Doppelt hält besser: Zwei-Faktor-Authentifizierung im E-Commerce

Ab dem 14. September 2019 gilt die Zwei-Faktor-Authentifizierung für Online-Käufe

Was ist das wichtigste beim Online-Shopping? Dass derjenige, der einen Kauf tätigt, auch tatsächlich dazu berechtigt ist. Denn gelangt ein Hacker an die Anmeldedaten eines Nutzers, kann er über dessen Konto einkaufen oder sogar seine Daten entwenden und veröffentlichen! Damit Nutzer künftig besser vor solchen Angriffen geschützt sind, tritt ab dem 14. September 2019 innerhalb der Europäischen Union ein neues Gesetz in Kraft. Dieses Gesetz zur Multi-Faktor-Authentifizierung setzt neue Standards und Pflichten im digitalen Raum.

Gemäß der Zahlungsdienstleisterrichtlinie PSD II müssen Händler im Bereich des E-Commerce sicherstellen, dass nach einem ersten Faktor zur Identität eines Kunden – üblicherweise sein Nutzername und Passwort – vor Bestellung ein zweiter, unabhängiger Faktor abgefragt wird. Ist nur ein Faktor erforderlich, um sich als rechtmäßiger Besitzer eines Kontos auszuweisen, ist ein Datenmissbrauch durch Dritte wahrscheinlicher. Aber ein zweiter Authentifizierungs-Faktor erschwert es Hackern deutlich, sich Zugang zu fremden Anmeldedaten zu verschaffen. Daher sollte dieser Faktor etwas sein, das nur der rechtmäßige Nutzer weiß (z.B. eine TAN), besitzt (z.B. ein Token) oder ist (z.B. durch den Fingerabdruck).

Bisher haben Händler den Grad der Sicherheitsprüfung für eine Bezahlung selbst festgelegt. Ab September müssen Kreditkartenanbieter sowie die Zahlungsanbieter PayPal und AmazonPay ihre Verfahren gemäß der sogenannten Zwei-Faktor-Authentifizierung (abgekürzt 2FA) gestalten. Von der Zahlungsdienstleisterrichtlinie  PSD II ausgenommen sind Lastschriftverfahren, Zahlung auf Rechnung und Vorkasse. 2FA finden bereits beim Online-Banking, teilweise bei einigen Debit- oder Kreditkartenzahlungen und bei manchen Cloud- oder Mail-Anbietern Verwendung.

Systeme zur Zwei-Faktor-Authentifizierung

• TAN-/OTP-Systeme („Wissen“)

Diese Faktoren sind nur vorübergehend gültig und müssen zeit- oder ereignisbasiert neu generiert werden. Sie sind also Einmalkennwörter oder „One-Time-Passcodes“ (OTP). TANs beispielsweise werden über Hardware, Authenticator-Apps oder per SMS abgerufen. Allerdings ist es nicht empfehlenswert, für den Empfang einer TAN dasselbe Gerät zu verwenden, wie für die Nutzung des Dienstes. In dem Fall ist nämlich keine ausreichende Trennung der Faktoren gegeben.

• Kryptographische Token („Besitzen“)

Um TANs über Hardware zu erhalten, benötigt man TAN-Generatoren. Solche „Token“ speichern einen privaten kryptographischen Schlüssel. Die Authentifizierung erfolgt, indem man eine Anforderung an das Token sendet, welche dieses nur mithilfe des privaten Schlüssels korrekt beantworten kann.

• Biometrische Systeme („Sein“)

Biometrische Systeme prüfen, ob bei der Authentifizierung ein körperliches Merkmal vorhanden ist. Dieses muss bereits zuvor erfasst und als Maßnahme zur 2FA gespeichert worden sein. Merkmale können Fingerabdrücke, die Retina, die Stimme oder das eigene Gesicht sein. Beachten muss man bei der biometrischen Authentifizierung aber, dass körperliche Merkmale im Normalfall nicht „geheim“ sind! Daher ist es zum Schutz der eigenen Daten ausschlaggebend, dass ein biometrisches System mit Lebenderkennung arbeitet, damit es nicht zum Beispiel mit einem Foto ausgetrickst wird.

Was müssen Händler und Kunden beachten?

Ab September müssen innereuropäische Zahlungen, die nicht unter eine der Ausnahmeregelungen fallen, durch die Zwei-Faktor-Authentifizierung gesichert sein. Um Kundenbeschwerden zu vermeiden, sollten sich Händler also frühzeitig über das neue Verfahren für eine starke Authentifizierung informieren und sich mit ihrem Payment Service Provider in Verbindung setzen, um Maßnahmen zur 2FA in ihren Shop zu integrieren. Sie sollten sich also fragen, was ihr Zahlungsdienstleister bereits jetzt vorbereitet und ob sie diesen eventuell wechseln müssen. Als ausgewiesener Branchenkenner verfügt SinkaCom über fachliche Erfahrung im Bereich E-Commerce und kann technische Lösungen, wie zum Beispiel Payment-Systeme, konzipieren. Hinsichtlich der Ausnahmefälle, für die die Zahlungsdiensterichtlinie PSD II nicht gilt, sollten Händler zudem überlegen, ob sie alternative Zahlungsmöglichkeiten – wie Lastschriftverfahren oder Rechnungskauf – anbieten möchten und wenn ja, was sie dafür unternehmen müssen. Ebenso müssen Kunden relevante Informationen über die Zwei-Faktor-Authentifizierung erhalten.

Was ist mit Multi-Faktor- beziehungsweise Drei-Faktor-Authentifizierung gemeint?

Der Begriff „Strong Customer Authentication (SCA)”, zu Deutsch „Starke Kundenauthentifizierung“, ist ein Oberbegriff für Maßnahmen zum Schutz elektronischer Zahlungen. Die Multi- beziehungsweise Drei-Faktor Authentifizierung (3FA) gehört, so wie die 2FA, zu diesen Maßnahmen: Man nutzt sie, um die Rechtmäßigkeit einer Transaktion zu verifizieren. Bei der 3FA werden aber zwei oder mehrere voneinander unabhängige Faktoren aus den Bereichen „Wissen“, „Besitzen“ oder „Sein“ kombiniert. So entsteht eine mehrschichtige Barriere gegen digitale Angriffe. Diese macht es Unbefugten nochmal schwerer, auf ein fremdes Konto zuzugreifen, Zahlungen zu tätigen und Daten zu entwenden, als bei einer 2FA.

Weil Kunden immer häufiger mobile Geräte für das Online-Banking verwenden, haben sich psychische und logische Sorgen geändert. Aus diesem Grund ist das Interesse an der Drei-Faktor-Authentifizierung gestiegen.