Die EU-Kommission hat eine Richtlinie erlassen, die eine starke Kundenauthentifizierung im Online-Handel fordert. Ab Herbst 2019 wird die Zwei-Faktor-Authentifizierung bei Verkäufen im Internet verpflichtend und es drohen erhebliche Umsatzverluste.
Ab dem 14. September 2019 wird die neue Richtlinie zur Kundenauthentifizierung und abgesicherten Kommunikation offiziell gültig, die die EU-Kommission im März 2018 verabschiedet hat. Die im Amtsblatt der EU-Kommission veröffentlichte Richtlinie umfasst nicht weniger als 38 Paragraphen. Die Richtlinie, offiziell (EU) 2015/2366 genannt, ist als Zahlungsdienstrichtlinie PSD2 bekannt. Im Englischen ist auch von Strong Customer Authentication (SCA) die Rede.
Es wird also kompliziert für Online Händler, die die Anforderungen der Richtlinie bereits in wenigen Monaten erfüllen müssen. Das Maß der Dinge wird dann die Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA). In der Regel wird dabei eine SMS mit einer PIN an das Handy des Kunden geschickt, die dieser dann auf der Website eingeben muss, um einen Kauf zu bestätigen. Es gibt aber auch noch andere Methoden, die Vorgaben zu erfüllen. So können beispielsweise biometrische Eigenschaften wie ein Fingerabdruck oder Gesichtsmerkmale zum Einsatz kommen, um einen Kauf abzuschließen.
Sinnvoll ist dies allemal, denn die zusätzliche Authentifizierungsstufe ist ein wirkungsvoller Schutz vor Betrug und Identitätsdiebstahl. Zu viele User sind zu unachtsam und gehen verantwortungslos mit eigenen Daten um: Passwörter wie „123“ sind noch immer weit verbreitet und bieten wenig Schutz. Es herrscht oft eine fahrlässige Sorglosigkeit und der Diebstahl fällt den Angreifern leicht.
Hacker schaffen es in der Regel nur, sich Zugang zu einem Authentifizierungsmerkmal zu verschaffen, aber nicht zu zwei oder mehr. Allzu sicher sollten Sie sich dennoch nicht fühlen, denn mit einigen Angriffsmethoden lässt sich auch 2FA aushebeln, wie Amnesty International warnt.
Einführung mit Bedacht
Händler sollten beim Einsatz dieser Zwei-Faktor-Authentifizierung mit Bedacht vorgehen. So verwenden besonders sicherheitsbewusste Anbieter von 2FA auch noch ein Zeitlimit, beispielsweise von 30 Sekunden. Das mag bei einer jungen Zielgruppe noch angehen, aber ältere Menschen haben in dieser Zeit nicht einmal ihr Smartphone aus der Tasche geholt, geschweige denn die SMS gelesen. Zudem ist in vielen Gegenden oder während einer Fahrt der Handyempfang nicht immer gegeben. In vielen Fällen haben Kunden auch unter ihren persönlichen Informationen im Web-Shop oft eine veraltete Mobilnummer angegeben, obwohl sie längst den Provider gewechselt haben.
Deshalb war 2FA in der Vergangenheit oft eine exzellente Methode, um Kunden zu vergraulen. Dieser Effekt wird sich ab September dann aber abschwächen, wenn allen bewusst wird, dass sie 2FA nicht umgehen können. Doch bis das der Fall ist, sollten Sie sich auf Umsatzverluste im Herbst einstellen. Es bleibt die Hoffnung, dass dieser Effekt bis zum Black Friday und dem Adventsgeschäft überwunden sein wird.
Die Erfahrung aus anderen Weltgegenden ist jedoch beunruhigend. Als 2014 eine ähnliche Regulierung in Indien durchgesetzt wurde, vermeldeten einige Unternehmen über Nacht einen Umsatzrückgang von mehr als 25 Prozent. Für die europäische Online-Wirtschaft mit ihrem Volumen von 600 Milliarden Euro würde das einen Schaden in Höhe von 150 Milliarden Euro bedeuten.
Händler in der Pflicht
Die gute Nachricht aus diesen unangenehmen Erfahrungen ist, dass 2FA mittlerweile eine ausgereifte Technologie ist. Es gibt eine Vielzahl von Anbietern mit eigenen Lösungen. Für welche Sie sich auch entscheiden, Sie werden nicht darum herumkommen, ihr Zahlungsverfahren entsprechend zu modifizieren und 2FA zu implementieren.
Für zwei Zahlungsarten in Online-Shops wird die Zwei-Faktor-Authentifizierung verpflichtend, nämlich Kreditkarte und PayPal. Der Rechnungskauf sowie das Lastschriftverfahren sind nicht betroffen.
Am besten wenden Sie sich dafür an einen kompetenten Zahlungsanbieter, der schon vielfältige Erfahrungen mit 2FA-Projekten gesammelt hat und weiß, wie sich potentielle Fallstricke umgehen lassen und das Projekt zügig zum Erfolg geführt werden kann. Wie hoch der Projektaufwand ist, hängt von den Umständen ab. Wenn nur ein Zahlungsmodul implementiert werden soll, ist dies kein großer Aufwand. Schwieriger wird es, wenn Sie hauseigene Methoden zur Zahlung verwenden.
Zusätzlich sollten Sie juristischen Rat einholen und sich durch eine Zertifizierung garantieren lassen, dass Sie die Vorgaben der EU-Richtlinie einhalten.
Ausnahmen von der Regel
In Ausnahmefällen ist es nicht nötig, eine Transaktion über 2FA abzusichern. Das gilt beispielsweise für eine Transaktion unter 30 Euro. Überschreiten mehrere Transaktionen unter 30 Euro innerhalb von 24 Stunden jedoch 100 Euro, greift die Verpflichtung aber wieder.
Wiederkehrende Transaktionen und Abonnements mit einem festen Betrag sind ab der zweiten Transaktion ebenfalls ausgenommen. Ändert sich der Betrag, ist wieder eine Zwei-Faktor-Authentifizierung notwendig.
Ausnahmen gibt es auch bei Empfängern, die Kunde und Bank als vertrauenswürdig eingestuft haben („Whitelist-Händler“), Zahlungen von außereuropäischen Käufern und B2B-Transaktionen, wenn die Zahlungsmethode für B2B-Zahlungen bestimmt ist.
Paymill und Klik & Pay sorgen für Sicherheit
Auf der sicheren Seite sind Online-Händler bei Paymill und Klik & Pay. Diese europäischen Zahlungsspezialisten sind bestens auf die europäische Richtlinie vorbereitet und die Händler können gewiss sein, dass Sie einen nahtlosen Übergang machen können und dem 14. September 2019 nicht mit Zittern und Zagen entgegensehen müssen.
https://icons8.com