Home / How-To / Sicherheit
How-To

2-Faktor-Authentifizierung: So ändert sich Online-Shopping

Beim Onlinebanking müssen Sie Ihre Identität schon jetzt über einen zweiten Faktor bestätigen. Weil die Schonfrist für den Onlinehandel zum Jahresende auslief, gilt das Gleiche nun beim Bezahlen von Interneteinkäufen. Dazu informieren wir zur Ökodesign-Richtlinie 2021 und zu den neuen Energielabeln.
Peter Stelzel-Morawietz
Von Peter Stelzel-Morawietz
PC-WELT
Seit Jahresende gelten die Sicherheitsbestimmungen des Online-Bankings nun auch für Shopping.
Image: Natee Photo / Shutterstock.com

Bei Onlinebanking gilt die Zweite Europäische Zahlungsdiensterichtlinie, häufig abgekürzt mit PSD2, schon seit Herbst 2019. Da muss man sich über das Einloggen hinaus zwar nicht jedes Mal zusätzlich authentifizieren, aber eben doch spätestens nach 90 Tagen sowie bei bestimmten Prozessen. Und genau diese sogenannte starke Authentifizierung gilt seit Anfang Januar nun auch bei Einkäufen im Internet.

Ursprünglich sollte die PSD2 („Payment Services Directive 2“) von Beginn an EU-weit für sämtliche Bereiche gelten, doch die Onlinehändler hierzulande erhielten von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als zuständiger Aufsichtsbehörde eine 15-monatige Schonfrist. Während dieser Zeit genügte es beim Onlinebezahlen weiterhin, dass Kunden ihre Kreditkartennummer und gegebenenfalls zusätzlich die dreistellige Prüfzimmer eingaben. Diese Übergangsfrist ist zum 1. Januar ausgelaufen, die starke Kundenauthentifizierung („Strong Customer Authentication”, kurz SCA), gilt damit auch für viele Bezahlverfahren im Internet und muss von allen Onlinehändlern im Kaufprozess ihrer Shops integriert sein.

Starke Kundenauthentifizierung jetzt auch beim Onlinebezahlen

Für das Onlinebezahlen mit Kreditkarte muss die Karte bei der Bank für die Sicherheitsfunktion 3DS registriert und freigeschaltet werden.
Für das Onlinebezahlen mit Kreditkarte muss die Karte bei der Bank für die Sicherheitsfunktion 3DS registriert und freigeschaltet werden.

Die Zwei-Faktor-Authentifizierung der EU-Zahlungsdiensterichtlinie verlangt, dass Verbraucher ihre Identität über mindestens zwei von drei möglichen und voneinander unabhängigen Sicherheitsfaktoren – Wissen, Besitz und Inhärenz (Biometrie) – belegen müssen. Zum Wissen zählen beispielsweise Passwort und PIN, als Besitz das Mobiltelefon oder die Kredit- beziehungsweise EC-Karte in Verbindung mit einem TAN-Generator, die Inhärenz lässt sich per Gesichtserkennung oder Fingerabdruck belegen.

Die neue Pflicht gilt fürs Bezahlen mit EC- oder Geldkarte ebenso wie für die Bezahldienstleister Paypal und Klarna. Ausgenommen sind Zahlungen per Lastschrift, weil diese der Händler und nicht der Kunde auslöst. Beim Bezahlen per Rechnung kommt es darauf an, wie der Kunde den Betrag später begleicht: per Überweisungsträger wie früher oder per Onlinebanking. In diesem Fall findet die PSD2 ohnehin schon Anwendung. So einfach wie bisher bleibt das Onlinebezahlen mit dem Mobiltelefon, weil Apple und Google die Zwei-Faktor-Authentifizierung ohnehin schon in den Bezahlprozess implementiert haben.

Für die Umsetzung der starken Authentifizierung bei der häufig gewählten Zahlungsvariante Kreditkarte ist zwischen den Herausgebern und den Anbietern zu unterscheiden: Herausgegeben werden die Karten von den Geldinstituten, also den Banken und Sparkassen. Als Anbieter fungieren Mastercard, Visa und American Express. Zwar sind die Banken für den SCA-Prozess verantwortlich, in der Praxis greifen sie dazu aber auf das 3D-Secure-Verfahren („3DS“) der Anbieter zurück. Wie der eigentliche Authentifizierungsprozess in der Praxis abläuft, bestimmen wieder die Geldinstitute: per SMS-TAN, App auf dem Smartphone, TAN-Generator, Photo-TAN oder Onlinebanking. Welches Verfahren Ihre Bank nutzt, erfahren Sie über deren Webseite. Um auch künftig mit der Kreditkarte bei europäischen Onlinehändlern bezahlen zu können, müssen Sie die 3DS-Funktion „Visa Secure“ oder „Mastercard Identity Check“ bei Ihrer Bank registrieren.

Ein paar Ausnahmen von der neuen PSD2-Richtlinie gibt es auch: Beträge bis 30 Euro, wiederkehrende Zahlungen wie Abonnements und „vertrauenswürdige Händler“, die der Kunde bei seinem Geldinstitut hinterlegen kann.

Tipp: So erkennen Sie betrügerische Online-Shops

Bank muss Drittanbietern Zugriff auf Kundenkonten gewähren

Bereits seit Inkrafttreten der Zweiten Europäischen Zahlungsdiensterichtlinie im September 2019 müssen die Geldinstitute auch sogenannten dritten Zahlungsdienstleistern Zugriff auf die Bankkonten ihrer Kunden geben – vorausgesetzt, die stimmen ausdrücklich zu. Das können Dienste zum Abrufen von Kontoinformationen, für die Kontodeckungsprüfung oder zum Auslösen von Zahlungen sein. Über die Zahlungsauslösedienste beispielsweise bezahlen Sie Interneteinkäufe, ohne dass Sie sich jedes Mal in das Onlinebanking Ihrer Bank einloggen müssen.

Während der Zugang für Kontoinformation und die Deckungsüberprüfung den Drittanbietern für einen bestimmten Zeitraum genehmigt werden, benötigt ein Zahlungsauslösedienst für jede einzelne Zahlung Ihre erneute Genehmigung. Ihre grundsätzliche Zustimmung für solche Drittdienstleister geben Sie bei Ihrem Geldinstitut nach dem Log-in in der Regel im „persönlichen Bereich“, das Gleiche gilt für den Widerruf. Fragen Sie gegebenenfalls bei der Bank nach. 

Neue Ökodesign-Richtlinie und Energielabel

Anfang März tritt die neue europäische Ökodesign-Richtlinie in Kraft, die Hersteller bestimmter Geräte verpflichtet, ihre Produkte so zu konstruieren, dass sie länger halten und einfacher zu reparieren und zu recyceln sind. Neben Haushaltsgroßgeräten wie Kühlschränken, Waschmaschinen, Waschtrocknern, Geschirrspülern und weiteren Produktgruppen umfasst die EU-Richtlinie Fernseher, Monitore und externe Netzteile.

Abhängig von der Produktgruppe müssen Ersatzteile sieben bis zehn Jahre zur Verfügung stehen. Für Displays, darunter fallen auch die TV-Geräte und Monitore, gelten siebe Jahre. Die Frist beginnt erst nach dem Inverkehrbringen des letzten Exemplars. Liefert der Hersteller ein Produkt beispielsweise drei Jahre an den Handel, muss die Ersatzteilversorgung insgesamt also zehn oder 13 Jahre gesichert sein. Die umfangreiche Verordnung  listet zudem im Detail auf, für welche Ersatzteile die Versorgungspflicht gilt: bei Displays unter anderen für Netzteile und Kondensatoren, bei Fernsehern zusätzlich für die Fernbedienung. Festgelegt ist ferner, dass die Ersatzteile innerhalb von maximal 15 Arbeitstagen nach dem Bestelleingang geliefert, dass auch nicht-firmeneigene Werkstätten beliefert werden müssen und dass die Geräte „mit allgemein verfügbaren Werkzeugen“ repariert werden können.

Zeitgleich mit dem Inkrafttreten der geänderten Ökodesign-Anforderungen ab 1. März gelten neue Energielabel für Haushaltsgeräte, Fernseher und Monitore. Die bisherigen „+“-Klassen werden abgeschafft, die Kennzeichnung beschränkt sich wieder auf die Skala von A bis G. Gleichzeitig wurden die Verbrauchsanforderungen der einzelnen Klassen erheblich verschärft. Während einer Übergangsfrist bis November dürfen noch Geräte mit dem alten Label verkauft werden.

Die neuen EU-Energielabel tragen einen QR-Code: Die bisherigen „+“-Klassen entfallen, die „A“-Auszeichnung ist künftig die beste, die Verbrauchswerte werden deutlich verschärft.
Die neuen EU-Energielabel tragen einen QR-Code: Die bisherigen „+“-Klassen entfallen, die „A“-Auszeichnung ist künftig die beste, die Verbrauchswerte werden deutlich verschärft.
vgwort

Peter Stelzel-Morawietz schreibt über die Themen vernetztes Zuhause, Windows, Internet und Internet of Things, Cloud, GPS und Navigation, Digitalradio sowie IT im Alltag und Integration im Auto

Aktuelle Beiträge von Peter Stelzel-Morawietz: