Neue Regeln beim Online-Banking

Künftig ist die "Zwei-Faktor-Authentifizierung" Pflicht

Im Juni 2019 erhielten Bankkunden mit einem Online-Banking Zugang, Post von ihrer Bank. Dabei ging es um ein wichtiges Thema: Neue Regeln im Zahlungsverkehr, vor allem beim Online-Banking und bei Kartenzahlungen. Die Grundlage dafür ist die Zweite europäische Zahlungsdiensterichtlinie, kurz PSD2, deren zweite Stufe am 14. September 2019 (technische Umsetzung ab 10.09.19) in Kraft tritt. Zu diesem Datum müssen Banken aufgrund gesetzlicher Vorgaben technische und vertragliche Anpassungen im Online-Banking und beim Bezahlen mit Karte vornehmen. Dabei haben die Implementierung der starken Kundenauthentifizierung im elektronischen Zahlungsverkehr und die Bereitstellung einer Schnittstelle für Drittdienstleister, spürbare Auswirkungen auf Online-Banking-Nutzer.

Online-Banking

eBanking Private & Business Edition

TAN-Eingabe beim Login zum Online-Banking

Ab 10. Dezember 2019 müssen Sie beim Login zum Online-Banking neben Ihren gewohnten Anmeldedaten (VR-NetKey/Alias und PIN) alle 90 Tage zusätzlich eine TAN eingeben.

Beispiel: Anmeldemaske in eBanking Private Edition ab 10.12.2019

Online-Banking PIN
Die Online-Banking PIN wird 8-stellig. Betrifft Neukunden bzw. Bestandskunden mit einer PIN-Änderung.

 

TAN-Abfrage bei der Umsatzanzeige

Seit 11.09.19 wird bei der Umsatzanzeige mit der Einstellung: Umsätze im Zeitraum "Alle Umsätze" eine TAN für die Abfrage angefordert.

Beispiel: TAN Abfrage bei der Umsatzanzeige in eBanking Private Edition ab 11.09.2019
Online-Banking mit Software

HBCI/FinTS (Verfahren VR-NetKey mit PIN & TAN, HBCI)
Sie nutzen das Online-Banking über eine Software wie zum Beispiel die VR-NetWorld Software? Dann wird ab September beim Abruf der Umsatzinformationen älter als 90 Kalendertage eine starke Kundenauthentifizierung abgefragt (TAN, HBCI).

Hinweis 08.08.2019: Durch die Vorbereitungen zur starken Kundenauthentifizierung kann es seit 08.08.19 bereits zu einer TAN-Anforderung bzw. TAN-Zustellung für die Umsatzabfrage in Ihrer Zahlungsverkehrssoftware kommen!

Hinweis:

Stellen Sie sicher, daß Sie immer die aktuellste Version Ihrer Zahlungsverkehrssoftware nutzen! Beispiel: Prüfung der Updateversion in der VR-NetWorld Software unter "Extras - Programmaktualisierung".  

VR-BankingApp

TAN-Eingabe beim Login in die VR-BankingApp

Auch in der VR-BankingApp müssen Sie künftig grundsätzlich alle 90 Tage zusätzlich eine TAN zum Login eingeben.

Ausnahme: Die TAN-Eingabe beim Login entfällt, wenn ...

  • ... Sie die Funktion "Kwitt" in der VR-BankingApp nutzen.
  • ... eine Gerätebindung zwischen der VR-BankingApp und Ihrem Gerät (Smartphone/Tablet) hergestellt wird. Diese Gerätebindung können Sie mit der App-Version 19.15 (seit 05.09.19) in den Einstellungen der VR-BankingApp einrichten. Zusätzlich wird Ihnen bei jedem Start der App ein Hinweis zur Einrichtung der Gerätebindung angezeigt.

    Unser Tipp: Registrieren Sie sich bei Kwitt oder aktivieren Sie die Gerätebindung – so bleibt der Login in der VR-BankingApp weiterhin ohne TAN möglich.

 

Updatehinweis zu PSD2 bei der App-Version 19.15 seit 05.09.19:

Updatehinweis

Hinweis zur Gerätebindung in der VR-BankingApp Version: 19.15

Hinweis Gerätebindung

VR-BankingApp Nutzer mit mobileTAN

Die Nutzung der VR-BankingApp auf Smartphones mit mobileTAN als TAN-Verfahren ist für die Gerätebindung, Login und die Umsatzabfrage möglich. Transaktionen können weiterhin aus Sicherheitsgründen nicht mit einer mobilenTAN abgeschlossen werden.

Unser Tipp:
Stellen Sie das mobileTAN Verfahren (wird mittelfristig abgeschaltet) auf das VR-SecureGo Verfahren um! Anleitung

Online-Shopping mit Kreditkarte

Änderung beim Online-Shopping mit Kreditkarte

Mit Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für diese beiden Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der VR-SecureCARD App. Zukünftig wird beim Online-Shopping mit Kreditkarte Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) verpflichtend.3 Über die folgenden Links können Sie sich in wenigen Schritten hierfür registrieren.

³ Als Ausnahme von der Pflicht gelten zum Beispiel als risikoarm eingestufte Kleinbetragstransaktionen sowie wiederkehrende Zahlungen mit gleicher Betragshöhe an denselben Empfänger, dies jedoch erst nach erfolgreicher Registrierung der Kreditkarte für Mastercard® Identity Check™ bzw. Verified by Visa.

Drittdienstleister

Zugriffe von dritten Zahlungsdienstleistern

Neu: Nutzung des Online-Bankings und der VR-BankingApp über Drittanbieter

Sie können das Online-Banking und die VR-BankingApp auch mittels Kontoinformationsdiensten, Zahlungsauslösediensten und von Ihnen ausgewählten sonstigen Drittanbietern nutzen. Ihre Einwilligung vorausgesetzt, dürfen diese für Sie über eine sogenannte "Kontenschnittstelle für Dritte Zahlungsdienstleister" Zahlungen auslösen oder Kontoinformationen von Zahlungsverkehrskonten abrufen, also zum Beispiel von Ihrem Girokonto oder Geschäftskonto. Da diese Drittanbieter nunmehr gesetzlich reguliert und beaufsichtigt werden, dürfen Sie Ihre Authentifizierungselemente wie zum Beispiel Online-PIN und -TAN bei einem von Ihnen ausgewählten Kontoinformationsdienst, Zahlungsauslösedienst oder einem sonstigen Drittanbieter verwenden. Mit der Zugriffsverwaltung im Online-Banking können Sie sehen, welche Drittanbieter Sie berechtigt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Sofern Sie sonstige Drittanbieter nutzen, empfehlen wir Ihnen diese sorgfältig auszuwählen.

Zugriffsverwaltung im Online-Banking: Drittanbieter steuern

Grundsätzlich dürfen dritte Zahlungsdienstleister nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. Ihre Zustimmung gilt erst als erteilt, wenn Sie die vom Drittanbieter bei Ihrer Bank angeforderten Informationen mit einer starken Kundenauthentifizierung bestätigt haben. Zudem muss der Drittanbieter bei der nationalen Aufsichtsbehörde registriert sein und sich gegenüber Ihrer VR-Bank Memmingen eG legitimieren können. Für einen weiteren Kontozugriff benötigt der Drittanbieter nach spätestens 90 Tagen erneut Ihre vorherige Zustimmung mittels starker Kundenauthentifizierung.

Mit der Zugriffsverwaltung im Online-Banking im Bereich "Service > Konten und Verträge > Zugriffsverwaltung" können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Ihnen stehen diese Daten bis 180 Tage rückwirkend zur Verfügung. Die Zugriffsverwaltung im Online-Banking ist wie folgt strukturiert:

  • Verfügbarkeitsabfragen,
  • Kontoinformationsabfragen und
  • Zahlungsauslösungen.

Tipp:
Freigegebene Drittdienstleister greifen auf die Kontodaten des Kunden zu, was sogar deren Analyse oder einen Datenabgleich ermöglichen könnte. Daher sollten sich Kunden fragen, ob sie wirklich wollen, dass der Dienstleister Zugriff auf das Konto hat. Setzen Sie sich vor Freigabe der Anwendung mit dem jeweiligen Datenschutz und deren Systemsicherheit intensiv auseinander.

Das müssen Sie tun

Die beschriebenen Änderungen werden automatisch am 14.09.2019 wirksam. Wenn eine der nachfolgenden Aussagen auf Sie zutrifft, sollten Sie tätig werden.

Sie haben kein TAN-Verfahren oder es ist gesperrt?

Kunden, die kein TAN-Verfahren haben oder deren TAN-Verfahren gesperrt sind, können sich nach dem 14. September nicht mehr in das Online-Banking einloggen.

Im Online-Banking können Sie unter dem Navigationspunkt Banking > Service > Online-Banking >TAN-Verwaltung nachsehen, welche TAN-Verfahren Sie besitzen und ob diese aktiv oder gesperrt sind.

Bitte stellen Sie sicher, dass Sie ein freigeschaltetes TAN-Verfahren besitzen!

TAN-Verfahren in der eBanking Private Edition
Beispiel: Abfrage TAN-Verfahren in der eBanking Private Edition
Nutzen Sie Ihre Kreditkarte zum Bezahlen im Internet?

Sie besitzen eine Kreditkarte und nutzen diese für Online-Einkäufe.

Ab dem 14. September können Sie Ihre Mastercard® bzw. Visa-Karte nicht mehr zum Online-Shopping verwenden, wenn Sie nicht für das Sicherheitsverfahren Mastercard® Identity Check™ bzw. Verified by Visa (zukünftig Visa Secure) registriert sind. Ausführliche Informationen und die Möglichkeit zur Registrierung erhalten Sie über den nachstehenden Link.

Sie nutzen noch das mobileTAN-Verfahren?

Das mobileTAN-Verfahren ist zwar PSD2 konform, wird aber mittelfristig abgeschaltet! Zudem ist es bereits heute nicht möglich, Transaktionen und andere TAN-pflichtige Vorgänge in der VR-BankingApp mit einer mobileTAN freizugeben. Nutzen Sie PSD2 und steigen Sie jetzt auf das moderne TAN-Verfahren VR-SecureGo um!

Verständlich erklärt: Starke Kundenauthentifizierung

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer VR-Bank Memmingen eG. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Was bedeutet "2-Faktor-Authentifizierung"?

Mit der PSD2 werden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Authentifizierung bedeutet, dass nicht nur Sie als Auftraggeber identifiziert werden, sondern dass auch die inhaltliche Richtigkeit Ihrer Willenserklärung geprüft wird. 2-Faktor-Authentifizierung bzw. starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren "ausweisen" müssen:

  • "Wissenselemente": etwas, das nur Sie wissen, wie zum Beispiel eine PIN,
  • "Besitzelemente": etwas, das nur Sie besitzen, wie zum Beispiel Ihre girocard (Debitkarte) mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird, oder
  • ein "Seinselement" ("Inhärenz"), also etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.