Pflicht ab September
15.07.2019, 14:11 Uhr
Zwei-Faktor-Authentifizierung: Was PayPal und Co planen
Ab 14. September gilt beim Payment im Web die Pflicht zur Zwei-Faktor-Authentifizierung. Doch nicht alle Zahlarten sind gleichermassen betroffen. Eine Übersicht, was die einzelnen Zahlungsdienstleister von Amazon Pay bis PayPal planen und was Händler tun müssen.
In weniger als drei Monaten, am 14. September 2019, ist es so weit: Die EU-Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) tritt in Kraft und mit ihr die Regelungen zur sogenannten Zwei-Faktor-Authentifizierung. Derzeit ist noch viel Unsicherheit im Markt, was genau sich damit ändert und wer welche Massnahmen ergreifen muss. Allein schon die Vielfalt der Begriffe sorgt für Verwirrung. So sprechen manche von Zwei-Faktor-Authentifizierung, andere von "Strong Customer Authentification", abgekürzt SCA, wieder andere von starker Kundenauthentifizierung.
Die Zwei-Faktor-Authentifizierung schreibt vor, dass elektronische Fernzahlungen - und damit viele heute übliche Bezahlvorgänge im Online-Handel - neben gängigen Merkmalen wie Benutzername und Passwort oder Kreditkartennummer, Ablaufdatum und Prüfziffer mit einem sogenannten zweiten Faktor gesichert werden müssen.
Zwei Faktoren aus drei Kategorien
Die Zwei-Faktor-Authententifizierung soll gewährleisten, dass derjenige, der eine Zahlung auslöst, sicher authentifiziert ist, um Betrug zu verhindern. Dafür müssen zwei von drei Elementen aus den drei Kategorien Wissen, Besitz und Inhärenz (etwas, das dem Nutzer anhaftet) in den Bezahlvorgang eingebunden sein.
Zu der Kategorie Wissen zählen Passwörter, Geheimfragen wie die nach dem Mädchennamen der Mutter sowie PIN- oder TAN-Codes. Zum Besitz zählen das Smartphone oder andere mobile Geräte wie Tablets oder Smartwatches, aber auch Smartcards. Persönliche Merkmale des Nutzers aus der Kategorie Inhärenz sind der Fingerabdruck (Touch-ID), die Gesichtserkennung (Face-ID), die Stimm- oder Iriserkennung. Um eine Zahlung nach den Vorgaben der Zwei-Faktor-Authentifizierung freigeben zu können, müssen also beispielsweise ein Passwort mit einem Fingerabdruck oder eine Einmal-TAN mit einem Smartphone gekoppelt werden.
Anbieter sind in der Pflicht, nicht die Händler
Die gute Nachricht für Online-Händler: Prinzipiell müssen sich die Zahlungsdienstleister darum kümmern, dass die Vorgaben eingehalten werden, nicht die Händler selbst. Das heisst, Anbieter wie PayPal, Amazon Pay und Kreditkartenunternehmen müssen ihre Verfahren so ändern, dass bei Bedarf die Abfrage eines zweiten Faktors möglich ist. Ausserdem sind nicht alle beim Online-Shopping gängigen Bezahlverfahren betroffen. Die schlechte Nachricht: Die Online-Händler müssen abwarten, wann und in welcher Form die Zahlungsdienstleister die Vorgaben umsetzen. Und sie müssen eventuell an einigen Stellen ihre Systeme anpassen.