Doppelter Schutz beim Online-Kauf
Online-Shopping ist sehr beliebt, allgemein akzeptiert und entsprechend weitverbreitet. Das liegt auch und vor allem an dem hohen Bedienkomfort, den diese Art des Einkaufens mit sich bringt: Das Stöbern, Auswählen und Bezahlen ist ungemein bequem und nimmt nur wenige Klicks in Anspruch. Damit verbunden sind aber auch gewisse Risiken und Unsicherheiten – weshalb der Gesetzgeber eine neue Regelung beschlossen hat, die am 14. September 2019 in Kraft tritt.
Die Zwei-Faktor-Authentifizierung soll mehr Sicherheit bringen
Wenn im Zirkus Akrobaten ohne Netz und doppelten Boden ihre atemberaubenden Sprünge und Saltos darbieten, dann sorgt das zwar für gesteigerten Nervenkitzel beim Publikum, kann aber auch zu schweren Verletzungen führen, wenn eine Bewegung misslingt und der Artist aus großer Höhe in die Tiefe stürzt. Ganz ähnlich verhält es sich bislang beim Online-Shopping: Klappt alles, ist die Erfahrung wunderbar, aber es fehlt die beruhigende Absicherung bei einem Griff ins Leere.
Nimm zwei aus drei
Die probate Lösung für bestehende und anerkannte Sicherheitsprobleme beim Online-Shopping ist schon länger bekannt: Sie heißt Zwei-Faktor-Authentifizierung und war bislang optional. Jetzt will der Gesetzgeber diesen Sicherheitsmechanismus verpflichtend machen; die entsprechende Vorschrift tritt am 14. September 2019 in Kraft und betrifft alle Online-Käufer, die über Bank- oder Kreditkarte bezahlen – auch wenn dabei PayPal als Mittler zum Einsatz kommt.
Zwei-Faktor-Authentifizierung bedeutet dabei, dass der Käufer sich mithilfe zweier unabhängiger Eingaben identifiziert, seinen Kauf also mit zwei Faktoren authentifiziert. Damit soll verhindert werden, dass im Falle eines Account-Diebstahls der Dieb einfach und schrankenlos Einkäufe auf die Rechnung des eigentlichen Account-Inhabers vornehmen kann. Jetzt wird an der virtuellen Kasse eine zusätzliche Information abgefragt, die nur der echte Besitzer des verwendeten Accounts kennt.
Die Faktoren, die bei der Zwei-Faktor-Authentifizierung herangezogen werden, stammen aus drei möglichen Bereichen, wobei jeweils nur zwei tatsächlich genutzt werden – im Gegensatz zu der bisher üblichen Ein-Faktor-Authentifizierung immerhin eine Steigerung um 100 Prozent:
Wissen
Dabei handelt es sich um echtes Insider-Wissen, das nur der wirkliche Account-Inhaber haben kann – zum Beispiel ein persönliches Passwort oder eine individuelle PIN-Nummer.
Besitz
Unter dem Stichwort Besitz werden Gegenstände aufgeführt, auf die normalerweise nur der echte Kontoinhaber Zugriff hat: die Karten selbst als infrage kommende Zahlungsmittel, TAN-Generatoren oder Mobiltelefone.
Inhärenz
Die aufwendigste und deshalb wohl eher selten zum Tragen kommende Authentifizierungsmethode ist die Abfrage inhärenter, also dem menschlichen Körper innewohnenden Merkmale: Neben dem klassischen Fingerabdruck können das zum Beispiel die persönliche Stimmfrequenz oder ein Scan der Iris sein. Das klingt ein bisschen nach Science-Fiction oder wenigstens James Bond, ist aber in der Praxis durchaus schon möglich, wenngleich es aufgrund des immensen technischen Aufwands noch selten zum Einsatz kommt.
Keine Regel ohne Ausnahme
Insgesamt wird der Online-Einkauf also komplizierter, was bei vielen Käufern nicht nur auf ungeteilte Begeisterung stoßen wird. Schuld daran ist übrigens nicht die deutsche Gesetzgebung, denn bei der neuen Regelung handelt es sich um eine EU-Richtlinie, die damit europaweit Geltung besitzt. Auch wenn mit der verpflichtenden Einführung der Zwei-Faktor-Authentifizierung ein möglichst engmaschiges Netz gegen Online-Betrüger geknüpft werden soll, gibt es doch ein paar kleine Lücken, die der Gesetzgeber allerdings mit Bedacht zugelassen hat, um den Online-Kauf nicht über Gebühr zu erschweren.
Kleinbeträge bleiben prüfungsfrei
Eine Ausnahme von der neuen Regel stellen Kleinbeträge bis zu einer Obergrenze von 30 Euro dar. Liegt der Onlinekauf innerhalb dieser Grenze, darf auf die Überprüfung mittels der Zwei-Faktor-Authentifizierung verzichtet werden – so wird sichergestellt, dass kleinere Käufe nach wie vor schnell und ohne unnötige Hürden vonstattengehen. Diese Ausnahme gilt allerdings nur, solange die letzten Käufe seit erfolgter Zwei-Faktor-Authentifizierung den Wert von 100 Euro nicht überschreiten. Auch bei mehr als fünf Käufen hintereinander soll wieder eine Authentifizierung erfolgen.
Käufe auf Rechnung und Lastschrift sind nicht betroffen
Eine weitere Ausnahme bilden Käufe auf Rechnung und Lastschrift. In diesem Fall ändert sich an den bislang gewohnten Abläufen ebenfalls nichts und das etablierte Prozedere kann beibehalten werden. Allerdings bieten viele Online-Händler Käufe auf Rechnung nur für Stammkunden an. Alles in allem hat kein Händler die Möglichkeit, sich der gesetzlich vorgeschriebenen Doppelprüfung für Käufe via Kreditkarte zu entziehen.
Keine Angst vor zusätzlichen Abfragen
Aus den aufgeführten Gründen sollte deshalb kein Käufer eines neuen Handlaufs oder Fensters aus Edelstahl erschrecken, wenn beim Bezahlvorgang mit Kreditkarte eine zusätzliche Abfrage erscheint. Dabei handelt es sich mitnichten um einen Betrugsversuch, vielmehr geht alles mit rechten Dingen zu. Welche Art von zusätzlichem Faktor abgefragt wird, liegt dabei nicht im Ermessen des Shop-Betreibers, sondern wird von dem zuständigen Kreditkartenanbieter festgelegt.
Auch für die Übermittlung der zusätzlichen Faktoren ist der jeweilige Kreditkartenanbieter zuständig. In den meisten Fällen geschieht das über Mobiltelefon oder über E-Mail. Grundsätzlich gilt aber die Regel: Niemals einen Link in einer E-Mail anklicken! Die Zwei-Faktor-Authentifikation findet direkt während des Bezahlvorgangs statt – TANs müssen manuell eingegeben werden. Möglicherweise ist dazu eine Registrierung für das Verfahren des zuständigen Anbieters notwendig.
Fazit
Die Bequemlichkeit wird ein wenig eingeschränkt, die Sicherheit nimmt dafür aber zu: Online-Shopping wird auch nach dem Inkrafttreten der neuen Vorschriften nicht an Beliebtheit einbüßen. Inwieweit sich die Zwei-Faktor-Authentifizierung in der Praxis bewähren wird, muss sich natürlich erst noch zeigen, aber Online-Käufer sollten sich darauf einstellen, dass der eine oder andere Einkauf in Zukunft ein paar Eingaben und Klicks mehr erfordern wird. Möglicherweise wird die Kreditkarte bald auch weniger häufig zum Einsatz kommen und stattdessen auf klassische Bezahlmethoden wie Überweisung und Lastschrift gesetzt.