Zwei-Faktor-Authentifizierung zum Bezahlen meist kostenlos

Berlin – Einkaufen im Internet soll sicherer werden: Ab dem 14. September gelten neue Regeln, damit Kriminelle Kundendaten nicht abgreifen und selbst nutzen können. Wer online mit Kreditkarte zahlt, muss sich künftig auf zwei verschiedene Arten ausweisen.

Für viele Verbraucher ist dies kostenlos, wie eine Befragung durch die Zeitschrift «Finanztest» (Ausgabe 9/2019) zeigt.

Eine Bank bietet allerdings nur kostenpflichtige TAN-Verfahren an, andere Institute und Kartenanbieter verwenden diese teilweise. Bei 27 Anbietern können Kunden demnach das SMS-TAN-Verfahren verwenden, bei dem sie per SMS einen Code erhalten und diesen zur Bestätigung der Transaktion online eingeben. Nur vier verlangen dafür Gebühren, zwischen sieben und zwölf Cent pro SMS. Die App-TAN können Verbraucher bei 23 Instituten und Kartenherausgebern nutzen – dies ist bei allen kostenlos.

Eine andere Variante ist das Photo-TAN-Verfahren. Dabei muss der Nutzer nach Eingabe der Überweisungsdaten einen Barcode scannen. Sechs Banken bieten das Photo-TAN-Verfahren mit dem Smartphone an – alle kostenlos. Bei fünf davon kann dafür auch ein Lesegerät genutzt werden, das bis zu 34,90 Euro kostet. Bei einer weiteren Bank ist dieses zwingend notwendig und kostet einmalig 32 Euro. Fünf Institute bieten zusätzlich andere Verfahren an, etwa die Übermittlung der TAN per E-Mail.

Egal, welches Verfahren: Kreditkarten-Nutzer müssen selbst aktiv werden und sich bei ihrer Bank online anmelden. Dafür fordern sie nach Angaben der «Finanztest» einen Identificationscode an, der per Überweisung, Umsatzanzeige oder Post zugestellt wird. Mit diesem Code schaltet er dann das gewählte Verfahren frei.

Stiftung Warentest hat 35 Kreditkartenherausgeber – Kreditinstitute und Kreditkartenanbieter – befragt, mit welchen TAN-Verfahren die Zahlung mit der Kreditkarte beim Onlineshopping spätestens ab dem 14. September 2019 abgesichert ist. Sieben Anbieter machten dazu keine Angaben. Zwei Institute kommen in der Liste jeweils einmal alleine und einmal mit einem Kooperationspartner vor.

Bei manchen Anbietern können Kunden Zwei-Faktor-Authentifizierung und Online-Bankgeschäfte komplett am Smartphone abwickeln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät davon jedoch ab. Das gilt zumindest solange das genutzte Smartphone über keinen Sicherheitschip verfügt, in der die Identifizierung sicher gekapselt ablaufen kann. Grundsätzlich sei es immer riskanter, wenn Kriminelle nur ein Gerät unter Kontrolle bringen müssen.

Fotocredits: Christin Klose
(dpa/tmn)

(dpa)