Online-Einkäufe zu bezahlen soll ab September durch eine EU-Richtlinie sicherer und günstiger werden. Diese Regelung wird sich jedoch auf den Bezahlvorgang auswirken und ihn umständlicher machen. Ein Überblick über die neuen Vorgehensweisen bei Online-Bezahlungen.

Was bedeutet Zwei-Faktor-Authentifizierung?

Wenn ein Nutzer online einen Einkauf tätigt, soll sichergestellt sein, dass diese Person tatsächlich dazu berechtigt ist. Wenn zum Beispiel ein Hacker an Anmeldedaten eines Kunden gelangt, kann dieser über dessen Konto einkaufen. Zumindest dann, wenn nur ein Faktor erforderlich ist, um sich als Besitzer eines Kontos auszuweisen, in dem Fall die Anmeldedaten, also Nutzername und Passwort.

Die Zwei-Faktor-Authentifizierung soll genau diesen Fall verhindern, indem noch ein zweiter Faktor zur Identität des Nutzers vor Bestellung abgefragt wird. Das kann in dem Beispiel eine PIN sein, die der Kunde auf sein Handy geschickt bekommt und eingeben muss. So hätte es der Hacker wesentlich schwerer, die Kundendaten zu missbrauchen, denn er würde auch noch das Handy des Kunden benötigen, um damit Erfolg zu haben.

Zwei-Faktor-Authentifizierung bedeutet also, dass bei einer Online-Bestellung mindestens zwei von drei Faktoren vorliegen müssen, damit eine Durchführung möglich ist.

Diese Faktoren können aus etwas bestehen, das nur der rechtmäßige Nutzer besitzt (zum Beispiel ein Smartphone), nur der Nutzer weiß (zum Beispiel ein Passwort) oder nur der Nutzer selbst ist (zum Beispiel biometrische Nachweise wie ein Scan des Fingerabdrucks).

Die Änderungen

Bisher melden sich Verbraucher bei Zahlungsdiensten einfach mit Ihren Zugangsdaten an, um das Angebot zu nutzen. Durch die nun geforderte starke Kundenauthentifizierung müssen sie sich künftig durch zusätzliche Faktoren identifizieren.

Diese können neben dem Passwort oder einer PIN, den Daten der Kredit- oder Bankkarte auch Codes sein, die an das Handy gesendet werden. Dafür stehen mobile TAN über SMS (mTAN) oder Photo-TAN über Smartphone-Apps zur Verfügung. Transaktionsnummern, die per Post verschickt werden, sind künftig verboten. Dafür sind moderne Funktionen wie die Erkennung des Fingerabdrucks oder bestimmte Softwares zur Erkennung der Stimme und des Gesichts hinzugekommen. Die Richtlinie ermöglicht zudem Drittanbietern Bezahlvorgänge direkt auszulösen. Für Abbuchungen vom Konto muss also nicht mehr der Umweg über die Bank gegangen werden. Dazu wird eine neue Schnittstelle zum Konto benötigt, die Banken nach einer entsprechenden Registrierung zur Verfügung stellen.

Dieses neue Bezahlverfahren soll eine Alternative zur etablierten Bezahlung per Kreditkarte oder PayPal sein. Der neue Wettbewerb zwischen Banken, Online-Händlern und Kreditkarten-Anbietern resultiert im besten Falle in einer größeren Benutzerfreundlichkeit.

Die Änderungen im Detail

Online-Banking

Mit der starken Kundenauthentifizierung wird sichergestellt, dass keine unbefugte Person Zahlungen mit einem anderen Konto tätigt. Für diese zusätzliche Verifizierung kann ein einmaliger Sicherheitscode dienen, der beispielsweise als mTAN mittels SMS gesendet wird. Diese Überprüfung findet dann je nach Bank entweder bei jedem Zugriff oder alle drei Monate statt.

Auch bei Banking-Apps für das Smartphone reicht es nach der neuen Richtlinie nicht mehr aus, die App mit dem Passwort, dem Fingerabdruck oder der Gesichtserkennung zu entsperren. Ebenso greift die Regelung bei Finanz-Apps von Drittanbietern, über die man mehrere Konten verwalten kann.

Per Kreditkarte bezahlen

Für Online-Einkäufe mit der Kreditkarte muss man in Zukunft mehr als die Kreditkartennummer, das Ablaufdatum und die Prüfziffern angeben. Sicherheitsdienste wie „Verified by Visa“ oder „Mastercard SecureCode“ erfordern bereits jetzt bei Online-Bestellungen eine zusätzliche TAN.

Online-Shopper können die rechtmäßige Bezahlung aber auch mit Fingerabdruck oder der Gesichtserkennung bestätigen. Viele Finanzinstitute bieten in ihren Apps schon eine solche Identifizierung über biometrische Merkmale wie den Fingerabdruck an. Andere Anbieter müssten bis zum Stichtag nachrüsten. Mit diesen Maßnahmen will die EU-Kommission es Betrügern erschweren, gestohlene Kreditkarten- und Zugangsdaten zu verwenden.

Paypal, Paydirect & Co.

Manche Dienstleister bieten Verfahren an, bei denen man den Online-Einkauf ganz ohne sich einzuloggen bezahlt. Paypal verwendet „One-Touch“ oder Amazon „1-Click“. Inwiefern sie die Bestimmungen der EU-Richtlinie umsetzen, ist noch unklar.

Diese Ausnahmen könnte es geben

Einkäufe mit geringem Wert

Eine mögliche Ausnahme für den zusätzlichen Nachweis ist bei kleinen Beträgen unter 30 Euro möglich. Die starke Authentifizierung sei erst dann wieder nötig, wenn bereits fünf Einkäufe ohne sie getätigt wurden oder wenn der Gesamtbetrag bei über 100 Euro liegt.

Ausnahmelisten

Um die Notwendigkeit der ständigen starken Authentifizierung zu umgehen, könnten Käufer ihrer Bank ihre favorisieren Online-Shops mitteilen. Diese werden dann auf eine Ausnahmeliste sicherer Zahlungsempfänger – eine „Whitelist“ – gesetzt. Nach einer einmaligen Authentifizierung läuft der Zahlungsverkehr genau so bequem wir vorher ab. Die Banken sind jedoch nicht dazu verpflichtet, ihren Kunden dies anzubieten.

Eine andere Möglichkeit ist die Transaktions-Risiko-Analyse (TRA). Wenn Banken das Risiko einer Zahlung als gering ansehen, dann kann die neue Authentifizierung umgangen werden.

Kritik an den Ausnahmelisten äußert auch der Handelsverband HDE. Er warnt davor, dass es eine Konzentration auf große Shops und Plattformen wie Amazon verstärkt. Verbraucher tragen eher die Shops ein, in denen sie sowieso häufig einkaufen und würden durch die Bedingungen in Zukunft noch häufiger in diesen Shops einkaufen.