Zwei-Faktor-Authentifizierung – bald Pflicht im Onlinehandel

Vielen Online-Kunden ist Sicherheit ein wichtiges Anliegen. Insbesondere Sicherheit bei der Speicherung und Verarbeitung personenbezogener Daten ebenso wie auch bei Zahlungstransaktionen. Um zumindest sicherzustellen, dass niemand anderes als man selbst diese Daten weitergibt oder sie missbräuchlich nutzt, hat die europäische Union mit Teilen der Payment Service Directive 2 (PSD II) auch neue Regeln für die Authentifizierung von Nutzern definiert. Bei Kreditkartenzahlungen online ist ab 14. September 2019 die Zwei-Faktor-Authentifizierung vorgeschrieben. Wie kann das aussehen und was bedeutet das für den Onlinehandel?

Zwei-Faktor-Authentifizierung (starke Kundenauthentifizierung)

Ab dem Stichtag müssen sich Kreditkartennutzer auch online an eine neue Routine gewöhnen: Die Angabe der Kartendaten (Nummer, Verfallsdatum und 3-stelliger Sicherheitscode auf der Rückseite) genügen nicht mehr. Zukünftig muss auch eine Prüfung gegen ein weiteres Sicherheitsmerkmal erfolgen, das den Nutzer als den Besitzer der Karte identifiziert. Konkret kann das über die Kombination von zweien der drei folgenden Möglichkeiten geschehen:

• Über die persönliche Identifikationsnummer (PIN) oder ein Passwort, das eben nur dem Besitzer bekannt sein sollte. (Wissen)
• Über eine Chipkarte oder die SMS auf dem Smartphone (Besitz)
• Über den Abgleich biometrischer Daten wie den Fingerabdruck, die Stimme oder auch Gesichtserkennung. (Inhärenz)

Es geht also um eine Kombination aus Dingen, die ein Nutzer weiß, besitzt oder die ihn eben als persönliche Merkmale kenntlich machen. Wir kennen solche Verfahren vom Onlinebanking (mobile TAN), dem 3D-Secure-Verfahren bei Kreditkarten, der Registrierung und Sicherheitsabfrage beim Google-Konto oder der Kombination Apple ID + Touch ID für den Einkauf. Ausgenommen sind nur Beträge bis maximal 50 Euro.

Sicherheit kostet – Nerven

Mit dieser Regelung kommt auf Onlinehändler allerdings einiges zu. An erster Stelle stehen die zu befürchtenden Umsatzeinbußen, weil Einkäufe an der letzten Hürde, dem Checkout abgebrochen werden. Vielen Nutzern, insbesondere wenn sie mobil surfen, dürfte die zusätzliche Hürde eine zuviel sein. Da hat man schon etliche Daten eingegeben und jetzt noch einmal eine PIN? Ach nein, so wichtig ist es dann doch nicht. Gleichzeitig ist es so, dass der Nutzer den Händler seines Vertrauens aber auch auf eine Whitelist setzen kann, um sich genau diesen Schritt (diese Hürde) zu sperren. Hiervon profitieren natürlich die häufig frequentierten Shops und Marktplätze wie Amazon, Otto oder der Sportartikelausstatter meines Vertrauens. Der Gelegenheitskauf bei anderen Anbietern wird dadurch aber sicher erschwert.

Neue Technologien und mehr USP im Onlinehandel

Das wird Onlinehändler zum Handeln zwingen. Im Mobile Commerce wird man Transaktionsarten anbieten müssen, die komfortabel bleiben. Das könnte etwa die Bestätigung via Fingerabdruck oder Gesichtserkennung sein. Außerdem wird es noch wichtiger USP auszubauen und klar zu kommunizieren sowie Trust-Signale zu setzen. So lassen sich die negativen Auswirkungen auf die Nutzererfahrung wohl etwas abmildern. Und schließlich wird es noch wichtiger werden, genau die Bezahlarten anzubieten, die die Nutzer in der Zielgruppe wirklich wollen. Denn die Bereitstellung solcher Authentifizierungsservices dürfte die Gebühren der Zahlungsdiensteanbieter erhöhen.