Blick ins Produkt
Alle Beiträge

Zwei-Faktor-Authentifizierung: Das müssen Online-Händler beachten

Aktualisiert: 03. März 2021

12 min.

Haufe Redaktion E-Commerce Innovation & Technologie Cloud ERP

Ab dem 15.03.2021 gelten strengere Sicherheitsanforderungen beim Online-Shopping: Die Zwei-Faktor-Authentifizierung wird Pflicht für Zahlungen per Kreditkarte. Händler befürchten dadurch höhere Bestell-Abbruchquoten. Erfahren Sie hier, was Sie zur Änderung wissen müssen.

Die Zwei-Faktor-Authentifizierung (2FA) soll die Sicherheit beim Zahlungsverkehr erhöhen. Die meisten Menschen dürften sie schon vom Online-Banking kennen: Außer Benutzernamen und Passwort benötigen Nutzer noch ein zweites davon unabhängiges Sicherheitsmerkmal, um sich einzuloggen. 

Seit Januar 2021 müssen Händler die Identität von Kunden bei der Online-Zahlung prüfen. Besonders streng sind die Vorgaben bei Zahlungen per Kreditkarte. Bisher lag die Prüfung im Ermessen des jeweiligen Händlers, ab dem 15. März ist die Prüfung der Zwei-Faktor-Authentifizierung bei Kreditkartenzahlungen verpflichtend. 

Wieso gibt es das neue 2FA-Verfahren?

Die Änderung ist Teil der europäischen Zahlungsdienstrichtlinie „Payment Service Directive“ (PSD2). Diese soll eine „starke Kundenauthentifizierung“ (SCA) etablieren und so den Zahlungsverkehr für Verbraucher in der Europäischen Union sicherer machen, etwa mit Blick auf Betrug bei Online-Zahlungen. Die Richtlinie trat bereits am 14. September 2019 in Kraft. Die deutsche Finanzaufsicht Bafin gewährte jedoch eine Übergangsfrist für die Umstellung bis Ende 2020, da viele Händler Probleme bei der Umsetzung hatten. Für die Einführung der Prüfung gilt nun ein Stufenmodell:  

  • Seit dem 15. Januar 2021 ist die „Zwei-Faktor-Authentifizierung“ bei Zahlungen ab 250 Euro erforderlich. 
  • Seit dem 15. Februar müssen Zahlungen ab 150 Euro mit zwei Faktoren freigegeben werden. 
  • Ab dem 15. März gibt es kein Vorbeikommen mehr: Die Regeln werden dann in vollem Umfang angewandt.

Sind Banken und Händler vorbereitet?

Auf Seiten der Banken sind die nötigen Umstellungen abgeschlossen. Sie haben dazu das sogenannte „3-D-Secure“-Verfahren entwickelt, mit dem die Prüfung des zweiten Faktors stattfindet. Wie genau das abläuft, ist von Bank zu Bank unterschiedlich. Manche setzen auf die Zusendung einer einmalig gültigen TAN per SMS. Andere Banken nutzen eine spezielle App oder biometrische Verfahren wie Fingerabdruck- oder Gesichtserkennung. 

Bisher wurde der zweite Faktor nur beim Login ins Online-Banking benötigt, nun brauchen ihn Unternehmen auch zur Bestätigung von Kreditkartenzahlungen. Viele Händler zögern die Umstellung allerdings noch hinaus. Laut Experten des Handelsverbandes HDE haben sich auch viele Verbraucher noch nicht auf das neue Verfahren eingestellt. Die Befürchtung: Viele Kunden brechen ihren Einkauf ab, wenn sie beim Bezahlen zu viele Daten eingeben müssen. 

Muss jede Zahlung zusätzlich freigegeben werden?

Die Handhabung ist abhängig von der jeweiligen Bank des Kunden. Kauft ein Kunde häufiger beim selben Shop ein, können Finanzinstitute nach einer erstmaligen Prüfung auf die zusätzliche Freigabe jeder Zahlung mit zwei Faktoren verzichten. Auch bei Warenkorbsummen von unter 30 Euro könnte auf das zweistufige Verfahren verzichtet werden. 

2FA: Welche Ausnahmen gelten?

Darüber hinaus gibt es weitere Ausnahmen bei der Zwei-Faktor-Authentifizierung:  

  • Transaktionen mit geringem Risiko sind von der 2FA ausgenommen. Ob eine Einstufung als risikoarm greift, entscheidet sich anhand der durchschnittlichen Betrugsraten des Kartenherausgebers und des Acquirers, der die Transaktion abwickelt. Sofern die gesetzlich definierten Betrugsquoten nicht überschritten werden, ist ein Verzicht auf die starke Kundenauthentifizierung zwischen 30 und 500 Euro möglich. 
  • Whitelisting - vertrauenswürdige Händler sind von der starken Kundenauthentifizierung ausgenommen: Kunden können bei ihrer Bank eine Liste beliebter Händler führen, die sie als vertrauenswürdige Zahlungsempfänger einstufen. Online-Händler sollten daher ihre Bestands- und Stammkunden bitten, sie auf eine Whitelist zu setzen.  
  • Sichere Unternehmenszahlungen für B2B-Transaktionen: Werden beispielsweise Firmenkonten belastet oder Firmenkarten verwendet, die bei mehreren Personen im Einsatz sind, tritt keine 2FA ein. Dies betrifft auch Lodges-Karten und virtuelle Karten. 

2FA: Was müssen Händler nun tun?

Die Zwei-Faktor-Authentifizierung betrifft weder die Zahlung auf Rechnung noch die Zahlung per Lastschrift. Möchten Händler ihren Kunden jedoch den Einkauf mit PayPal oder Kreditkarte anbieten, sollten sie darauf achten, dass die Voraussetzungen für die Authentifizierung vorliegen.

Im Falle von PayPal wickelt der Online-Bezahldienst die Zahlung direkt in einem neuen PSD2-kompatiblen Fenster ab. Und auch Nutzer eines Shop-Systems wie zum Beispiel Shopify, Magento oder Shopware können sich entspannen: Hier sind die Anbieter gefordert, das Verfahren im Sinne der Zwei-Faktor-Authentifizierung anzupassen. Im Idealfall ist die Umstellung dann mit einem Update des Zahlungsmoduls des Shops erledigt. Es empfiehlt sich dennoch, auf den Seiten des Anbieters zu prüfen, ob die erforderlichen Maßnahmen ergriffen wurden. 

Etwas anders sieht es bei selbst programmierten Anbindungen an Zahlungssysteme aus. Hier fällt mehr Aufwand an, da die Shop-Betreiber die Programmierung wahrscheinlich anpassen müssen. Eventuell kann es sich lohnen, zur Lösung eines Dienstleisters zu wechseln. Übrigens: Die gängigen Shopsysteme lassen sich direkt an die Unternehmenssoftware Haufe X360 anbinden. So schaffen Sie eine zentrale Plattform für E-Commerce, Warenwirtschaft und Buchhaltung und vereinfachen damit Ihre Prozesse. 

Zwei-Faktor-Authentifizierung: Kommunikation ist das A und O

In jedem Fall ist es sinnvoll, die Änderung transparent gegenüber den Kunden zu kommunizieren. Vielleicht ist es auch ein guter Aufhänger für eine Kontaktaufnahme – die Kunden werden sich sicherlich freuen, wenn Ihnen ihre Datensicherheit am Herzen liegt. 

Stellen Sie zumindest auf Ihrer Website die Information bereit, dass ab sofort bei der Online-Zahlung die Freigabe durch eine Zwei-Faktor-Authentifizierung erforderlich ist und Sie damit EU-Vorgaben erfüllen. So kommen bei Ihren Kunden keine Fragen auf, die zu einem Warenkorbabbruch führen könnten. Die gesteigerte Sicherheit kommt schließlich allen zugute und in Zukunft wird eine starke Kundenauthentifizierung ganz normal sein.