06. September 2019

Das müssen Sie als Online-Händler über die Zwei-Faktor-Authentifizierung wissen

Veröffentlicht von

Ab 14. September 2019 gilt die Zwei-Faktor-Authentifizierung für Online-Käufe. Das bedeutet für viele Online-Händler eine Umstellung im Bereich der Zahlungsanbieter. In diesem Artikel erfahren Sie, was die Neuerung genau bedeutet und wie Sie sich als Online-Händler darauf vorbereiten können.

Was bedeutet Zwei-Faktor-Authentifizierung?

Wenn ein Nutzer online einen Einkauf tätigt, soll sichergestellt sein, dass diese Person tatsächlich dazu berechtigt ist. Wenn zum Beispiel ein Hacker an Anmeldedaten eines Kunden gelangt, kann er über dessen Konto fröhlich einkaufen. Zumindest dann, wenn nur ein Faktor erforderlich ist, um sich als Besitzer eines Kontos auszuweisen, in dem Fall die Anmeldedaten, also Nutzername und Passwort.

Die Zwei-Faktor-Authentifizierung soll genau diesen Fall verhindern, indem noch ein zweiter Faktor zur Identität des Nutzers vor Bestellung abgefragt wird. Das kann in dem Beispiel eine PIN sein, die der Kunde auf sein Handy geschickt bekommt und eingeben muss. So hätte es der Hacker wesentlich schwerer, die Kundendaten zu missbrauchen, denn er würde auch noch das Handy des Kunden benötigen, um damit Erfolg zu haben.

Zwei-Faktor-Authentifizierung bedeutet also, dass bei einer Online-Bestellung mindestens zwei von drei Faktoren vorliegen müssen, damit eine Durchführung möglich ist.

Diese Faktoren können aus etwas bestehen, das nur der rechtmäßige Nutzer besitzt (zum Beispiel ein Smartphone), nur der Nutzer weiß (zum Beispiel ein Passwort) oder nur der Nutzer selbst ist (zum Beispiel biometrische Nachweise wie ein Scan des Fingerabdrucks).

Was ist neu an der Zwei-Faktor-Authentifizierung?

Das Verfahren an sich ist nicht neu und wird beispielsweise im Online-Banking schon lange eingesetzt. Neu ist jedoch, dass gemäß der EU-Zahlungsdiensterichtlinie PSD II ab 14. September die Zwei-Faktor-Authentifizierung für Online-Shops verpflichtend gilt. Bislang können Händler selber den Grad der Sicherheitsprüfung für eine Bezahlung festlegen.

Ziel der verpflichtenden Zwei-Faktor-Authentifizierung ist, europäische Verbraucher vor Online-Betrug zu schützen. Dieser verursacht heute schon Schäden in Milliardenhöhe und wird Prognosen zufolge parallel zum zunehmenden Online-Handel weiter steigen.

Wie überblicke ich das Begriffs-Wirrwarr?

Es gibt verschiedene Begriffe für die Zwei-Faktor-Authentifizierung, zum Beispiel „Zwei-Faktor-Authentisierung“, abgekürzt „2FA“, oder „doppelte Kundenauthentifizierung“. Sie bedeuten alle dasselbe.

Außerdem gibt es den Begriff „Strong Customer Authentication (SCA)“, zu Deutsch „Starke Kundenauthentifizierung“, der praktisch als Oberbegriff für Maßnahmen zum Schutz elektronischer Zahlungen dient.

Was bedeutet die Zwei-Faktor-Authentifizierung für mich als Online-Händler?

Für zwei Zahlungsarten in Online-Shops wird die Zwei-Faktor-Authentifizierung notwendig werden, nämlich Kreditkarte und PayPal. Der Rechnungskauf sowie das Lastschriftverfahren sind nicht betroffen.

In erster Linie sind also zunächst die betroffenen Zahlungsanbieter am Zug, Ihre Verfahren gemäß der Zwei-Faktor-Authentifizierung zu gestalten. Im für Händler günstigsten Fall wird dann über ein Update des Zahlungsmoduls innerhalb des Shops alles erledigt sein.

Bei selbst programmierten Anbindungen an Zahlungssysteme steht möglicherweise mehr Aufwand für Online-Händler an.

Aktuell lässt sich noch nicht sicher sagen, welche Lösungen bis wann von welchem Zahlungsdienstleister angeboten werden und welche Änderungen im Shop diese nach sich ziehen werden. Es handelt sich also um Prognosen.

Drei Punkte sollten Sie als Online-Händler bereits jetzt im Blick behalten:

  • Was bereitet mein Zahlungsdienstleister vor?
  • Muss ich eventuell meine Programmierung anpassen oder den Dienstleister wechseln?
  • Biete ich alternative Zahlungsarten ohne Zwei-Faktor-Authentifizierung wie Rechnung oder Lastschrift an und wenn ja, was muss ich dafür unternehmen?

Gibt es Ausnahmen von der neuen Regelung?

Es gibt Ausnahmen von der Zwei-Faktor-Authentifizierung, zum Beispiel Kleinbeträge oder von Nutzern selbst im Online-Banking angelegte Whitelists mit vertrauenswürdigen Empfängern von Zahlungen.

Allen Ausnahmen ist jedoch gemein, dass sie an viele Bedingungen geknüpft sind. Auch hier empfiehlt es sich, als Händler genau zu schauen, welche dieser Ausnahmen zutreffen und mit dem jeweiligen Zahlungsanbieter nutzbar sind.

Wie sieht es bei Ihnen aus?

Wie sehen Sie als Online-Händler dem 14. September entgegen, wenn die Zwei-Faktor-Authentifizierung verpflichtend wird? Sind Sie gelassen oder befürchten Sie, dass Aufwand auf Sie zukommt? Glauben sie, dass die Änderungen Ihrem Geschäft eher nutzen oder schaden?

Teilen Sie uns Ihre Meinung gerne unten in der Kommentarspalte mit!

Diesen Post teilen:

Kommentare zum Beitrag

Ursula Roer (15. April 2019 - 14:05):

Ich befürchte, das wieder ein erheblicher Mehraufwand
für die Onlinebetreiber dazu kommt.

Franziska Weisser (24. April 2019 - 10:05):

Ich vermute auch einen Mehraufwand und Anpassungen auf Seiten der Shops.

Theis Klussmeier (3. May 2019 - 09:46):

Interessant wäre es zu erfahren wieviel Aufwand entsteht durch die Menge an verschiedenen Zahlungsarten die ein Händler anbietet. Bei einer Zahlung per PayPal dürfte dieser Prozess ja dort abgewickelt werden. Wie sieht es bei Bankeinzug aus – wie soll dort eine Zwei-Faktor-Authentifizierung aussehen?

Johannes Lemm (6. May 2019 - 11:52):

Hallo Herr Klussmeier,

für das Lastschriftverfahren wird die Zwei-Faktor-Authentifizierung nicht gelten.

Christian Schau (6. May 2019 - 12:24):

Was saugen sich die Brüsseler denn noch alles aus den Fingern? Mittlerweile beträgt meine Arbeit über 50% für schwachsinnige Regeln wie DSVGO, jetzt dieses, wichtig: Vermeidung von Abmahnungen usw. Eigentlich sollte ich mich um meine Kunden kümmern. Macht keinen Spass mehr.

Martha Lindlbauer (9. September 2019 - 15:05):

Für zwei Zahlungsarten in Online-Shops wird die Zwei-Faktor-Authentifizierung notwendig werden, nämlich Kreditkarte und PayPal

Meine Frage dazu – wie sieht es mit Sofort-Überweisung aus (Klarna)
Da gibt es unterschiedliche Aussagen

Johannes Lemm (10. September 2019 - 08:53):

Hallo Frau Lindlbauer,

für Verbraucherinnen und Verbraucher wird bei Klarna die Zwei-Faktor-Authentifizierung gelten, das verkündet der Zahlungsanbieter bereits auf seiner Seite. Ob dies Auswirkungen auf Ihren Online-Shop hat, kann ich leider nicht sagen, ich vermute jedoch, dass in erster Linie die Nutzerinnen und Nutzer von Klarna die Änderungen bemerken werden.

Sobald Zahlungsdiensteanbieter wie PayPal, Amazon Pay, Apple Pay, Google Pay, Klarna, Paydirekt u.ä. eingesetzt werden, kommt es immer auf die jeweils tatsächlich verwendete Zahlart an. Greifen die Dienste auf die Kreditkarte zu, ist eine „starke Kundenauthentifizierung“ erforderlich. Erfolgt die Abwicklung über Lastschrift, Vorkasse oder Rechnung, ist eine „starke Kundenauthentifizierung“ hingen entbehrlich.

Manuel Schaefer (9. September 2019 - 19:00):

Für die 2 Faktor Authentifizierung ist der Kunde selber verantwortlich.

Bei Kreditkarte muss er Beispielsweise eine App seiner Bank herunterladen, sich bei seiner *Bank einen Freischaltcode für die App holen und dann bei Bezahlvorgängen entweder mit einem eigenen Pin oder Biometrisch den Geldtransfer bestätigen.

Die 2 Faktor Authentifizierung bietet ja auch Sicherheit für den Kunden.
Sollte man dem dann eigentlich gut “verkaufen” können.

MfG

P.S. *habe ist auch erst vorgestern gemacht… 😉

Lutz (20. September 2019 - 13:54):

Wie soll ich den bitte als Shopbetreiber bei Paypal für den Kunden eine Zweifaktor Authentifizierung einrichten? Da wird doch eh nix auf meiner Webseite gemacht, sondern direkt bei Paypal und das muss der Kunde doch selber einrichten. Wird langsam echt Zeit aus der EU zu flüchten. Wie schon jemand hier schrieb es macht einfach keinen Spaß mehr. Wir sind quasi gezwungen Paypal anzubieten, treten dafür noch Gebühren ab, und sollen uns dann auch noch selber um die Sicherheit des Kunden kümmern. Gehts noch?

Kommentar schreiben

    

* Pflichtfelder