E-Commerce : Künftig mehr Sicherheit beim Online-Kauf

Ab Januar 2021 müssen Kreditkartenzahlungen im E-Commerce mit der so genannten „starken Kundenauthentifizierung“ abgesichert sein. Viele Online-Händler stellen momentan noch ihre Verfahren um. Auch Verbraucher sollten Vorbereitungen treffen

Zalando war einer der ersten. Im Sommer vergangenen Jahres stellte der Online-Marktplatz ein Video zur „Starken Kundenauthentifizierung“ auf seine Internetseite. Eine Kundin hat ihre Bank-App auf ihrem Smartphone installiert. Das Geldinstitut schickt ihr eine Push-Benachrichtigung über die zusätzliche Authentifizierung der Zahlung. Die Kundin bestätigt mit ihrem Fingerabdruck.

Bis Anfang 2021 müssen alle Käufe in Online-Shops bei Kreditkartenzahlungen mit der so genannten 2-Faktor- oder starken Authentifizierung laufen. Ursprünglich sollte das schon bis Ende 2019 passiert sein. „In der aktuellen Krisensituation hatten mehr als ein Drittel der Händler andere Prioritäten, was sehr verständlich ist. Von einer weiteren Verschiebung der Deadline wurde im Sommer allerdings bereits abgesehen“, sagt Caroline Coelsch, Expertin für Zahlungssysteme beim EHI Retail Institute in Köln. Grundlage für das Verfahren sind die Neuregelungen der europäischen Payment-Services-Directive 2 – bekannt als PSD2. Deren Ziel ist es, die Sicherheit von Kartenzahlungen zu erhöhen.

Betroffen sind nur die elektronischen Bezahlverfahren, insbesondere Kreditkartenzahlungen im Online-Shop. Elektronische Lastschriften und der Kauf auf Rechnung bleiben unberührt.

Hintergrund: Bei Kreditkartenzahlung gaben Kunden im Online-Shop in der Regel ihre Kartennummer, das Ablaufdatum sowie die Prüfziffer auf der Rückseite ein. Das reicht ab dem kommenden Jahr nicht mehr aus. Das Verfahren ist dann sowohl für Einzelhändler als auch für die Verbraucher ein wenig aufwändiger.

Zwei von drei Merkmalen müssen beim Bezahlvorgang künftig vorhanden sein.

Merkmal 1: Besitz. Der Kunde muss in Besitz einer Karte, eines Computers oder eines Smartphones sein. Dies lässt sich beispielsweise durch die Eingabe einer Transaktionsnummer nachweisen, per SMS auf das Smartphone gesendet. Oder durch Nennung der Geräte-ID, wenn im Online-Shop bezahlt wird.

Merkmal 2: Wissen. Der Kunde gibt in die Maske seines Computers ein Passwort ein.

Merkmal 3: Inhärenz. Hier geht es um die Verknüpfung mit einem weiteren Identifizierungsmerkmal, beispielsweise durch einen Fingerabdruck oder einen Iris-Scan, jedenfalls eines körperlichen Kennzeichens.

Verbraucher können sich bei ihrem Kreditkartenanbieter oder direkt bei ihrer Bank informieren, welche Vorbereitungen sie selbst treffen sollten. Möglicherweise betrifft dies neue Apps oder eine Registrierung. Das wird unterschiedlich gehandhabt. Infos finden Verbraucher auf den Internetseiten. Mastercard zum Beispiel verlinkt zu den jeweiligen Banken.

Ausnahmen von der Regel

Die PSD2 sieht Ausnahmen vor, bei denen auf die Starke Authentifizierung verzichtet werden kann. Das betrifft beispielsweise Kleinbeträge von bis zu 30 Euro pro Kauf. Allerdings auch nur dann, solange der Gesamtbetrag der Zahlungen ohne starke Authentifizierung auf der Karte bis zu 150 Euro beträgt. Alternativ dürfen nicht mehr als fünf aufeinanderfolgende Karten-Transaktionen ohne die Starke Authentifizierung vorher gelaufen sein. Die Bank behält die Anzahl der Transaktionen und den Gesamtbetrag der Einkäufe im Blick.

Außerdem können Kunden bei ihrer Bank eine so genannte White List hinterlegen. Sie geben an, bei welchen Online-Shops sie auf die starke Authentifizierung verzichten wollen, weil sie diesen vertrauen. Das könnte interessant sein, wenn häufig bei einem Online-Shop eingekauft wird. Allerdings gibt es die Möglichkeit noch nicht flächendeckend, Banken arbeiten daran.

Nach Angaben des Kreditkartenanbieters Mastercard funktioniert das Verfahren so: Die Händler werden dem Kunden während des Zahlungsprozesses angezeigt. Der Kunde hat die Möglichkeit, einen oder mehrere Händler auf seine Liste der vertrauenswürdigen Zahlungsempfänger zu setzen. Nach einer einmaligen starken Authentifizierung kann er bei diesen Händlern wie gewohnt und unterbrechungsfrei einkaufen.

Die wichtigsten Vorteile des Whitelistings für den Kunden sind sieht Mastercard darin:

Nutzerfreundlichkeit: Schnellere und bequemere Zahlungen

Volle Kontrolle: Kunden können Händler jederzeit von ihrer Liste entfernen

Sicherheit: Nur der Kunde kann Händler in die Liste aufnehmen, und nur vertrauenswürdige Händler kommen dafür in Frage.

Laut einer aktuellen GfK-Studie, die im Auftrag von Mastercard durchgeführt wurde, sagen rund 42 Prozent der befragten Verbraucher, dass sie den Whitelist-Service ihrer Bank nutzen würden, weitere 25 Prozent sind noch unentschlossen.

Auch bei Abos oder wiederkehrenden Transaktionen mit einem festen Betrag kann ab der zweiten Bezahlung ohne die starke Kundenauthentifizierung gearbeitet werden. Heißt: Der Verbraucher muss nur einmal das aufwändigere Verfahren anwenden.