Mehr Sicherheit im E-Commerce durch Multifaktor-Authentifizierung

von Kristof Maletzke, 31.07.19



Am 14. September sollen neue Bestimmungen der EU-Richtlinie PSD2 in Kraft treten, die das Einkaufen im Internet nachhaltig verändern werden. Dabei geht es auch um die Multi-Faktor-Authentifizierung: Anstatt beim Kauf in einem Onlineshop etwa nur ein Passwort einzugeben, muss sich der Kunde häufig zusätzlich noch auf andere Weise authentifizieren – zum Beispiel per SMS.

Sicherheit im E-Commerce ist nach wie vor ein großes Thema. Viele Kunden fürchten sich vor Identitätsdiebstahl und davor, dass ihre Zahlungsdaten missbräuchlich genutzt werden. Auch für Shopbetreiber ist dieses Thema relevant, denn durch Betrüger verursachte Zahlungsausfälle sind äußerst ärgerlich. Die EU will diesem Treiben nun einen Riegel vorschieben – mit der Payment Services Directive 2, auch PSD2 genannt. Zahlungsdienstleister in der EU werden dadurch verpflichtet, neue Anforderungen umzusetzen. Die PSD2 hat verschiedene Aspekte, von denen für Onlinehändler vor allem die Multifaktor-Authentifizierung (MFA) relevant ist.

Wann treten die neuen Bestimmungen in Kraft?

Der Termin für das Inkrafttreten der Regelungen ist der 14. September 2019. Wie nun bekannt wurde, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) einen Aufschub gewährt. Die BaFin schreibt in ihrer Pressemitteilung:

Zahlungsdienstleister mit Sitz in Deutschland dürfen Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird dies zunächst nicht beanstanden. Sie will damit Störungen bei Internet-Zahlungen verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der Zweiten Zahlungsdiensterichtlinie […] ermöglichen.

Bei neuen Informationen zu diesem Thema werden wir diesen Artikel aktualisieren.

Was bedeutet Multifaktor-Authentifizierung?

Bislang können Kunden online oft ganz einfach mit ihrem Passwort bezahlen. Bei der Multifaktor-Authentifizierung wird von Kunden beim Einkaufen im Internet hingegen eine Kombination aus mindestens zwei unabhängigen Arten der Authentifizierung verlangt. Es kann also einen weiteren Schritt beim Zahlungsvorgang geben.

Zum Beispiel muss ein Passwort mit einem physischen Gegenstand wie einem Smartphone kombiniert werden. Um zu bezahlen gibt der Kunde dann außer seinem Passwort zusätzlich einen Code ein, der ihm per SMS geschickt wurde. So wird die Identität des Käufers verifiziert. Wenn ein Hacker das Passwort eines Kunden erbeutet, wird er allein mit diesem dann keine Bestellung ausführen können.

Die beiden Faktoren für die Authentifizierung müssen aus zwei dieser Bereiche stammen:

  • Etwas, das der Kunde weiß – wie z.B. ein Passwort, eine PIN-Nummer oder die Antwort auf eine Sicherheitsfrage („Wie hieß Ihr erstes Haustier?“)
  • Etwas, das sich im Besitz des Kunden befindet – wie z.B. eine Chipkarte oder ein bestimmtes Smartphone
  • Etwas, das dem Kunden inhärent ist – wie z.B. sein Fingerabdruck oder seine Stimme

Ob bei einem Onlinekauf die Multifaktor-Authentifizierung nötig ist, hängt von mehreren Faktoren ab. Beispielsweise ist sie nicht erforderlich, wenn der Bestellwert 30 Euro nicht überschreitet, oder wenn ein Zahlungsunternehmen das Risiko aufgrund vorliegender Daten als gering einschätzt.

Was müssen ePages-Händler wissen?

Die gute Nachricht: Sie müssen in Ihrem Shop selbst keinerlei Maßnahmen ergreifen. Verantwortlich für die Änderungen sind nämlich die Zahlungsdienstleister. Diese müssen Sorge dafür tragen, die Anforderungen bis zum Stichtag umzusetzen. Bei Zahlungsmethoden, die direkt in den ePages-Shops eingebettet sind – zum Beispiel Amazon Pay – haben wir bis zum Stichtag die von Shop-Seite erforderlichen Maßnahmen ergriffen.

Als Händler sollten Sie aber auf jeden Fall die von Ihnen angebotenen Zahlungsdienstleister kontaktieren und sich bei diesen erkundigen, wie sie die Umsetzung der PSD2 geregelt haben.

Was ändert sich für die Shopkunden?

Für Ihre Kunden bedeutet die PSD2, dass dem Bestellprozess in Ihrem Shop in bestimmten Fällen eine weitere Vorsichtsmaßnahme hinzugefügt werden kann. Weil diese Regelung für jeden Onlineshop in der EU gilt, werden sich die Kunden höchstwahrscheinlich schnell daran gewöhnen.

Hinweis: Dieser Artikel enthält erste rechtliche Hinweise, erhebt aber keinen Anspruch auf Vollständigkeit und Richtigkeit. Er kann keinesfalls eine rechtliche Beratung im Einzelfall ersetzen.