Mehr Sicherheit im E-Commerce durch Multifaktor-Authentifizierung

von Kristof Maletzke, 31.07.19



Am 14. September treten neue Bestimmungen der EU-Richtlinie PSD2 in Kraft, die das Einkaufen im Internet nachhaltig verändern werden. Dabei geht es auch um die Multi-Faktor-Authentifizierung: Anstatt beim Kauf in einem Onlineshop etwa nur ein Passwort einzugeben, muss sich der Kunde häufig zusätzlich noch auf andere Weise authentifizieren – zum Beispiel per SMS.

Sicherheit im E-Commerce ist nach wie vor ein großes Thema. Viele Kunden fürchten sich vor Identitätsdiebstahl und davor, dass ihre Zahlungsdaten missbräuchlich genutzt werden. Auch für Shopbetreiber ist dieses Thema relevant, denn durch Betrüger verursachte Zahlungsausfälle sind äußerst ärgerlich. Die EU will diesem Treiben nun einen Riegel vorschieben – mit der Payment Services Directive 2, auch PSD2 genannt.

Was ist die PSD2?

Die neuen Bestimmungen der PSD2 werden am 14. September in Kraft treten. Ab dann sind Zahlungsdienstleister in der EU verpflichtet, neue Anforderungen umzusetzen. Die PSD2 hat verschiedene Aspekte, von denen für Onlinehändler vor allem die Multifaktor-Authentifizierung (MFA) relevant ist.

Was bedeutet Multifaktor-Authentifizierung?

Bislang können Kunden online oft ganz einfach mit ihrem Passwort bezahlen. Bei der Multifaktor-Authentifizierung wird von Kunden beim Einkaufen im Internet hingegen eine Kombination aus mindestens zwei unabhängigen Arten der Authentifizierung verlangt. Es kann also einen weiteren Schritt beim Zahlungsvorgang geben.

Zum Beispiel muss ein Passwort mit einem physischen Gegenstand wie einem Smartphone kombiniert werden. Um zu bezahlen gibt der Kunde dann außer seinem Passwort zusätzlich einen Code ein, der ihm per SMS geschickt wurde. So wird die Identität des Käufers verifiziert. Wenn ein Hacker das Passwort eines Kunden erbeutet, wird er allein mit diesem dann keine Bestellung ausführen können.

Die beiden Faktoren für die Authentifizierung müssen aus zwei dieser Bereiche stammen:

  • Etwas, das der Kunde weiß – wie z.B. ein Passwort, eine PIN-Nummer oder die Antwort auf eine Sicherheitsfrage („Wie hieß Ihr erstes Haustier?“)
  • Etwas, das sich im Besitz des Kunden befindet – wie z.B. eine Chipkarte oder ein bestimmtes Smartphone
  • Etwas, das dem Kunden inhärent ist – wie z.B. sein Fingerabdruck oder seine Stimme

Ob bei einem Onlinekauf die Multifaktor-Authentifizierung nötig ist, hängt von mehreren Faktoren ab. Beispielsweise ist sie nicht erforderlich, wenn der Bestellwert 30 Euro nicht überschreitet, oder wenn ein Zahlungsunternehmen das Risiko aufgrund vorliegender Daten als gering einschätzt.

Was müssen ePages-Händler wissen?

Die gute Nachricht: Sie müssen in Ihrem Shop selbst keinerlei Maßnahmen ergreifen. Verantwortlich für die Änderungen sind nämlich die Zahlungsdienstleister. Diese müssen Sorge dafür tragen, die Anforderungen bis zum Stichtag umzusetzen. Bei Zahlungsmethoden, die direkt in den ePages-Shops eingebettet sind – zum Beispiel Amazon Pay – haben wir bis zum 14. September die von Shop-Seite erforderlichen Maßnahmen ergriffen.

Als Händler sollten Sie aber auf jeden Fall die von Ihnen angebotenen Zahlungsdienstleister kontaktieren und sich bei diesen erkundigen, wie sie die Umsetzung der PSD2 geregelt haben.

Was ändert sich für die Shopkunden?

Für Ihre Kunden bedeutet die PSD2, dass dem Bestellprozess in Ihrem Shop in bestimmten Fällen eine weitere Vorsichtsmaßnahme hinzugefügt werden kann. Weil diese Regelung für jeden europäischen Onlineshop gilt, werden sich die Kunden höchstwahrscheinlich schnell daran gewöhnen.

Hinweis: Dieser Artikel enthält erste rechtliche Hinweise, erhebt aber keinen Anspruch auf Vollständigkeit und Richtigkeit. Er kann keinesfalls eine rechtliche Beratung im Einzelfall ersetzen.

Über den Autor


ist Communications Manager bei ePages.

Ähnliche Beiträge


Kommentare


Keine Kommentare vorhanden

Teilen Sie uns ihre Meinung mit


*Pflichtfeld