In weniger als drei Monaten, am 14. September 2019, ist es so weit: Die EU-Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) tritt in Kraft und mit ihr die Regelungen zur sogenannten Zwei-Faktor-Authentifizierung. Derzeit ist noch viel Unsicherheit im Markt, was genau sich damit ändert und wer welche Massnahmen ergreifen muss. Allein schon die Vielfalt der Begriffe sorgt für Verwirrung. So sprechen manche von Zwei-Faktor-Authentifizierung, andere von "Strong Customer Authentification", abgekürzt SCA, wieder andere von starker Kundenauthentifizierung.

Die Zwei-Faktor-Authentifizierung schreibt vor, dass elektronische Fernzahlungen - und damit viele heute übliche Bezahlvorgänge im Online-Handel  - neben gängigen Merkmalen wie Benutzername und Passwort oder Kreditkartennummer, Ablaufdatum und Prüfziffer mit einem sogenannten zweiten Faktor gesichert werden müssen.

Die Zwei-Faktor-Authententifizierung soll gewährleisten, dass derjenige, der eine Zahlung auslöst, sicher authentifiziert ist, um Betrug zu verhindern. Dafür müssen zwei von drei Elementen aus den drei Kategorien Wissen, Besitz und Inhärenz (etwas, das dem Nutzer anhaftet) in den Bezahlvorgang eingebunden sein. 

Zu der Kategorie Wissen zählen Passwör­ter, Geheimfragen wie die nach dem Mädchennamen der Mutter sowie PIN- oder TAN-Codes. Zum Besitz zählen das Smartphone oder andere mobile Geräte wie ­Tablets oder Smartwatches, aber auch Smartcards. Persönliche Merkmale des Nutzers aus der Kategorie Inhärenz sind der Fingerabdruck (Touch-ID), die Gesichtserkennung (Face-ID), die Stimm- oder Iris­erkennung. Um eine Zahlung nach den Vorgaben der Zwei-Faktor-Authentifizierung freigeben zu können, müssen also beispielsweise ein Passwort mit einem Fingerabdruck oder eine Einmal-TAN mit einem Smart­phone gekoppelt werden.

Die gute Nachricht für Online-Händler: Prinzipiell müssen sich die Zahlungsdienstleister darum kümmern, dass die Vorgaben eingehalten werden, nicht die Händler selbst. Das heisst, Anbieter wie PayPal, Amazon Pay und Kreditkartenunternehmen müssen ihre Verfahren so ändern, dass bei Bedarf die Abfrage eines zweiten Faktors möglich ist. Ausserdem sind nicht alle beim Online-Shopping ­gängigen Bezahlverfahren betroffen. Die schlechte Nachricht: Die Online-Händler müssen abwarten, wann und in welcher Form die Zahlungsdienstleister die Vorgaben umsetzen. Und sie müssen eventuell an einigen Stellen ihre Systeme anpassen.

Nach den Vorgaben der PSD2 müssen die Transaktionen nicht bei allen Bezahlverfahren durch einen zweiten Faktor gesichert werden, wie die Analyse der in deutschen Online-Shops am häufigsten angebotenen Payment-Methoden zeigt:

1. Die Lastschrift: Für Zahlungen via Lastschrift ist im Online-Handel nie eine Zwei-Faktor-Authentifizierung nötig. Der Grund dafür ist, dass die Zahlung nicht vom Online-Shopper angestossen wird, sondern von dessen Gläubiger, in diesem Fall dem Shop-Betreiber. Seine Bank zieht die Lastschrift mit Erlaubnis des Online-Shoppers aktiv ein. Bei Lastschriftzahlungen im Online-Handel ändert sich also gar nichts.

2. Sofortüberweisung/Giropay: Beide Online-Überweisungsverfahren basieren auf Online-Banking. Dort sind die Transaktionen über die einmaligen TANs (Transaktionsnummern) im Rahmen des Online-Banking immer mit einem zweiten Faktor gesichert, egal ob es eine Mo­bile TAN via SMS, eine Push-TAN in einer App oder eine Foto-TAN ist. Wichtig dabei ist lediglich, dass die TAN über ein zweites Gerät ausgegeben wird, etwa ein Smartphone. Bei den meisten Banken ist dies heute schon Standard. Die anderen sollten es bis September umgesetzt haben, da die früher üblichen iTAN-Listen auf Papier zur Absicherung von Zahlungstransaktionen dann generell nicht mehr zulässig sind. Fazit: Auch für diese Zahl­arten ist beim Online-Shopping keine weitere Authentifizierung nötig.

3. Rechnungskauf: Wird die Rechnung für eine Bestellung im Web vom Online-Shopper mit einer Online-Überweisung bezahlt, greifen auch hier die Sicherungsmechanismen des Online-Banking. Folglich ist auch beim Rechnungskauf keine zusätzliche Authentifizierung nötig. Einzige Ausnahme: Enthält die Rechnung einen Bezahl-Code, über den der Online-Shopper mit einer anderen Bezahlart wie etwa Paypal die Rechnung begleicht, greifen die Bestimmungen dieser Zahlart.

4. PayPal: PayPal gilt nach eigenen Angaben als Zahlungskonto im Sinne der PSD2 und muss damit die Vorgaben zur Zwei-Faktor-Authentifizierung umsetzen. Wie das konkret aussehen wird, verrät PayPal noch nicht. Ein Team arbeite derzeit an der Umsetzung. Ziel sei, "auch künftig ein möglichst reibungsloses Bezahlerlebnis bieten zu können", heisst es aus dem Unternehmen. Allerdings sichert PayPal seinen Händlern zu, dass die Bestimmungen bis zum Stichtag erfüllt werden und dass auf die grosse Mehrheit der Händler kein zusätzlicher Entwicklungsaufwand zukommen wird.

Prinzipiell macht es einen Unterschied, ob die PayPal-Zahlung per Lastschrift oder per Kreditkarte abgewickelt wird. Bei einer Lastschriftzahlung ist auch hier keine Authentifizierung nötig, bei einer Kreditkartenzahlung hingegen schon. Daher wird PayPal vermutlich auch nur bei Kreditkartenzahlungen die nötige Authentifizierung einbauen. Denkbar wäre eine Einmal-TAN, die per SMS, per E-Mail oder per App ausgegeben wird. Diese Möglichkeit bietet PayPal besonders sicherheitsbewussten Kunden bereits heute an, sie wird aber wohl kaum genutzt.

Ebenso denkbar sind biometrische Verfahren wie ein Fingerabdruck oder ein Gesichts-Scan über die PayPal-App. Da viele PayPal-Nutzer sehr mobil-affin sind, ist zu vermuten, dass die schnellen Biometrie-Verfahren hier künftig eine grosse Rolle spielen werden. 

Für PayPal Express gilt: PayPal Express wird lediglich an anderer Stelle im Checkout eingebunden, etwa im Warenkorb. Der Bezahlvorgang an sich ist aber ein gewöhnlicher PayPal-Prozess und daher auch künftig mit diesem identisch. Anders verhält es sich bei PayPal OneTouch: Um die schnelle Bezahlung mit nur einem Klick zu ermöglichen, bleibt der Nutzer quasi dauerhaft eingeloggt. Dies wird nach der Neureglung in dieser Form wohl nicht mehr möglich sein, da der Gesetzgeber vorschreibt, dass das Log­in aus Sicherheitsgründen wie beim Online-Banking nach einigen Minuten ohne Aktion automatisch beendet wird. PayPal verspricht auch hier eine Lösung, äussert sich aber sich nicht dazu, wie sie aussehen wird.

Fazit: Bei PayPal-Zahlungen wird sich der Bezahlvorgang ändern, wenn die Transaktion nicht per Lastschrift abgewickelt wird. Der Händler sollte im Regelfall aber keine Änderungen vornehmen müssen.

5. Amazon Pay: Auch Amazon Pay will sich nicht in die Karten schauen lassen. "Wir sind uns bewusst, dass die PSD2 im September 2019 wirksam werden soll, und wir sind dabei, unsere eigenen Vorbereitungen abzuschliessen. Obwohl wir nur ein Teil der Kette für Finanztransaktionen sind, tragen wir unseren Teil dazu bei, für unsere Kunden einen reibungslosen Übergang zu gewährleisten", lautet das Statement von Amazon.

Auch hier macht es einen Unterschied, ob hinter der Amazon-Pay-Transaktion eine Lastschrift oder eine Kreditkartenzahlung steht. Denkbar wäre, dass Amazon die Lastschrift als bevorzugte Zahlart nach oben setzt, um möglichst selten authentifizieren zu müssen. Für Kreditkartenzahlungen sind ähnliche Verfahren wie bei PayPal denkbar, also beispielsweise eine Mobile-TAN via SMS oder App. Amazon ist derzeit jedenfalls erkennbar darum bemüht, die Mobilfunknummer seiner Kunden zu erfragen.

6. Paydirekt/Klarna: Die beiden Zahlungsanbieter Klarna und Paydirekt halten sich ebenfalls sehr bedeckt. Paydirekt lässt lediglich verlauten, dass man vorbereitet sei und den Service "selbstverständlich auch über den 14. September hinaus rechtskonform und komfortabel" anbieten werde. Ähnlich das Bild bei Klarna: Die Klarna-Kernprodukte wie Rechnungs- und Ratenkauf seien nicht betroffen, heisst es bei dem Zahlungsanbieter. Ansonsten bereite man sich auf unterschiedliche Szenarien vor, um zum Zeitpunkt x rechtskonform zu sein.