Ab 14 September werde ich keinen Zugang zu meinem Konto mehr haben, wie wohl viele andere auch. Dann tritt die EU Zahlungsrichtlinie PSD2 in Kraft. Eigentlich ist daran aber nicht die Richtlinie Schuld, sondern meine Bank. Sie, wie die meisten anderen Banken in Österreich nahmen die Zahlungsdienstrichtlinie zum Anlass, das smsTAN Verfahren einzustellen, obwohl es den Erfordernissen der Zwei-Faktor-Authentifizierung nach PSD2 entspräche und problemlos weiter verwendet werden könnte.

Banken informieren Kunden unzureichend und zu kurzfristig

Am 14. September wird die PSD2 Zahlungsdienstrichtlinie in Kraft treten und damit wollten die Banken auch das smsTAN Verfahren einstellen. Das Thema wird medial erst Ende August aufgegriffen. Post von Banken dürfte kaum jemand erhalten haben, zumindest fand sich bei einer Umfrage niemand. Einige erhielten einen Hinweis in der Postbox ihres Onlineaccounts. Selbst auf telefonische Anfrage gibt es selten konkrete Auskünfte, noch nicht einmal darüber, ob der Termin 14. September halten wird, oder ob es zu einer Fristverlängerung kommen wird. Nach Auskunft dürfte es derzeit noch einige technische Probleme mit der Umstellung geben.

Damit werden Bankkund*innen mehr oder weniger überrumpelt, nach dem Motto - es wird ihnen nichts anderes übrig bleiben, als mitzuziehen. Denn die Zeit, eine alternative Bank, möglicherweise eine Internetbank im europäischen Ausland zu suchen, Konditionen zu vergleichen und dann die Bank zu wechseln, ist mehr als nur knapp. Zumal mache womöglich ab 14 September auf ihr Konto keinen Online Zugriff mehr haben werden.

Ohne Not wird das smsTAN Verfahren eingezogen

Die PSD2 Zahlungsdienstrichtlinie zielt darauf, die Sicherheit im eBanking zu erhöhen. Dazu braucht es als ersten Faktor das Login für das eBanking und als weiteren Faktor einen TAN, der gesondert verschickt wird. Genau das leistete bislang der smsTAN. Entsprechend bräuchte es für die Nutzer des smsTAN Verfahrens keine zwangsläufige Umstellung. Dennoch: in Österreich stellen mit einer Ausnahme künftig alle Banken das smsTAN Verfahren ein.

Alle Nutzer*innen sind nun genötigt, entweder eine APP auf ihren Smartphones zu installieren und das AppTAN Verfahren zu nutzen, oder sich einen CardTAN Generator zu kaufen und diesen zusammen mit der Girokarte und einem PC oder Notebook, Tablet etc. zu nutzen. Das bringt aber gar nicht so wenige in Bedrängnis.

Problem 1: Smartphones und das AppTAN Verfahren

Mein Smartphone beispielsweise nutzt aus Sicherheitsgründen und zum Schutz meiner Privatsphäre weder iOS noch Android als Betriebssystem. Auch mein Tablet nutzt ein anderes Betriebssystem. Daher kann ich das alternativ zum smsTAN angebotene AppTAN Verfahren nicht nutzen. Schließlich wäre es unwirtschaftlich, ein neues Smartphone oder ein neues Tablet zu kaufen und alle Bedenken bezüglich Schutz der Privatsphäre und Sicherheit beiseite zu wischen, nur um einiger Zahlungsvorgänge wegen.

Problem 2: Girokarte und der CardTAN Generator

Da ich bislang meine Zahlungen via eBanking und Kreditkarte abwickelte, besitze ich keine Girokarte (Bankomatkart) - wozu auch. Daher kann ich die Alternative, die Nutzung eines CardTAN Verfahrens ebenfalls nicht nutzen. Die Anschaffung einer - bei meiner Bank - kostenpflichtigen Girokarte nur wegen einiger Zahlungsvorgänge wegen, wäre ebenfalls unwirtschaftlich. Zudem müsste ich einen CardTAN Generator kaufen, eine Ausgabe, die beim smsTAN Verfahren ebenfalls nicht erforderlich wäre. 

Problem 3: Eine Desktop APP zu der es wenig bis keine Infos gibt

Wer recherchiert findet zwar verschiedentlich Hinweise auf eine Desktop APP im Rahmen des PushTAN Verfahrens. Genaues darüber, wann diese zur Verfügung stehen wird und welche technischen Voraussetzungen dafür gegeben sein müssen, finden sich weder auf den Webseiten meiner Bank noch der anderer, recherchierter  Banken. Auf Nachfrage heißt es, dass Banken, wie beispielsweise die Raiffeisen Landesbank OÖ, mit der Umstellung nach PSD2 zum Stichtag 14. September beginnen wird, aber noch keine Desktop App anbieten können. Sie sei noch in der Programmierung. Auskünfte zu den technischen Voraussetzungen konnte selbst der technische Support der Raiffeisenbank Landesbank OÖ nicht geben. (Updates dazu finden Sie unter: PushTAN Desktop) Es war bei der telefonischen Auskunft auch von einer Portallösung via Browser die Rede. Wie diese genau aussehen soll und welche Browser diese nutzen können, dazu konnten keine Informationen gegeben werden. Immerhin wurde davon Abstand genommen, mit 14. September das smsTAN Verfahren einzustellen. Es soll bis zur Einführung der Desktop Variante genutzt werden können.. Andere Banken haben den Umstellungstermin laut Nachfrage auf Mitte November verschoben. Genauere Angaben dazu waren jedoch nicht zu erhalten, auch nicht, ob bis dahin eine Desktop Variante zur Nutzung bereitstehen wird.

Problem 4: Teure Schalter Services in der Bank

Daher wird für jene, die kein gängiges Smartphone oder Tablet besitzen und keine Girokarte haben und die noch auf eine funktionierende Desktop Variante warten, wohl nichts anderes übrig bleiben, als in eine Bankfiliale zu gehen, um dort am Schalter manuell gegen hohe Gebühren ihre Bankgeschäfte zu erledigen. Auch für jeden Kontoausdruck, um die Kontobewegungen prüfen zu können, werden Kosten anfallen. Das ist letztlich nicht wirtschaftlich - und dabei ist der Weg Aufwand noch gar nicht berücksichtigt.

Problem 5: Ältere Menschen und Menschen mit Handicaps

Ältere Menschen und Menschen mit Handicaps, aber auch wenig bis nicht technisch affine Bankkund*innen werden mit der Umstellung stark gefordert, viele überfordert sein. Zum einen werden viele vor denselben Problemen (1–3) stehen. Viele andere werden bei dem gar nicht so einfachen CardTAN Verfahren scheitern, sei es, weil sie mit der Anwendung überfordert sind oder auch nur Zittern und den CardTAN Generator nicht ruhig halten können. Smartphones sind auch bei älteren Menschen vielfach in Gebrauch, ob sie allerdings in der Lage sind, die sich die nun zusätzlich erforderlich Passwörter zu merken, ohne sie sich irgendwo zu notieren, muss bezweifelt werden. Damit aber, vor allem wenn die Passwörter Merkzettel zusammen mit den Smartphone gestohlen werden, steigt das Haftungsrisiko der Nutzer. Für diesen Fall sind die Banken nicht verpflichtet, den Schaden zu übernehmen.