MenüZurück
Wird geladen.

21.10.2018

19:46

Verbraucherschutz

Wegen neuer EU-Richtlinie – strengerer Identitätstest bei der Online-Bezahlung

Von: Elisabeth Atzler, Camilla Flocke

Eine EU-Zahlungsrichtlinie soll das Einkaufen im Internet sicherer machen. Doch dadurch wird es für Verbraucher vor allem noch komplizierter.

Der Kunde muss Einkäufe in einer extra App mit seinem Fingerabdruck bezahlen. fStop/Getty Images

Strenger Identitätstest

Der Kunde muss Einkäufe in einer extra App mit seinem Fingerabdruck bezahlen.

FrankfurtEin Kunde will bei einem Onlinehändler einen Fernseher kaufen. Die Kreditkartennummer, das Ablaufdatum und den Sicherheitscode der Kreditkarte hat er bereits in die entsprechenden Felder eingegeben. Kurze Zeit später summt sein Smartphone, und eine Nachricht wird angezeigt. Der Kunde muss den Kauf in einer extra App mit seinem Fingerabdruck bestätigen.

Ein derartiger Nachweis, im Fachjargon starke Authentifizierung genannt, mit zwei Sicherheitsmerkmalen – den Kreditkartenangaben und dem Fingerabdruck – kommt bislang selten bei Online-Einkäufen zum Einsatz. Doch das dürfte sich nun nach und nach ändern.

Die neue EU-Zahlungsdiensterichtlinie, kurz PSD2, verlangt eine starke Authentifizierung ab Mitte September kommenden Jahres. Sie wird zum Regelfall bei vielen Onlinezahlungen und Kontozugriffen.

Es ist das Ende der Einfachheit. Ein, zwei Klicks, und das Produkt ist bezahlt? Bald nicht mehr. „Onlineshopping wird basierend auf der jeweiligen Bezahlmethode viel komplizierter als bisher“, sagt Niklas Grisar, Experte für Zahlungsverkehr bei der Beratungsfirma Capco. „Die Verbraucher werden sich mit den Bezahlvarianten deshalb auch viel stärker beschäftigen.“

Christian Urban, Leiter der Gruppe Finanzen und Versicherungen der Verbraucherzentrale Nordrhein-Westfalen, rät, „dass sich Bankkunden mit den neuen Sicherheitsverfahren vertraut machen sollten, um die Vorteile nutzen beziehungsweise Missbrauch erkennen zu können“. Er ist der Meinung, dass „die starke Kundenauthentifizierung mehr Sicherheit im Zahlungsverkehr bringt“.

Elektronischer Zahlungsverkehr: Welche TAN-Verfahren beim Online-Banking als sicher gelten

Elektronischer Zahlungsverkehr

Welche TAN-Verfahren beim Online-Banking als sicher gelten

Wer per Onlinebanking sicher Geld überweisen will, braucht dafür eine TAN. Kommt diese per SMS, fallen häufig Kosten an. Doch es gibt Alternativen.

Mit der PSD2 will die Europäische Union einerseits den Wettbewerb rund um Bezahldienste fördern und andererseits den Verbraucherschutz verbessern. Das Bezahlen im Internet soll sicherer werden. Ein Thema dabei ist die verschärfte Identitätsprüfung. Bei der starken Kundenauthentifizierung müssen Kunden künftig in der Regel zwei von drei Faktoren aus den Kategorien Wissen, Besitz und Inhärenz vorweisen.

Zu der Kategorie Wissen gehören Dinge, die der Kunde weiß – wie eine Geheimnummer (PIN) oder ein Passwort. Besitz ist etwas, das der Kunde hat, wie ein Smartphone oder eine Kreditkarte. Unter Inhärenz werden biometrische Eigenschaften wie ein Fingerabdruck oder die Stimme verstanden.

Unklare Umsetzung

Bisher zahlen die deutschen Verbraucher fast 50 Prozent der Onlinekäufe per Rechnung und Lastschrift. Diese beiden Varianten sind nicht von den Änderungen betroffen. Wohl aber Zahlungen per Kreditkarte sowie per Onlinebezahlsystem Paypal. Grisar geht davon aus, „dass dort die Zahl der Transaktionen zumindest am Anfang signifikant zurückgeht“.

Bisher ist in mehreren Fällen unklar, wie Banken und andere Dienstleister die Anforderungen umsetzen. „Wir befassen uns derzeit mit diesem Thema und der Umsetzung für unsere Services“, teilt beispielsweise Paypal mit. Details nennt das US-Unternehmen indes nicht. Grisar rechnet damit, dass Paypal eine separate Handy-App zur Authentifizierung bereitstellen muss.

Die Kreditkartenanbieter haben reagiert. Mastercard hat ein neues Sicherheitsverfahren entwickelt. Eine Möglichkeit für die Banken, die Mastercards herausgeben: Kunden können den Einkauf in der Bezahl-App per Fingerabdruck oder Gesichtserkennung freigeben.

Stripe-Gründer John Collison: Der jüngste Selfmade-Milliardär kritisiert das Silicon Valley

Stripe-Gründer John Collison

Der jüngste Selfmade-Milliardär kritisiert das Silicon Valley

Der Co-Gründer des Bezahldienstes Stripe wünscht sich von US-Technologiekonzernen mehr Demut – und will seine Firma nicht mit Paypal vergleichen.

„Da die meisten Finanzinstitute bereits eine Identifizierung über den Fingerabdruck in ihren mobilen Bezahl-Apps integriert haben, gehen wir davon aus, dass die Umsetzung in Deutschland zügig vonstattengeht“, so Mastercard.

Der Wettbewerber Visa geht ähnlich vor. Auch er bietet Banken an, biometrische Authentifizierung per Fingerabdruck, Stimme oder Gesichtserkennung in die Bezahl-App zu integrieren.

Ernst Stahl, E-Commerce-Experte bei Ibi Research, das zur Universität Regensburg gehört, erwartet, dass der Handel reagieren wird. Er rechnet damit, dass „Onlinehändler verstärkt das elektronische Lastschriftverfahren als Option anbieten“. Und das, obwohl das Verfahren für den Handel riskanter ist. Kunden können die Lastschrift innerhalb einer gewissen Frist widerrufen.

Die neue Regelung lässt zwar Ausnahmen zu. Allerdings ist noch nicht abzusehen, inwieweit Verbraucher sie nutzen dürfen und wollen. So können Kunden eigene Positivlisten erstellen mit Händlern und anderen Zahlungsempfängern, die sie selbst für vertrauenswürdig halten. Erlaubt ein Kreditinstitut diese Variante, würden die Regeln der starken Authentifizierung dann ausnahmsweise nicht gelten.

„Letztlich muss das Risikomanagement der Bank sagen können, dass eine derartige starke Authentifizierung aber nötig ist, auch wenn der Händler durch den Zahler als vertrauenswürdig eingestuft wurde“, sagt Michael Rabe, Bereichsleiter Zahlungsverkehr und Informationstechnologie des Bundesverbandes Öffentlicher Banken Deutschlands.

Händler in Sorge

Auch Markus Escher, Partner der Anwaltskanzlei GSK Stockmann, meint: „Es ist eine offene Frage, wie die Kunden damit umgehen und wie viele Händler sie freigeben wollen. Schließlich muss auch das per starker Authentifizierung passieren.“

Zahlungsverkehr : Onlinebezahldienst Trustly startet in Deutschland

Zahlungsverkehr

Onlinebezahldienst Trustly startet in Deutschland

Der Wettbewerb um Verbraucher und Onlinehändler wird noch schärfer: Mit Trustly will ein weiterer Bezahldienst Kunden in Deutschland gewinnen.

Der Handel fürchtet Nachteile. Die bisher diskutierten Authentifizierungsprozesse seien zu komplex und nicht komfortabel, findet Ulrich Binnebößel, Geschäftsführer des Handelsverbandes. Es bestehe die Gefahr, dass Kunden den Kauf abbrächen oder doch in den Laden gingen, wenn es zu lange dauere. Seiner Ansicht nach würden von einer Positivliste die Händler profitieren, bei denen Kunden häufiger einkaufen. Kleinere Shops hätten das Nachsehen.

Womöglich trifft die neue Regelung auch das Onlineshopping per Smartphone. Als eine Bedingung gilt, dass eine Transaktion nicht durch den gleichen Kanal ausgelöst werden darf, auf dem das Sicherheitsmerkmal eingeht. Das könnte heißen: Beim Einkauf per Handy dürfte die Authentifizierung – konkret die SMS mit der Geheimnummer zur Bestätigung des Kaufs, also der zweite Faktor – eigentlich nicht auch über dasselbe Gerät laufen.

Laut Oliver Hommel, Zahlungsverkehrsexperte des Beraters Accenture, gehen einige Experten davon aus, dass es sich trotzdem um zwei verschiedene Übermittlungskanäle handelt, da für die Onlinebanking-App das Internet und für die SMS das Mobilfunknetz genutzt wird. Andere Sicherheitsexperten sähen das kritischer, da die SMS nicht über einen gesonderten gesicherten Kanal übermittelt werde.

Die Europäische Bankenaufsicht Eba ist derzeit dabei, die Probleme in einem Frage-Antwort-Prozess zu klären. Dies braucht allerdings Zeit, da sich die Eba mit den nationalen Aufsichtsbehörden im Einzelfall abstimmen muss.

André Maeder, Geschäftsführer der KaDeWe Group : „Luxusgüter werden weiter offline verkauft“

André Maeder, Geschäftsführer der KaDeWe Group

„Luxusgüter werden weiter offline verkauft“

Onlineshopping ist keinesfalls das Ende des stationären Handels. Davon ist André Maeder überzeugt und sieht im Handel noch gute Chancen für schnelle Karrieren.

„Ich gehe davon aus, dass dieser Klärungsprozess auch bis September 2019 nicht abgeschlossen sein wird, sondern ein dauerhafter Prozess bleibt“, sagt Accenture-Experte Hommel. „Denn insbesondere bei biometrischen Authentifizierungsverfahren stehen Banken und Aufsicht noch am Anfang des Erkenntnisprozesses.“

Eine Ausnahme steht derweil fest: Banken können auf die strenge Identitätsprüfung verzichten, wenn Kunden für maximal 30 Euro einkaufen oder bei mehreren Käufen 100 Euro nicht überschreiten.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×