Im Umbruch

Die Zwei-Faktor-Authentifizierung könnte die Zahlungs­gewohnheiten der Kunden im Internet verändern. Onlinehändler sind gut beraten, ­darauf zu reagieren, und sollten sich mit den neuen Modi vertraut machen.

Von Eva Neuthinger 10.09.2019

© Getty Images/Collin Anderson/Blend Images LLC

Doppelt abgesichert: Bis zum 14. September 2019 sollen alle Onlinehändler die Zwei-Faktor-Authentifizierung implementiert haben.

Für Einzelhändlerin Constanze Schnitter ist PayPal die erste Wahl. „Kostet zwar relativ hohe Gebühren, aber die Abwicklung gestaltet sich für uns schon sehr komfortabel“, so die Geschäftsführerin des Feinkostgeschäfts Genuss-Schule Alfter bei Bonn. Sie führt neben dem stationären Laden zwei Onlineshops und vertreibt über diese beispielsweise hochwertige Olivenöle, Gewürze, Wein und Essig. „Die meisten Kunden bezahlen per PayPal. Viele bestellen auch auf Rechnung. Erst an dritter Stelle kommen die Kreditkarten“, erklärt Schnitter.

Künftig allerdings, so prognostiziert sie, könnte es hier zu Verschiebungen kommen: „Wenn die Zwei-Faktor-Authentifizierung für den Onlinehandel obligatorisch wird, geht die Anzahl der Kreditkartenzahlungen vermutlich zurück – vielleicht mit Tendenz zu PayPal oder Rechnungskauf.“ Das nimmt sie gelassen: „Nach einer gewissen Zeit gewöhnen sich die Kunden an das neue Verfahren. Beim Onlinebanking hat ja auch keiner ein echtes Problem damit, zur eigenen Sicherheit zum Beispiel ein Passwort und eine TAN einzugeben“, meint Schnitter.

Zum Hintergrund: Im September dieses Jahres treten in der EU technische Regulierungsstandards (RTS) in Kraft. Ziel ist es, Missbrauch bei Onlinetransaktionen und Kartenzahlungen zu erschweren. Die Zahlungsdiensterichtlinie „Payment Services Directive 2“ (PSD2) regelt die Details. Die Richtlinie wurde 2018 in Deutschland umgesetzt und das Bürgerliche Gesetzbuch entsprechend geändert.

Umstellung für alle Beteiligten

Die Neuerungen betreffen konkret den Onlinehandel. Das Stichwort lautet „Starke Kundenauthentifizierung“, bekannt auch als „Zwei-Faktor-Authentifizierung“ (2FA) oder „Strong Customer Authentication“ (SCA). Diese Verfahren sollten bis zum Stichtag 14. September 2019 alle Onlinehändler implementiert haben.

Die Europäische Bankenaufsicht (EBA) hat Ende Juni allerdings ein positives Signal gesendet: Nationale Aufsichtsbehörden dürfen die Frist für die Umsetzung verlängern. „Wir gehen davon aus, dass dies in Deutschland der Fall sein wird“, kommentiert Ulrich Binnebößel, Zahlungsexperte beim Einzelhandelsverband HDE. Das entspannt die Lage. Aufgeschoben ist aber bekanntlich nicht aufgehoben. „Wir empfehlen, sich trotzdem jetzt mit dem Thema zu beschäftigen“, betont Binnebößel.

Dabei ist die SCA nicht neu. „Wenn stationär per EC-Karte bezahlt wird, sind die Vorgaben bereits erfüllt“, sagt Binnebößel. Der Kunde steckt seine Karte ein und gibt seine nur ihm bekannte PIN-Nummer ein. Zwei von drei möglichen Merkmalen sind bei elektronischen Zahlungen zu erfüllen. Die Authentifizierung erfolgt über zwei Faktoren. Diese werden durch Wissen, wie etwa Eingabe eines Passwortes oder einer PIN, durch Besitz, wie etwa einer Karte, eines Smartphones respektive einer Smartwatch, oder durch Inhärenz, wie beispielsweise einen Fingerabdruck, Gesichtserkennung sowie Iris-Scan, definiert.

Das zeigt schon das Problem. Der Zahlungsvorgang im Onlinehandel gestaltet sich für die Kunden aufwendiger. „Das neue Verfahren bedeutet für alle Beteiligten eine Umstellung. Daher könnten kurz- bis mittelfristig mehr Kunden per Lastschriftverfahren bezahlen oder aber auf Rechnung online einkaufen wollen“, meint Caroline Coelsch, Zahlungsmittelexpertin beim EHIRetail Institute in Köln.

Auswirkungen schwer abschätzbar

Das Unternehmen Bergfreunde, Spezialanbieter für Outdoorausrüstung und ausschließlich online aktiv, steht der PSD2 deshalb kritisch gegenüber. „Die Auswirkungen der Zwei-Faktor-Authentifizierung sind aktuell für uns nur schwer abschätzbar“, sagt Ronny Höhn, Geschäftsführer bei Bergfreunde.de. Bisher bestellen die meisten Kunden per Rechnung, gefolgt von Kreditkarte und PayPal. „Die Erfahrung zeigt, dass zusätzliche Schritte im Kaufprozess – selbst wenn sie der Sicherheit dienen – von einigen Verbrauchern als kompliziert wahrgenommen werden. Im schlechtesten Fall führt dies zum Abbruch des Einkaufs. Wie viele unserer Kunden nun auf alternative Zahlungsarten ausweichen und wie viele letzten Endes tatsächlich abspringen, bleibt abzuwarten“, sagt Höhn.

Rein technisch sieht er hingegen keine Schwierigkeiten: „Wir arbeiten bei der Zahlungsabwicklung vorwiegend mit externen Payment Providern zusammen. Der Aufwand, wie etwa Updates und Integration der Zahlungsmodule auf unseren Seiten, fällt im Wesentlichen bei ihnen an. Wir sind in einem engen Abstimmungsprozess“, so Höhn.

Das entspricht genau dem Rat der Experten. Die Shopanbieter müssen gewährleisen, dass beim Bezahlen dem Payment Service Provider die zur Authentifizierung notwendigen Daten geschickt werden. Kreditkartenzahlungen benötigen künftig ein Upgrade des Sicherheitsverfahrens 3 D Secure 2.0. Dabei handelt es sich um eine Fortschreibung des bisherigen 3-D-Secure-Verfahrens. HDE-Zahlungsexperte Binnebößel rät: „Einzelhändler sollten nachfragen, was von ihnen technisch gefragt ist.“

Wann die Zwei-Faktor-Authentifizierung verzichtbar ist

Die PSD2 sieht zum Bürokratieabbau und zur Vereinfachung folgende Ausnahmen von der 2FA vor:

Kleinbeträge von bis zu 30 Euro pro Kauf

Einschränkung: nur dann, falls der Karteninhaber seit der letzten Zahlung kumulativ höchstens 100 Euro ausgegeben hat und er zuvor nicht mehr als fünf aufeinanderfolgende Kartentransaktionen ohne die „Starke Kundenauthenti­fizierung“ zuvor abgewickelt hat.

Whitelist der Kunden

Verbraucher können bei ihrer Bank angeben, bei welchem Onlineshop sie auf die 2FA verzichten wollen. Das bedeutet, sie sagen ihrem Kreditinstitut, wem sie vertrauen.

Lastschrift sowie der Kauf auf Rechnung oder per Vorkasse

Diese Verfahren sind grundsätzlich nicht betroffen. Dies könnte dazu führen, dass Kunden diese Verfahren künftig bevorzugen und Einzelhändler gefordert sind, diese anzubieten.

Schlagworte: Payment, Onlinehandel, Zwei-Faktor-Authentifizierung, Sicherheit

Kommentare

Ihr Kommentar