahlfunktion aktiviert werden. Damit wird das Handy zur Bankomat-Karte.
- George mit Multibanking (Administration von Konten bei anderen Banken!)
- Druckfunktion für Belege
George
Für das Verwalten der Konten wird in Zukunft ausschließlich „George“ verwendet. Obwohl der Name der App und der Webapp derselbe ist, handelt es sich nicht um denselben Funktionsumfang. Man kann auch nicht sagen, dass eine Version ein Subset der anderen wäre. Das Wichtigste funktioniert in beiden Welten, PlugIns installieren kann man aber nur am PC, dafür kann man nur am Handy die Kreditkartenfunktion umschalten. Wolfgang hat herausgefunden, dass es zwei Entwickler-Teams gibt, die aber offenbar nicht ausreichend koordiniert sind. Beispielsweise ist die Handy-App sehr gut blindenbedienbar, die Web-App eher weniger. Auch die Auskunftsfreude der Teams ist spürbar unterschiedlich.
DebitCard
Die Bezeichnung „Bankomatkarten“ gibt es nicht mehr. Man sagt jetzt „BankCard“ oder „Debit-Card“. Und die Karten haben eine Doppelfunktion, denn man kann sowohl eine klassische Bezahlung an der Bankomatkassa durchführen als auch eine Bezahlung in einem Web-Shop über die Bezahlvariante „Kreditkarte“ ausführen, obwohl „Kredit“ in diesem Fall nicht zutrifft, weil der Betrag ohne Verzögerung vom Konto abgebucht wird und nicht – wie bei einer echten Kreditkarte – am Ende des Monats.
Das Bild täuscht, die eingeprägte Schrift ist sehr dünn und trotz der Größe schwer lesbar. (Diesen Satz hätte ich wohl vor 10 Jahren nicht geschrieben, doch mit abnehmender Sehleistung würde man so manche stilistische Freiheit einschränken wollen.)
Gravierend ist, dass die Kontonummer nicht mehr auf der Vorderseite eingedruckt ist, sondern gemeinsam mit der Verfügernummer zum Internetbanking auf der Rückseite.
Auf der Vorderseite zeigt die Karte die 16-stellige Debitkartennummer, klar, sie muss wie eine der bisherigen Kreditkarten ausschauen, sonst würde sie bei einem „Kredit“-kartenkauf nicht akzeptiert werden.
Besitzt man ein S-Plus-Sparbuch, bekommt man ebenfalls eine solche Debit-Karte.
Man kann mit einer Karte mehrere Konten verbinden.
Konsequenz-1
Ich benutze bisher für Internet-Zahlungen und fallweise Zahlungen im Ausland eine kostenpflichtige Mastercard. Da nun diese „Kredit“kartenfunktion in der neuen BankCard kostenlos enthalten ist, war meine erste Aktivität, nachdem die Karte angekommen ist, die Kündigung meiner bestehenden MasterCard (früher EuroCard), um diese nicht unerheblichen Kosten einzusparen. Gleichzeitig habe ich meine Konteneinstellungen bei PayPal, Amazon und Google Pay auf die Daten der neuen Karte geändert.
Man sollte nicht unerwähnt lassen, dass man zwar mit der DebitCard eine Karte einspart, doch man ist von dieser einen Karte ganz besonders abhängig, weil bei einem technischen Defekt man keine zweite Karte „im Talon“ hat.
Konsequenz-2
Für alle, die nicht beabsichtigen, Internetbestellungen aufzugeben oder mit dieser Karte Hotels zu bezahlen, können diese Bezahlmöglichkeit abschalten. Leider hinken die Entwickler rund um George mit der Aktualisierung ihrer Programme hinterher, denn man kann diese Abschaltung (und auch andere Änderungen) nicht über die Web-Anwendung, also über einen PC vornehmen, sondern man braucht die George Handy-App kombiniert mit der Authorisierungs-App s’Identity. Es ist aber auch umgekehrt so, dass manche Eigenschaften wieder nur über die PC-App einstellbar sind.
Wenn also eine Kreditkartenzahlung die Ausnahme ist, und man möchte jedes Risiko vermeiden, sollte man so vorgehen: Vor einer Überweisung die Kreditkartenzahlung am Handy aktivieren, Überweisung durchführen und danach die Kreditkartenfunktion wieder abschalten.
ApplePay
Eigentlich sollte hier stehen „Apple Pay und Google Pay“, aber leider lässt die Einführung von Google Pay in Österreich auf sich warten, daher ist die Bezahlmöglichkeit über ApplePay derzeit nur den Benutzern von Apple Handies vorbehalten. Als Android-Nutzer muss man derzeit noch mit diesem Mangel leben,
s Identity
Für den Login bei George benötigt man nunmehr das Handy, denn das Wissen um Verfügernummer und Passwort genügt nicht mehr. Zwar könnte man weiterhin einen SMS-Kanal zur Bestätigung einer Nummer verwenden, aber die ERSTE hat sich für die obligatorische Verwendung einer App, eben der s Identity entschieden. (In einem Artikel über die Umsetzung der EU-Richtlinie stand, dass die Kosten der SMS-Versenderei zu hoch wären. Aber vermutlich bekommt man mit der App zusätzliche Sicherheit.)
Bei jedem Login auf der Webseite von George muss man nur mehr die Verfügernummer eingeben, die Eingabe der früheren Pinnummer wird durch die Bestätigung auf der s Identity-App ersetzt. Damit man dort nicht immer wieder ein Passwort eingeben muss, kann man auch auf die Identifikation mit einem Fingerabdruck umschalten, sodass sich die Identifikation auf eine Berührung mit dem Finger reduziert.
Es gibt auch eine PC-Version für s Identity und damit kann man einen Login-Vorgang ebenso bestätigen wie am Handy.
TAN-Generator
Auf die Besitzer von alten Tasten-Handies wurde nicht vergessen. Man kann bei der Bank einen TAN-Generator anfordern. Das ist eine kleine Hardware, die auf einem Display fortlaufend TANs ausgibt, die man zur Bestätigung verwendet.
Handybezahlfunktion
Man kann das mit der George-App verbundene Handy mit einer Bezahlfunktion ausrüsten. Mit ein paar Tastenklicken ist das erledigt.
Wie sich diese Funktion im Vergleich mit der alternativen Anwendung „boon“ verhält, werden Tests zeigen, beschrieben ist der eigentlich Vorgang nicht. Es geht nicht darum, dass man das Handy über das Bezahlterminal hält, das ist ja klar, es geht darum, ob man sich am Handy (mit Fingerabdruck) oder am Bezahlterminal (mit PIN) identifizieren muss.
Multibanking
Man kann im George am PC ein PlugIn installieren, mit dem man mit derselben George-App auch weitere Konten bei anderen Banken steuern kann. Derzeit können folgende Banken über George synchronisiert werden: Bank Austria, Raiffeisen, easybank, Bawag PSK, ING, Hypo NÖ, Volksbank. Das ist eben erst durch die Umsetzung der EU-Richtlinie PSD2 möglich.
Synchronisierung eines Kontos
Man sieht, man kann jetzt die Buchungszeilen des ClubComputer-Kontos der BAWAG mit der George-Anwendung der ERSTE betrachten. Überweisungen kann man nicht durchführen.
Druckfunktion
In der Handy-App gibt es bei den Belegen eine „Teilen“-Symbol. mit dem man über einen definierten Cloud-Drucker den Beleg ausdrucken kann.
Bank Austria
Die Bank Austria setzt durchgängig auf zusätzliche TAN Eingabe.
Zu Fragen und Antworten zur Zwei-Faktor-Authentifizierung im Internetbanking der Bank Austria siehe Link im Abschnitt Identitätsnachweis am Beginn dieses Artikels.
Wie erhält man die TANs?
Es werden derzeit alle 3 Kanäle unterstützt, über die TANs zugesendet oder verfügbar gemacht werden:
- Push TAN in der Mobile Banking App am Smartphone
- über SMS
- Alternativ kann man den CardTAN-Generator der Bank Austria zum Ablesen einer aktuell gültigen TAN benutzen (es gibt ihn schon seit 2015).
Auswahl beim Login
Das „gewohnte“ Internet Banking
Dies ist der ältere der beiden derzeit verfügbaren Webzugänge.
Das Internet Banking ist ein Auslaufmodell, die Zukunft gehört 24You.
Das habe ich von einem kompetenten Manager der Bank Austria erfahren.
Änderungen sind derzeit nur angekündigt, aber erst ab 09.09.2019 wirksam.
Das „neue“ 24You
Dies ist der neuere der beiden derzeit verfügbaren Webzugänge; ihm gehört die Zukunft.
Änderungen sind derzeit nur angekündigt, aber erst ab 09.09.2019 wirksam.
Mobile Banking App (Android)
In der Mobile Banking App bleibt alles wie gehabt. Das Login in der App funktioniert unverändert mit Verfügernummer und PIN. Der „zweite Faktor“ ist hier das Gerät, auf dem die App verwendet wird.
Anmerkungen
Dieser Artikel entstand durch Hinweise von Wolfgang, der die Szene rund um die Bezahlsysteme aufmerksam verfolgt. Wir haben bereits mehrmals das System „boon“ vorgestellt, das eine Geldbörse am Handy implementiert. Der Vorteil dieser Bezahlmethode ist, dass die Eingabe der Pin-Nummer am Kassenterminal entfällt und man sich stattdessen am Handy identifiziert, zum Beispiel mit einem Fingerabdruck.
Infos zu Bank Austria wurden von georgie hinzufügt.
Links zu „boon“
- https://clubcomputer.at/2016/09/09/elektronische-zahlungssysteme/
- https://clubcomputer.at/2016/10/14/boon-praxistest/
- https://clubcomputer.at/2018/01/19/boon-kontaktlos-bezahlen/
- https://clubcomputer.at/2019/04/16/boon-kontaktlos-bezahlen-mit-google-pay/
Franz war pensionierter HTL Lehrer (TGM), Präsident von ClubComputer, Herausgeber der Clubzeitung PCNEWS und betreute unser Clubtelefon und Internet Support. Er war leidenschaftlicher Rapid Wien Fan. Er ist leider Anfang Jänner 2024 nach langer schwerer Krankheit verstorben.
Clubmitglieder finden einen Mitschnitt der Sendung eco über Online-Banking in unserem Ordner „clubintern“. (2019-09-05 ORF Eco Online Banking.mp4)