Deutsche Onlinehändler drücken sich vor Zwei-Faktor-Authentifizierung

Neben Nutzername und Passwort noch einen zusätzlichen Faktor zur Identifikation einzuführen – das finden viele deutsche Firmen zu kompliziert.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 417 Beiträge
Von
  • Axel Kannenberg

Kaum ein großer Online-Händler oder ein Buchungsportal in Deutschland will seinen Kunden derzeit mehr Sicherheit beim Log-in ins Kundenkonto durch die Zwei-Faktor-Authentifizierung (2FA) anbieten. Bei 2FA benötigen Kunden neben Anmeldename und Passwort einen zusätzlichen Sicherheitsfaktor. Firmen und Verbände befürchten wirtschaftliche Einbußen oder gehen davon aus, dass Nutzer kein Interesse an 2FA haben.

Nutzer von Online-Banking kennen 2FA bereits: Seit Mitte September gilt hier mit der neuen Zahlungsdiensterichtlinie PSD2 die gesetzliche Pflicht zur "starken Kundenauthentifizierung". Die schreibt zwei der drei Merkmale Wissen (etwa PIN oder Passwort), Besitz (etwa Bankkarte oder Mobiltelefon) und Inhärenz (biologische Merkmale wie etwa Fingerabdruck oder Iris) vor. Neben den üblichen Anmeldeinformationen muss nun zum Beispiel eine einmalige Transaktionsnummer (TAN) angefordert werden, etwa per SMS an eine zuvor bei der Bank hinterlegte Handynummer. Gedruckte TAN-Listen sind nicht mehr gültig. Damit sollen Kriminelle nicht mehr so einfach unbefugt einkaufen gehen oder fremde Bankkonten leerräumen können.

Internationale Unternehmen wie Facebook, Apple, Twitter oder Amazon bieten 2FA bereits länger an. Deutsche Anbieter sind dagegen zurückhaltender. "Zwei-Faktor-Authentisierung brauchen wir nicht", sagt ein Sprecher des Hamburger Versandhändlers Otto. Das Unternehmen vertraue stattdessen auf "diverse technische Maßnahmen". Durch 2FA dauere der Kaufvorgang länger, so sei das Kauferlebnis unattraktiver. Auch die Otto-Tochter About You und Zalando verzichten auf 2FA. "Das wäre zu aufwendig für unsere Kunden", sagt eine Sprecherin von About You. Man glaube nicht, dass Kunden den Zusatzschutz nutzen würden. Zalando verweist auf das "eigene, komplexe Datensicherheitssystem".

Laut Digitalbarometer 2019 war bereits knapp jeder Vierte Opfer von Kriminalität im Internet. Dabei handelte es sich am häufigsten um Betrug beim Online-Shopping (36 Prozent), gefolgt vom Ausspähen vertraulicher Daten, sogenannte Phishing-Fälle, mit 28 Prozent. Identitätsdiebstahl wurde von 18 Prozent der Befragten genannt.

Aber nicht nur Online-Versandhändler verzichten auf Zwei-Faktor-Logins. Das Hotelbuchungsportal HRS bietet keine 2FA an mit der Begründung, die Zahlung erfolge bei Abreise oder über einen externen Dienstleister. HRS befürchtet, dass der zweistufige Anmeldungsvorgang der Buchungsvorgang "massiv erschwere" – also dass weniger Menschen buchen. Die Lufthansa erklärte, sie wolle sich aus Sicherheitsgründen nicht dazu äußern, warum sie keine 2FA anbietet. Die Tochter Eurowings will dies zumindest prüfen. Die Deutsche Bahn schafft nach eigenen Angaben zurzeit die technologischen Voraussetzungen dafür.

Mitunter sind es auch schwache, mehrfach genutzte Passwörter, die für eine breitere 2FA-Implementierung sprächen. "Schwache Passwörter gleichen Haustüren, an denen von außen ein Schlüssel steckt", sagt der Direktor des Hasso-Plattner-Instituts (HPI), Prof. Christoph Meinel. Er plädiert dafür, 2FA so schnell wie möglich zu aktivieren, sobald ein Dienstleister die Option anbietet. Dass sich Unternehmen gar gegen die Sicherheitsmaßnahme sträuben, kann Meinel nicht verstehen: "Jeder Serviceanbieter sollte dem Nutzer diese Entscheidung überlassen." Besonders wichtig sei ein zusätzlicher Schutz bei "allem, was mit Geld, was mit hohem Wert, dem Bereich der Gesundheit oder der Privatsphäre" zu tun hat.





Das sehen aber nicht alle so. 2FA stehe "im Widerspruch zu den Anforderungen einer guten Nutzererfahrung", heißt es beim Handelsverband Deutschland (HDE). "Gerade im Onlineshopping ist es von besonderer Bedeutung, hier den Interessenten einen möglichst schlanken und hürdenlosen Check-out zu ermöglichen", argumentiert ein HDE-Sprecher. Jeder extra Schritt schmälere die Wahrscheinlichkeit eines Kaufabschlusses. Ähnlich sieht das der Bundesverband Onlinehandel: Die Gefahr des Abbruchs durch den Kunden sei extrem hoch, weswegen sich der Verband auch gegen die "Realisierung von PSD2 und erst recht der Ausweitung auf weitere Gebiete" stelle.

Eigentlich sollte mit der PSD2 auch beim E-Commerce der 14. September Stichtag für die Einführung der starken Authentifizierung sein. Doch bereits Anfang Juni hatte der europäische Handels-Spitzenverband EuroCommerce die Europäische Bankenaufsicht (EBA) um einen EU-weiten Aufschub gebeten. Betroffen sind vor allem Kreditkartenzahlungen, aber auch PayPal. Als Gründe nannte EuroCommerce mangelnde Aufklärung vieler Kunden über die Neuerungen, insbesondere aber auch mangelnde Vorbereitung bei vielen kleinen Händlern.

In einer Stellungnahme hatte die EBA daraufhin den nationalen Aufsichtsbehörden freigestellt, während einer Übergangszeit von einer Durchsetzung der Anforderung abzusehen. Mehrere nationale Finanzaufsichtsbehörden haben die bisherige Deadline bereits ausgesetzt; die deutsche BaFin hat sich ihnen auch angeschlossen. Über die genaue Frist will sie sich nach Konsultation der Marktteilnehmer mit der EBA und den Aufsichtsbehörden der übrigen EU-Länder abstimmen. (axk)