10.02.2020

Online bezahlen: Zwei-Faktor-Authentifizierung seit dem 14. September 2019

Seit dem 14. September 2019 ist die Payment Services Directive 2, kurz: PSD2, europaweit in Kraft. Dabei handelt es sich um eine überarbeitete Zahlungsdiensterichtlinie, die Onlineshops dazu verpflichtet, ihr System mit einer Zwei-Faktor-Authentifizierung auszustatten. Doch was genau ist eigentlich eine Zwei-Faktor-Authentifizierung? Welche Faktoren werden zur Identifizierung verwendet und auf welche Änderungen beim Bezahlprozess müssen sich Nutzer zukünftig einstellen?

Zwei-Faktor-Authentifizierung: Was ist das überhaupt?

Die Zwei-Faktor-Authentifizierung bezeichnet den elektronischen Identitätsnachweis eines Nutzers beim Onlinekauf. Dabei muss sich der Nutzer mittels der Kombination zweier unterschiedlicher Komponenten – der sogenannten Faktoren – identifizieren. Das Besondere: Der Kauf wird erst durch die Bestätigung zweier unterschiedlicher Sicherheitsmerkmale bestätigt, welche aus folgenden Bereichen stammen müssen:

  • Wissen: Ein Sicherheitsmerkmal, das nur der Nutzer kennt (z.B. Passwort oder eine PIN).
  • Besitz: Z.B.: EC- oder Kreditkarte, Handy oder ein TAN-Generator.
  • Inhärenz: Eine unveränderliche persönliche Eigenschaft des Kunden (z.B. Fingerabdruck, Iris oder Stimme).

 

Wichtig: Beide Sicherheitsmerkmale müssen aus zwei unterschiedlichen Bereichen stammen. Eine Kombination aus PIN oder Passwort wäre also nicht zulässig, da beide Faktoren aus dem Bereich „Wissen“ stammen.

Warum ist die Zwei-Faktor-Authentifizierung seit dem 14. September 2019 Pflicht?

Die Grundlage der neuen Zwei-Faktor-Authentifizierung ist die Zahlungsdiensterichtlinie PSD2, welche seit Beginn 2018 europaweit gilt. Sie soll dem Datenmissbrauch durch Kriminelle vorbeugen, die Identität des Nutzers zweifelsfrei belegen und den elektronischen Zahlungsverkehr sicherer machen.

Durch die Kombination zweier unterschiedlicher Faktoren kompensiert jeder Faktor die Schwäche des anderen Faktors. Hat ein Hacker beispielsweise das Passwort eines Nutzers mithilfe einer Schadsoftware ermittelt, benötigt er zusätzlich einen Faktor aus den Bereichen „Besitz“ oder „Inhärenz“, um den Account des Nutzers verwenden zu können. Sofern nicht alle vom System angeforderten Faktoren vorliegen, ist ein Zugriff auf den Account nicht möglich.

Zusätzlich geben viele Compliance-Richtlinien vor, dass Unternehmen die Zwei-Faktor-Authentifizierung für bestimmte Systeme implementieren müssen. Dies gilt zum Beispiel bei der Verarbeitung von personenbezogenen Daten oder Finanzdaten. Die Einführung der Zwei-Faktor-Authentifizierung ist also ein erster Schritt in Richtung Compliance, welche zukünftig eine immer größer werdende Rolle im elektronischen Zahlungsverkehr spielen wird.

Exkurs: Der Begriff „Compliance“ bezeichnet eine unternehmensinterne Festlegung von Regeln und Kodizes (sog. Compliance-Richtlinien), die von allen Mitarbeitern eingehalten werden müssen. Auf diese Weise können sich Unternehmen besser gegen strafrechtliche Verstöße ihrer Arbeitnehmer sowie die damit verbundenen Bußgelder und Schadenersatzansprüche Dritter absichern.

Zwei-Faktor-Authentifizierung: Das ändert sich für Online-Käufer

Wer online Einkäufe tätigen möchte, der muss sich aufgrund der Zwei-Faktor-Authentifizierung auf ein paar zusätzliche Klicks einstellen. Dies betrifft vor allem die Bereiche:

  • Online-Banking
  • Kreditkartenzahlung

 

Beim Online-Banking stellt die Zwei-Faktor-Authentifizierung sicher, dass keine unbefugte Person Online-Bezahlungen mit dem Konto des rechtmäßigen Nutzers tätigt. Für die zusätzliche Verifizierung dient üblicherweise ein einmaliger Sicherheitscode, welcher als mTAN per SMS an den Nutzer gesendet wird. Diese Überprüfung findet – je nach Kreditinstitut – entweder bei jedem Zugriff oder alle drei Monate statt.

Bei einer Kreditkartenzahlung im elektronischen Zahlungsverkehr waren bisher lediglich die Eingabe der Kreditkartennummer, des Ablaufdatums sowie der Prüfziffer erforderlich. Mit der Einführung der Zwei-Faktor-Authentifizierung müssen Nutzer ihre Identität zukünftig auch mittels Fingerabdrucks oder Gesichtserkennung bestätigen. Alternativ erfolgt die Identifizierung mithilfe eines Zusatzpassworts, das über eine spezielle App auf das Smartphone des Nutzers gesendet wird.

Zwei-Faktor-Authentifizierung: Erweiterte Übergangsfrist für Online-Shops

Ursprünglich war geplant, dass sich alle Kunden beim Onlineshopping ab dem 14. September 2019 über zwei verschiedene Faktoren authentifizieren müssen. Da sich diese Frist für viele Onlineshop-Betreiber jedoch als zu kurz erwiesen hat, gewährt die Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin) allen Betreibern eine zusätzliche Übergangsfrist. Zahlungsdienstleister mit Sitz in Deutschland, die Kartenzahlung im Internet anbieten, werden bis zum 31. Dezember 2020 auch dann nicht sanktioniert, wenn ihr System über keine PSD2-konforme Kundenauthentifizierung verfügt. Achtung: Auch in anderen europäischen Ländern wurde die Übergangsfrist – zum Teil erheblich – verlängert. Aus diesem Grund kann es für Onlinekunden zu unterschiedlichen Zahlungsvoraussetzungen innerhalb der EU kommen.


Dieser Blog-Beitrag wurde von unserer Partnerkanzlei VETO Rechtsanwaltsgesellschaft mbH auf rechtliche Korrektheit überprüft.

Weitersagen

Stellen Sie Ihren persönlichen Tarif zusammen

Ich Beamter oder im öffentlichen Dienst tätig, möchte absichern und einen Tarif Selbstbeteiligung haben.

Gesamtsumme mtl.Tarif zusammenstellen