https://www.faz.net/-gv6-a451f

Neue Sicherheitsstandards : Online-Händlern läuft die Zeit davon

Online und offline akzeptiert: Kreditkarte mit dem Logo von American Express Bild: dpa

Online-Händler stehen unter Zeitdruck. Bis Jahresende müssen Anbieter die sicherere Zwei-Faktor-Authentifizierung ihrer Kunden einführen. Der Finanzdienstleister American Express erwartet eine eher holprige Umstellung.

          3 Min.

          Bis zum Jahreswechsel bleibt nicht mehr viel Zeit. Das gilt vor allem für den in der Corona-Krise bedeutender gewordenen Online-Handel, der bis zum 1. Januar seine Systeme für Zahlungen mit Kredit- oder Girokarten auf die starke, über zwei Faktoren laufende Kundenauthentifizierung umstellen muss. Die strengeren Sicherheitsanforderungen gibt die EU-Zahlungsrichtlinie PSD2 vor, die schon im Januar 2018 eingeführt worden ist. Die starke Kundenauthentifizierung hätte in Deutschland schon im September 2019 eingeführt werden sollen, diese Frist wurde aber bis Ende dieses Jahres verlängert.

          Markus Frühauf
          Redakteur in der Wirtschaft.

          Aber noch immer bestehe im Handel ein großer Umstellungsbedarf, sagt Sonja Scott, die das Deutschland-Geschäft des amerikanischen Kreditkartenherausgebers und Finanzdienstleisters American Express leitet, im Gespräch mit FAZ.NET. „Die Umstellung zum Jahreswechsel wird nach meiner Einschätzung sehr holprig verlaufen“, befürchtet sie. Es seien Transaktionsablehnungen zu erwarten. Ob die Händler dann in der Lage seien, den Kunden über den Grund des Abbruchs zu informieren und alternative Bezahlungsmöglichkeiten anzubieten, bezweifelt Scott.

          Die deutsche Finanzaufsicht Bafin wird ihrer Ansicht nach nicht noch einmal die Einführung des neuen Verfahrens verschieben. „Ich würde aber eine sechsmonatige Übergangsphase, so wie sie Frankreich beschlossen hat, begrüßen“, sagt Scott und verweist auf die Corona-Krise, die dem Handel andere Probleme bereitet als die Umsetzung der starken Kundenauthentifizierung. Viele Händler hätten deshalb derzeit keine Ressourcen für die notwendigen technischen Implementierungen, mit denen Transaktionsablehnungen nach dem 31. Dezember 2020 vermieden werden könnten. „Wir sprechen hier insbesondere von den Händlern aus dem Bereich Reisen und E-Commerce.“

          Die starke Kundenauthentifizierung wird auch Zwei-Faktor-Authentifizierung genannt, weil die Kunden ihre Online-Zahlungen nach der Passworteingabe noch ein weiteres Mal bestätigen müssen. Das kann eine Tan-Nummer sein oder der Fingerabdruck beziehungsweise die Gesichtserkennung am Smartphone. Auch der Kartenanbieter Mastercard hat sich in der Fachzeitschrift „Der Handel“ für eine sechsmonatige Übergangsphase ausgesprochen. Der Einzelhandel verlangt dies auch.

          Nach einer Studie des Forschungsinstituts EHI laufen 10,5 Prozent der Umsätze im deutschen Online-Handel über Kreditkarten. Fast ein Drittel wird über Rechnung bezahlt, ein Fünftel über Paypal und 18 Prozent über Lastschrift. Die Zahlungsalternativen per Rechnung oder Lastschrift sind nicht von der technischen Umstellung auf die starke Kundenauthentifizierung betroffen. Und nicht alle Händler von American Express sind bezüglich der neuen Sicherheitsanforderungen untätig geblieben: „Von unseren Kunden in Europa sind 63 Prozent der Online-Händler in der Lage, die neuen Vorgaben technisch zu bewältigen. In Deutschland sind es sogar 68 Prozent“, berichtet Scott.

          Kunden können Händler einstufen

          Zudem gibt es ihren Angaben zufolge Ausnahmemöglichkeiten, mit denen Kartenzahlungen im Internet ohne Zwei-Faktor-Authentifizierung weiterhin möglich sein werden. Dazu zählt sie die Einstufung der Händler als vertrauenswürdig durch den Kunden. Auf diese sogenannte Whitelist weist American Express ihre deutschen Kunden seit längerem hin, wenn sie im Internet Zahlungen begleichen. „Das wird sehr gut angenommen“, sagt Scott. Eine weitere Möglichkeit seien geringe Betrugsquoten der Kartengesellschaften. Hier habe American Express mit seinen bonitätsstarken Kunden gute Möglichkeiten, ist Scott überzeugt.

          Wissen war nie wertvoller

          Lesen Sie jetzt F+ 30 Tage kostenlos und erhalten Sie Zugriff auf alle Artikel auf FAZ.NET.

          JETZT F+ LESEN

          Stuft American Express die Transaktion als risikoarm ein und wird das Betrugsniveau unter bestimmten Schwellenwerten gehalten, kann auf die Zwei-Faktor-Authentifizierung verzichtet werden. American Express geht derzeit von einem Schwellenwert von 250 Euro ab 1. Januar 2020 aus. Dies kann sich allerdings noch ändern (Stufen 500, 250, 100) und ist abhängig von dem Verhältnis der Umsätze zu den Betrugsfällen. Darüber hinaus wird keine starke Kundenauthentifizierung bei geringen Beträgen von bis zu 30 Euro verlangt.

          Da American Express auch noch Dienstleistungen im Reisegeschäft anbietet, bereitet die Umstellung in diesem Bereich Scott Sorgen. „Die starke Kundenauthentifizierung wird große Auswirkungen auf das Geschäft mit Reisebuchungen haben“, sagt sie. In dieser Branche tätigt ihren Worten zufolge häufig eine Reiseagentur die Buchungen für den Karteninhaber, die sich auf verschiedene Anbieter für Flug, Hotel und Mietwagen verteilen. Bei diesen indirekten Buchungen ist der Karteninhaber bislang nicht zwingend persönlich anwesend. „Doch das wird bei einer starken Authentifizierung nicht mehr möglich sein, weil sich diese nur im unmittelbaren Kontakt mit dem Karteninhaber umsetzen lässt“, erwartet Scott.

          Weitere Themen

          Topmeldungen

          Microsoft hat gerade die größte Übernahme in seiner bisherigen Geschichte eingeleitet.

          Activision-Zukauf : Microsofts neue Gigantomanie

          Der Softwarekonzern wagt seinen mit Abstand größten Zukauf. Das dürfte ihm erschweren, in der Debatte um die Macht von „Big Tech“ unter dem Radar zu bleiben – und hat mit dem Metaversum zu tun.
          Ex-Präsident Trump darf Dokumente zum Sturm auf das Kapitol am 6.1.2021 nicht zurückhalten.

          Sturm aufs Kapitol : Supreme Court erteilt Trump eine Abfuhr

          Das Oberste Gericht befand, dass der ehemalige Präsident die Herausgabe von Dokumenten an den Ausschuss zur Aufarbeitung der Erstürmung des Kapitols nicht verweigern kann. Trump wehrt sich mit aller Macht dagegen, die Papiere zu übergeben.