Nicht nur für Verbraucher ein Albtraum: Kreditkarte, persönliche Daten und Bezahlinformationen gelangen in falsche Hände. Seit September 2019 sind Onlineshop Betreiber dazu aufgefordert, die Zwei-Faktor-Authentifizierung als erweiterte Sicherheitsanforderung umzusetzen. Im Rahmen der europäischen Zahlungsdiensterichtlinie („Payment Service Directive“/PSD2) soll der Zahlungsverkehr innerhalb der EU für Verbraucher sicherer werden.
In Deutschland gewährt die BaFin eine Übergangsfrist bis März 2021, um die Zwei-Faktor-Authentifizierung ins Bezahlsystem zu implementieren. Hier gibt es folgende Staffelungen:
Ganz neu sollte diese das Verfahren für Verbraucher nicht sein. Beim Onlinebanking wird die doppelte Authentifizierung schon länger eingesetzt. Und nicht nur für Zahlungssysteme ist die Zwei-Faktor-Authentifizierung Maß der Dinge.
Die Eingabe der Kreditkartennummer, Gültigkeit und Sicherheitsnummer reichen bei der Bezahlung in Onlineshops nicht mehr aus. Die Käufer müssen auf mindestens zwei Wegen nachweisen, dass sie Inhaber eines PayPal-Kontos oder der Kreditkarte sind. Wer als Webshop Betreiber diese Sicherheitsstufe noch nicht eingebaut hat, muss jetzt bis März 2021 nachbessern.
Laut Handelsverband Deutschland und einer Studie von CMSPI könnte die stärkere Kundenauthentifizierung zu einem Umsatzverlust im E-Commerce führen. Die mehrfache Authentifizierung ist zeitaufwendiger und anfänglich anschreckend für den Kunden. Auf der anderen Seite bietet der zweite Corona Lockdown, inklusive seiner Verlängerung, für den Verbraucher wenig Alternativen zum Onlinekauf. Wer bestimmte Produkte benötigt, muss diese online bestellen und bezahlen. Sinnvoll ist es viele Bezahlmöglichkeiten für die Übergangsphase anzubieten. Kauf auf Rechnung oder Lastschriftverfahren sind Alternativen, die kundenorientiertes Bezahlen ermöglichen – nicht jeder besitzt eine Kreditkarte!
Viele Onlinehändler zögerten die Anpassung zur Zwei-Faktor-Authentifizierung hinaus. Ein Grund ist, dass der gewählte Payment Service Provider selber nachbessern muss. Durch ein Update beim Zahlungsmodul kann die Zwei-Faktor-Authentifizierung schnell implementiert werden. Der Aufwand beim Onlinehändler ist verschwindend gering. Sollte das notwendige Update noch nicht ausgerollt worden sein, dann muss man ggf. über einen anderen Dienstleister nachdenken. Kniffeliger wird es bei individuell programmierten Anbindungen an Zahlungssysteme in der Website. Hier können umfangreiche Programmierarbeiten erforderlich sein, bevor alle Sicherheitslücken geschlossen sind. Grundsätzlich ist aber davon auszugehen, dass die von der EU geforderte Zwei-Faktor-Authentifizierung nicht wieder zurückgenommen wird. Daher erledigt man es besser jetzt. Denn das wird beim Kunden wahrgenommen und gehört zur Kür einer Webseitenoptimierung.
Ein weiterer Grund, warum Onlinehändler die Zwei-Faktor-Authentifizierung scheuen, wird mit der Verlängerung der Kaufprozesse begründet. KMU Onlinehändler zählen zu den beliebtesten Opfern von Hackerangriffen und sollten besonders deshalb ein gesteigertes Augenmerk auf den Schutz der Kundendaten legen. Wer außerdem zu lange wartet, riskiert das Vertrauen in der eigenen Zielgruppe.
Der gehobene Sicherheitsstandard im Onlinehandel sorgt sogar laut Mastercard für einen flüssigeren Bestellvorgang. Der EMV 3D-Secure sorgt sogar für niedrige Abbruchraten – unterhalb der bisherigen ungesicherten oder mit 3D-Secure 1 Check-Out-Prozessen.
Zur Strong Customer Authentication – SCA gehören drei Faktoren, zwei davon sind zwingend:
Damit der Check-Out-Prozess nicht unnötig verlängert wird, sollte das 3D Secure 2 Protokoll oder auch Sicherheitsprotokoll EMV 3D-Secure zügig im Onlineshop integriert werden. Das erhöht die User Experience und verbessert den SEO Service gegenüber E-Commerce Website betreibern. In diesem Zusammenhang ist die Ergänzung der Datenschutzhinweise im Onlineshop erforderlich. Die Sicherheit der Kundendaten und Customer Journey müssen in Einklang gebracht werden. Aber die erfolgreich Zwei-Faktor-Authentifizierung stellt einen Wettbewerbsvorteil für Onlineshops dar. Für den Onlinehändler bieten sich weitere Vorteile. Die Zwei-Faktor-Authentifizierung stellt den stetigen Datenaustausch zwischen Onlineshop und Payment Service Provider her. Die gemeinsam genutzten Datenpunkte werden erhöht, wodurch eine bessere Risikoanalyse und Betrugsprävention möglich ist.
Autor: F. Baer