Mit der neuen PSD2-Richtlinie hat die Europäische Union beschlossen, die Sicherheit der Verbraucher bei Online-Einkäufen zu stärken und signifikant zu verbessern. Wer als Shopbetreiber diese Richtlinie nicht umsetzt, muss mit Bußgeldern und Abmahnungen rechnen. Zwar gibt es noch eine Übergangsfrist bis Ende 2020, dennoch sollten sich Shopbetreiber frühzeitig Gedanken um die Umsetzung machen.
Verstärkte Sicherheit bei Online-Bezahlvorgängen
Erstmals im Jahr 2007 trat eine EU-Richtlinie in Kraft, welche die Sicherheit der Verbraucher bei der Nutzung von Onlineshops garantieren sollte. Diese Richtlinie war nicht nur dazu gedacht, den Verkauf über Binnengrenzen der einzelnen Länder hinweg zu optimieren, sondern auch die verschiedenen Märkte im Bereich des Zahlungsverkehrs in der EU zu harmonisieren und das Online-Shopping somit sowohl für die Shops als auch für die Verbraucher einfacher zu machen. Durch die Umsetzung der EU-Richtlinie wurden viele nationale Richtlinien ersetzt und angeglichen. Zudem sollte im Zuge dieser Maßnahme der Zugang für Zahlungsdienstleister auf dem Markt vereinfacht werden. Unter anderem dadurch konnten sich Anbieter wie PayPal oder auch Klarna am europäischen Markt etablieren.
Die neue Payment Service Directive 2
Die Payment Service Directive 2, abgekürzt PSD2, entwickelt dieses Konzept weiter und hat zum Ziel, den europäischen Binnenmarkt noch weiter zu vereinheitlichen und für sichere elektronische Zahlungen im Netz zu sorgen. Sie ist zweistufig im Januar 2018 und September 2019 in Kraft getreten. Durch die PSD2-Richtlinie soll über nationale Grenzen hinweg das Wirtschaftswachstum der verschiedenen Branchen verbessert und zugleich die Sicherheit der Endverbraucher nochmals gezielt unterstützt werden. Und: Mit Hilfe der neuen Richtlinie sollen sowohl Verbraucher als auch Händler die freie Wahlmöglichkeit der einzelnen Zahlungsdienste nutzen können und dabei von einer vollständigen Transparenz profitieren.
Mehr Transparenz erfordert vollkommen neue Maßnahmen
Doch in Bezug auf die Transparenz findet sich auch die Schwäche der neuen Richtlinie. Denn mit der PSD2-Richtlinie soll unter anderem der Zugang zum Binnenmarkt für Fin-Techs und andere Marktteilnehmer erleichtert werden. Unter anderem verpflichtet die Richtlinie Banken und Zahlungsdienstleister dazu, die Schnittstellen zu öffnen und einen breiteren Zugang zu erlauben. Das Schlagwort in diesem Zusammenhang ist „Open Banking“. Die größere Zahl an Dienstleistern und Schnittstellen schafft auf der anderen Seite auch vermehrte Sicherheitsrisiken. Daher wurde im Rahmen der neuen Richtlinie unter anderem die sogenannte starke Kundenauthentifizierung etabliert. Diese ist vor allem im Bereich der Kredit- und Debitkarten besonders wichtig, da diese bei den meisten elektronischen Zahlungen überdurchschnittlich häufig genutzt werden.
Verifikationsmechanismen für die Zahlung
Die starke Kundenauthentifizierung soll immer dann zum Einsatz kommen, wenn innerhalb der EU elektronische Zahlungen vorgenommen werden. Dabei muss bei einem elektronischen Bezahlvorgang immer auf eine 2-Faktor-Authentifizierung zurückgegriffen werden. Zur Verfügung stehen dabei insgesamt drei Faktoren, von denen immer mindestens zwei abgerufen werden müssen.
1. Faktor: Ein Element, welches nur dem Kunden bekannt ist. Ein Passwort oder eine Pin beispielsweise.
2. Faktor: Ein Gegenstand, welcher nur der Kunde in Besitz hat. Ein elektronisches Token ist hier ebenso wirksam wie ein eigenes Smartphone.
3. Faktor: Ein eindeutiges Identifikationsmerkmal wie ein Fingerabdruck oder eine Gesichtserkennung
Diese 2-Faktor-Authentifizierung ist für die Sicherheit der Kunden wichtig. Allerdings müssen Shopbetreiber bedenken, dass eine schlecht implementierte 2-Faktor-Authentifizierung dazu führen kann, dass die Kunden ihre Einkäufe abbrechen und somit die Umsätze sinken. Es gilt also, die 2-Faktor-Authentifizierung elegant und geschickt in den Shop zu implementieren.
Die Integration der 2-Faktor-Authentifizierung in den Onlineshop
Grundsätzlich gibt es zwei Optionen für die Integration der 2-Faktor-Authentifizierung. Wenn die Bezahlvorgänge im Shop über einen Zahlungsdienstleister abwickelt werden, ist die Implementierung besonders einfach. In der Regel genügt ein einfaches Update der entsprechenden Extension des Anbieters, um eine PSD2-konforme Zahlung zu ermöglichen. Bei den meisten großen Shop- und den bekannten Zahlungsanbietern ist dies kein Problem. Anders sieht es auch, wenn Shopbetreiber selbst als Zahlungsdienstleister auftreten. In diesen Fällen muss die 2-Faktor-Authentifizierung individuell implementiert werden, da durch eine fehlende Umsetzung nicht nur Bußgelder und Abmahnungen drohen, sondern die Banken auch die Zahlungen verweigern können. Das führt zu einem Abbruch des Bezahlvorgangs und folglich zu unzufriedenen Kunden.
PSD2-Konformität erzeugen mit klarem Fokus auf den Endnutzer
Wichtig bei der Umsetzung der PSD2-Grundlage ist, dass Shopbetreiber den Fokus auf den Nutzer und dessen User-Experience legen. Denn ein weiterer Schritt beim Bezahlvorgang kann Kunden dazu verleiten, den Einkauf abzubrechen. Da die Umsetzung seitens der E-Commerce-Unternehmen bis zum Ende des Jahres 2020 erfolgen muss, bietet es sich an, den gesamten Shop zu optimieren und somit das Einkaufserlebnis für den Kunden noch attraktiver zu gestalten. Hierbei sollte sowohl die Verbesserung der User-Erfahrung als auch die Implementierung der 2-Faktor-Authentifizierung in erfahrene Hände gegeben und ein möglicher Shop-Relaunch professionell und langfristig sinnvoll umgesetzt werden.
Autor: Hendrik Herms
Hendrik verantwortet den Geschäftsbereich Consulting der Löwenstark Online-Marketing GmbH. Er befasst sich mit komplexen Kundenproblemen im Bereich E-Business und entwickelt hierfür maßgeschneiderte digitale Lösungen und Strategien. Dabei greift er auf eine langjährige Erfahrung als Digitalverantwortlicher in verschiedenen Medienhäusern, wie der Bauer Media Group, der Heise Mediengruppe, der Braunschweiger Zeitung oder dem Fachverlag Vincentz Network, zurück.
https://www.loewenstark.com/
Fachartikel
Warum ist Data Security Posture Management (DSPM) entscheidend?
CVE-2024-47176 – Linux-Privilegienerweiterung über CUPS-Schwachstelle
Was die PCLOB-Entlassungen für das EU-US-Datenschutzabkommen bedeuten
Sicher und besser fahren: Was NIS2 für Internetknoten und ihre Kunden bedeutet
2,3 Millionen Organisationen setzen auf DMARC-Compliance
Studien
Gartner-Umfrage: Nur 14% der Sicherheitsverantwortlichen können Datensicherheit und Geschäftsziele erfolgreich vereinen
Zunehmende Angriffskomplexität
Aufruf zum Handeln: Dringender Plan für den Übergang zur Post-Quanten-Kryptographie erforderlich
IBM-Studie: Gen-KI wird die finanzielle Leistung von Banken im Jahr 2025 steigern
Smartphones – neue Studie zeigt: Phishing auch hier Sicherheitsrisiko Nr. 1
Whitepaper
Sysdig Usage Report zeigt: 40.000-mal mehr maschinelle als menschliche Identitäten – eine Herausforderung für die Unternehmenssicherheit
eBook: Cybersicherheit für SAP
Global Threat Report 2025: Chinesische Cyberspionage-Aktivitäten nehmen um 150 % zu, wobei die Taktiken immer aggressiver werden und zunehmend KI zur Täuschung eingesetzt wird
Die 5 Stufen von CTEM – Ihr Leitfaden zur Umsetzung
