Zwei-Faktor-Authentifizierung wird zur Pflicht für Online-Händler
Vielen Online-Händlern steht eine Umstellung im Bereich der Zahlungsanbieter bevor. Grund dafür ist die am 14. September 2019 in Kraft tretende EU-Zahlungsdienstleisterrichtlinie PSD II, die von diesem Zeitpunkt an die Zwei-Faktor-Authentifizierung für Online-Shops zur Pflicht macht. Händler müssen sich also zeitig auf den Wechsel vorbereiten. Während sie sich bislang Art und Grad der Nutzer-Authentifizierung selbst aussuchen durften, ist die zweifache Sicherheitsprüfung im Online-Banking bereits im Einsatz.
Für Verbraucher soll die verpflichtende europaweite Richtlinie Schutz vor Online-Betrug gewährleisten. Die Schäden, die durch diesen bereits verursacht worden sind, liegen in Milliardenhöhe. Mit zunehmendem E-Commerce und immer mehr Online-Shopping-Plattformen wird dieser Schaden laut Prognosen im schlimmsten Fall steigen.
Was E-Commerce-Betreiber jetzt wissen müssen
Die Zwei-Faktor-Authentifizierung, kurz „2FA“, bezeichnet den Identitätsnachweis eines Nutzers im E-Commerce mittels der Kombination zweier verschiedener und unabhängiger Komponenten. Durch diesen zweifachen Nachweis soll sichergestellt werden, dass nur Personen, die tatsächlich dazu berechtigt sind, einen Online-Einkauf tätigen. Ist nur ein Faktor zur Authentifizierung nötig – zum Beispiel ein Nutzername und das dazugehörige Passwort – kann ein Hacker, der in den Besitz der Anmeldedaten eines Nutzers gekommen ist, mit Leichtigkeit über dessen Konto einkaufen. Genau das soll die Zwei-Faktor-Authentifizierung unterbinden. Ein notwendiger zweiter Faktor zur Feststellung der Identität erschwert dem Hacker den Missbrauch von unbefugten Daten erheblich. Solch ein Faktor kann beispielsweise eine PIN sein, die ein Nutzer auf sein Smartphone erhält und beim Zahlvorgang eingeben muss, um diesen endgültig abzuschließen. Ein Hacker müsste in dem Fall zusätzlich zu den Anmeldedaten auch an das Smartphone eines Nutzers kommen – ein Online-Betrug wäre also nicht mehr so einfach!
Des Weiteren kann ein zweiter Faktor auch aus einer Information bestehen, die nur der rechtmäßige Nutzer weiß oder bei sich trägt. Diese könnte ein einmalig generiertes Passwort sein, welches über eine App abgerufen wird, oder aber ein biometrischer Nachweis in Form eines Fingerabdrucks.
Notwendig wird die zweifache Authentifizierung aber nicht für alle Zahlungsarten. Ab dem 14. September wird sie ausschließlich für Zahlungen per Kreditkarte oder PayPal vorausgesetzt. Das heißt, dass der Rechnungskauf und die Zahlung per Lastschriftverfahren nicht betroffen sind. Entsprechend müssen alle Online-Händler, die eine Zahlung per Kreditkarte oder PayPal anbieten, ihr Zahlungs- und Authentifizierungsverfahren anpassen. Idealerweise übernimmt das der extern beauftragte Zahlungsanbieter im Zuge der EU-weiten Umstellung selbst – in dem Fall müssen Händler lediglich ein Update ihres Zahlungsmoduls durchführen. Hat ein Online-Shop-Betreiber seine Anbindung an Zahlungssysteme selbst programmiert, gestaltet sich die Umstellung für ihn deutlich aufwändiger.
Programmier-Anpassung oder Dienstleister-Wechsel?
E-Commerce-Betreiber müssen sich jetzt damit befassen, was externe Zahlungsdienstleister bezüglich der Zwei-Faktor-Authentifizierung vorbereiten. Haben Betreiber eine eigene Programmierung für Zahlungsabwicklung in ihr Shopsystem integriert, muss diese eigenständig überarbeitet werden. Beziehen Händler sie von einem Dienstleister und führt dieser nicht die gewünschten oder keine ausreichenden Veränderungen durch, wird ein Wechsel des Dienstleisters relevant. Darüber hinaus ist es durchaus sinnvoll, auch alternative Zahlungsarten (Zahlung auf Rechnung, Lastschrift) anzubieten. Kunden können sich dann aussuchen, ob sie den schnelleren Weg über die 2FA gehen oder auf die herkömmlichen Zahlungsmethoden zugreifen. In jedem Fall haben Online-Händler jetzt Handlungsbedarf und müssen bis spätestens 14. September 2019 eine individuelle Lösung für ihren Shop bereitstellen.