PSD2: Zwei-Faktor-Authentifizierung bringt Online-Händler auf die sichere Seite

PSD2

Bereits im Januar 2018 ist die neue EU-Zahlungsdiensterichtlinie in Kraft getreten: PSD2 (Payment Services Directive). Die neue Richtlinie ist die Nachfolgerin der ersten PSD-Richtlinie. Dabei geht es darum, dass außer den Banken auch Drittanbieter auf Kontodaten zugreifen können. Das hat natürlich Auswirkungen.

Zwei-Faktor-Authentifizierung für sicheren Online-Zahlungsverkehr

Die Uhr tickt: Am 14. September 2019 wird die sogenannte starke Kundenauthentifizierung für den digitalen Handel ein Muss. Sie ist Teil der Regulierung durch die Europäische Bankenaufsicht. Zahlungssysteme, wie sie der Online-Handel verwendet, müssen dann (mindestens) mit einer Zwei-Faktor-Authentifizierung (2FA) abgesichert sein.

Jammern ist zwecklos. Der Verlust von Kundendaten etwa kann schon auf Grundlage der Datenschutz-Grundverordnung (DSGVO) bestraft werden, weil sogenannte statische Passwörter danach als unsicher gelten.

PSD2 für (nicht nur) mehr Datensicherheit

Die PSD2 definiert aber nicht nur die Sicherheitsstandards (wobei es einige wenige Ausnahmen gibt), sondern vereinheitlicht auch unionsweit Zahlungsabläufe und soll den Wettbewerb fördern.

Online-Betrug ist nach wie vor gang und gäbe. Technische Aufrüstung findet dabei auf beiden Seiten statt: Finanzdienstleister bzw. Online-Handel ebenso wie die finsteren Mächte im Internet liefern sich ein anhaltendes Wettrennen, sodass absolute Sicherheit nie gegeben sein wird. Auch die Zwei-Faktor-Authentifizierung ist bereits geknackt worden. Aber Sie lassen ja auch nicht die Haustür offen stehen, bloß weil Einbrecher womöglich das Schloss überlisten können.

Steigern Sie Ihren Umsatz.

Gewinnen Sie neue Kunden mit unseren Online-Marketing-Lösungen.
Mehr Infos hier:

Website erstellen lassen
Facebook Werbung für Unternehmen
Google Ads Agentur
Firma eintragen lassen

Suchmaschinenoptimierung
Video erstellen lassen
Microsoft Advertising
App erstellen lassen

Was ist die 2FA und wie funktioniert sie?

Die Zwei-Faktor-Authentifizierung (eigentlich: Zwei-Faktor-Authentisierung) ist beispielsweise aus dem Online-Banking seit Langem bekannt. Hier ist der erste Faktor eine PIN, der zweite eine TAN. Und damit das Ganze nicht genauso leicht zu knacken ist wie ein Passwort aus PIN plus TAN, müssen diese auf getrennten Kanälen übermittelt werden. Bei Passwortdiebstahl kann also mit einem Faktor allein noch kein Schaden angerichtet werden. Die erforderliche Software können Unternehmen sich von Anbietern wie ESET beistellen lassen. Einige weitere Anbieter listet das (allerdings gesponserte) Bewertungsportal Capterra auf.

Die Authentifizierungsfaktoren können prinzipiell aus ganz unterschiedlichen Bereichen kommen. Eine PIN oder ein Passwort sind Wissen des Besitzers. Hinzu kommt ein Gerät oder ähnliches (Handy, Kreditkarte). Zunehmend werden auch noch biometrische Daten wie Gesicht, Iris oder Fingerabdruck verwendet. Sind bei einer Authentifizierung mehr als zwei Faktoren gefordert, heißt die Sache Multi-Faktor-Authentifizierung.

Auch bei den Übermittlungswegen gibt es eine stattliche Bandbreite an Lösungen, z. B.:

Als Push-Verfahren bezeichnet man die Zusendung eines Codes etwa direkt an das Handy nach erfolgtem Login. Dies lässt sich mit der Forderung nach biometrischen Daten kombinieren.
Ähnlich läuft die Übermittlung eines Codes per SMS oder Flash-SMS (wird nicht gespeichert).
Soft Token ist ein Verfahren, bei dem in einer App ein One-Time Passcode generiert wird. Das funktioniert auch im Offlinebetrieb.
Hardware-Token sind Geräte wie spezielle USB-Sticks oder Kartenlesegeräte, die zusätzlich zu anderer Hardware Codes generieren bzw. übermitteln können.
QR-Code: Hier wird über das Handy – evtl. mit einer speziellen App – ein QR-Code erkannt und dies wieder umgehend zurücksignalisiert.

Kreditkartenzahlungen sollen bei Mastercard etwa ab April 2019 mit einem neuen Verfahren namens 3-D Secure 2.0 abgesichert werden, das gegenüber dem Vorläufermodell deutlich einfacher zu handhaben ist und auch den jetzt geltenden Standards entspricht. Für Online-Händler interessant: Nach Angaben von Mastercard verlagert sich das Haftungsrisiko bei Betrugsfällen auf das Kreditkartenunternehmen.

Welches System eignet sich für Ihren Shop?

Die eigene Sicherheitsarchitektur des Unternehmens sollte natürlich aus einem Guss sein. Wenn Sie sich nicht von Profis einen Online-Shop erstellen lassen, spielen dabei eine ganze Reihe von Fragen eine Rolle, z. B.:

Welche Bereiche außer Kunden- und evtl. Mitarbeiterdaten sollen gesichert werden?
Wie komplex darf die Anwendung sein bzw. wie benutzerfreundlich muss sie sein?
Ist das System in der Lage, mit dem Unternehmen mitzuwachsen (Skalierbarkeit)?

Schließlich spielen auch Installations- und Administrationsaufwand sowie natürlich die Kosten eine Rolle.

Fazit: Machen Sie das Bezahlen für Ihre Kunden sicher und einfach!

Im Mittelpunkt für einen erfolgreichen Online-Handel steht natürlich immer noch das Kundenerlebnis. Insbesondere Klein- und Mittelbetriebe, die im E-Commerce unter erheblichem Konkurrenzdruck stehen, können sich keine Kaufabbrüche wegen umständlicher Zahlungsabwicklung leisten. Zwar ist damit zu rechnen, dass die Toleranz der Verbraucher gegenüber der vielfach als neu empfundenen 2FA steigen wird, wenn sie erst einmal flächendeckend umgesetzt ist – doch auch kleine Unterschiede in der Verständlichkeit und Nutzerfreundlichkeit der eingesetzten Software werden sich beim Kaufverhalten bemerkbar machen. Vergleich und gute Beratung bei der Zwei-Faktor-Authentifizierung sollte also kein Online-Shop auf die leichte Schulter nehmen.

Newsletter abonnieren