Seite wählen

PSD2: 2-Faktor-Authentifizierung ab 14.09.2019 Pflicht in Online-Shops

Betroffen von der 2-Faktor-Authentifizierung sind Sie in jedem Fall, wenn Ihr Online-Shop eine Kreditkartenzahlung anbietet. Nicht betroffen sind Online-Shops die ausschließlich den klassischen Weg der Überweisung oder Lastschrift verwenden. Mit PayPal befinden Sie sich in einem besonderen Bereich der der Überprüfung bedarf.

Ausnahmen: Whitelist, wiederholende Zahlungen, Transaktionsrisikoanalyse und Beträge unter 30 Euro

Bei Kleinbeträgen unter 30 Euro, Zahlung von Abonnements oder falls Sie als Händler vom Kunden auf eine sogenannte „Whitelist“ gesetzt werden, ist keine Zwei-Faktor-Authentisierung nötig. Eine weitere Ausnahme bildet die Transaktionsanalyse. Sie gibt dem Zahlungsdienstleister die Möglichkeit, die Notwendigkeit der 2-Faktor-Authentifizierung bis zu einem Höchstbetrag von 500 Euro zu entscheiden, indem das Risiko einer Transaktion analysiert wird. Als Händler haben Sie hierauf keinen Einfluss.

Die Umsetzung der Zwei-Faktor-Authentifizierung wird durch den jeweiligen Zahlungsdienstleister gewährleistet. Visa und Mastercard setzen z.B. als zweiten Faktor auf das biometrisches Authentifizierungsverfahren, in der Regel wird dies der Fingerabdruck auf dem Handy zur Bestätigung einer Zahlung sein.

Aber auch Sie als Shop-Betreiber haben unter Umständen einige Anpassungen in Ihrem Shop vorzunehmen, z.B. im Bereich der Zahlungsschnittstelle, in den AGB oder der Datenschutzerklärung.

Card-Not-Present-Transaktion (wie beim Online-Shop wo die Karte dem Händler nicht physisch vorliegt) die ab dem 14.September getätigt werden, die nicht den genannten Anforderungen entsprechen, müssen abgelehnt werden. Abgesehen von der abgelehnten Zahlung ist die Nichteinhaltung der Zahlungsdienstrichtlinie PSD2 abmahnfähig.

Als Online-Händler sollte man nun, knapp einen Monat vor dem Stichtag, dringend an einer konformen Umsetzung arbeiten. Wichtig ist auch die Information der eigenen Kunden, da diese in den meisten Fällen unzureichend informiert sind. Ab dem 14.09. müssen Sie in Ihrem Shop mit Kaufabbrüchen rechnen, wenn Ihre Kunden unvorbereitet auf das neue Authentifizierungsverfahren stoßen. Bereiten Sie sich auf vermehrte Anfragen vor und überdenken Sie die von Ihnen zur Verfügung gestellten Zahlungsmethoden. Hilfreich sind klassische Alternativmethoden, die nicht nur in der Übergangszeit eine wertvolle Ergänzung darstellen, sondern vielleicht auch wieder vermehrt Fans gewinnen. Viele Nutzer schätzen zwar den erhöhten Sicherheitsstandard, sind jedoch trotz allem nicht bereit biometrische Daten preis zu geben. Andere wiederum verfügen nicht über die notwendige Hardware. Arbeiten Sie an Ihrer Kundenbindung, die Whitelist ist Ihre Chance die Zwei-Faktoren-Authentifizierung zu umgehen.

Übrigens sind von der Zwei-Faktor-Authentifizierung nicht nur Online-Händler betroffen, sondern auch das Online-Banking. Sie werden zukünftig für Transaktionen im Online-Banking-Bereich ebenso eine 2-Faktor-Authentifizierung verwenden müssen. Hier ist das Vorgehen im Hinblick auf die Methode sehr unterschiedlich.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Was ist eine 2-Faktoren-Authentifizierung?

Eigentlich ist es eine Zwei-Faktor-Authentisierung (2FA), wird allerdings häufiger Zwei-Faktor-Authentifizierung genannt. Die Begrifflichkeiten Authentifizierung, Authentisierung und Autorisierung werden ohnehin, außerhalb von Sicherheits- und IT-Kreisen, durcheinander geworfen bzw. synonym genutzt. Gemeint ist dabei im digitalen Umfeld meist der Anmeldeprozess bei einem PC, Mobiltelefon oder in einem Netzwerk. Der Standard hier ist oft eine Identifikation mit nur einem Faktor, z.B. einer PIN-Nummer, einem Passwort oder einem Fingerabdruck.

Man unterscheidet diese möglichen Faktoren in folgende Gruppen:

  • Wissen (PIN, Passwort, …)
  • Besitz (Token, Smartcard, Karte, Schlüssel …)
  • Biometrie (Gesichtserkennung, Fingerabdruck, Unterschrift, …)

Was alle drei gemein haben ist die Tatsache, dass keine von Ihnen absolut sicher ist und alle Vor- wie Nachteile haben. Um die Sicherheit bei einer Verifizierung zu erhöhen, kann man eine 2-Faktor-Authentisierung verwenden. Hierbei werden für die Identifikation zwei Faktoren aus unterschiedlichen Gruppen verwendet . Dies könnten z.B. ein Passwort (Wissen) welches Sie auf und eine Eingabe auf Ihrem Handy (Besitz) – so kennt man es schon von einigen Internet-Portalen. Oder Sie geben beim Online-Shopping eine Kreditkartennummer ein (Besitz) und bestätigen Ihre Identität über den Faktor Fingerabdruck (Biometrie).

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

„Whitelist“ beim Online-Shopping – Licht und Schatten

Mit der Pflicht zur starken Kundenauthentifizierung kommen einige Hürden im Online-Shopping. Wo früher die Eingabe einer Kreditkartennummer ausreichend war, wird zukünftig zusätzlich ein Fingerabdruck gefordert. Bei modernen mobilen Endgeräten meist technisch noch leicht umzusetzen, kommt der Desktop-Shopper schon schnell an seine Grenzen, bzw. benötigt immer ein zweites Gerät in seiner Nähe, nicht selten müssen beide Faktoren in einem bestimmten Zeitrahmen bestätigt werden.

Der Zahlungsdienstleister bestimmt die Kategorie der Faktoren. Dies kann z.B. Wissen (PIN) und Inhärenz (Fingerabdruck) sein. Oder wie im Offline-Shopping Besitz (Karte) und Wissen (PIN). Überwiegend scheinen die meisten Zahlungsdienstleister auf Inhärenz also körperliche Merkmale sprich biometrische Daten zu setzen. Nicht jeder fühlt sich wohl dabei biometrische Daten im Netz zu verteilen. Daran vorbei kommt mal nur, wenn die gesetzlich geregelten Ausnahmen greifen.

Dies ist der Fall bei Abo-Zahlungen oder Kleinstbeträgen unter 30 Euro. Eine weitere Ausnahme bildet die Whitelist: Ihre Kunden können Ihren Shop auf eine sogenannte „Whitelist“ setzen, damit fallen weitere Authentifizierungsmethoden weg.

Sie als Shop-Betreiber sollten diese Chance der Whitelist rechtzeitig erkennen und die Möglichkeit nutzen in dem Sie Ihre (Stamm-) Kunden über die Whitelist informieren. Arbeiten Sie an Ihrer Kundenbindung!

Shops, die auf der Whitelist stehen, könnten unter bestimmten Voraussetzungen echte Vorteile gegenüber den Wettbewerbern haben. Habe ich es gerade besonders eilig, mein Eingabegerät nicht bei mir oder sitze ich gerade im mobilen Funkloch, so bestelle ich voraussichtlich dort, wo ich keine weiteren Hindernisse zu erwarten habe.

Leicht denkbar ist ein weiterer Zuwachs für die global Player, wie z.B. Amazon da diese sicherlich sehr schnell auf einer Whitelist aufgenommen werden.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken