Deutsche Händler lehnen Zwei-Faktor-Authentifizierung beim Kunden-Login ab

Seit Mitte September müssen sich Online-Banken an die neuen Spielregeln der PSD2 halten und beim Zahlungsvorgang neben Anmeldename und Passwort einen zusätzlichen Sicherheitsfaktor abfragen. Dies soll zu erhöhtem Schutz der Kunden beitragen. Doch wenn es um das Login ins Kundenkonto geht, lehnt ein Großteil der deutschen Firmen die Zwei-Faktor-Authentifizierung (2FA) aber ab. Sie befürchten durch den etwas komplizierteren Prozess Kaufabbrüche und demzufolge wirtschaftliche Verluste.

„Zwei-Faktor-Authentisierung brauchen wir nicht“

Nach den neusten Ergebnissen des Digitalbarometers 2019 war bereits jeder vierte Internetnutzer Opfer von Kriminalität. Obwohl der Betrug beim Online-Shopping mit 36 Prozent an erster Stelle steht, bieten viele deutschen Firmen nach wie vor keine zusätzlichen Sicherheitsmaßnahmen, wie eben die 2FA, ihren Kunden an, um ihre Kontodaten zusätzlich zu schützen. „Zwei-Faktor-Authentisierung brauchen wir nicht“, wird ein Sprecher von Otto bei Heise Online zitiert. Der Versandhändler begründet dies mit einem deutlich längeren Kaufprozess durch die 2FA, was das Kauferlebnis für die Konsumenten unattraktiver macht. Stattdessen setze man auf „diverse technische Maßnahmen“.

Eine ähnliche Einstellung haben die beiden Online-Händler About You und Zalando. About You empfindet die Zwei-Faktor-Authentifizierung als „zu aufwendig für unsere Kunden“, wie es von einer Sprecherin heißt. Bei Zalando vertraut man unterdessen lieber auf das „eigene, komplexe Datensicherheitssystem“. Zu den weiteren „Drückebergern“ in Sachen 2FA gehören Lufthansa, Eurowings, die Deutschen Bahn und HRS. Das Hotelbuchungsportal ist der Meinung, dass der zweistufige Anmeldungsvorgang den Buchungsvorgang „massiv erschweren“ würde und somit auch weniger Kunden buchen.

Kunden sollten Option auf zusätzlichen Schutz haben 

Eine fehlende Zwei-Faktor-Authentifizierung gepaart mit schwachen Passwörtern sieht Prof. Christoph Meinel, Direktor des Hasso-Plattner-Instituts (HPI), besonders kritisch. „Schwache Passwörter gleichen Haustüren, an denen von außen ein Schlüssel steckt“, kommentiert er. Deswegen plädiert er darauf, das zusätzliche Sicherheitssystem so bald wie möglich zu aktivieren, besonders bei „allem, was mit Geld, was mit hohem Wert, dem Bereich der Gesundheit oder der Privatsphäre“ zu tun hat, so seine Meinung. Warum sich noch immer so viele große deutsche Firmen gegen die 2FA stellen, kann der HPI-Direktor nicht verstehen und fordert stattdessen: „Jeder Serviceanbieter sollte dem Nutzer diese Entscheidung überlassen.“

Die Zwei-Faktor-Authentifizierung beim Login ins Kundenkonto ist keine Vorgabe der PSD2-Richtlinie, sondern wäre eine zusätzliche Sicherheitsmaßnahme, die die Starke Kundenauthentifizierung bei der Genehmigung einer Online-Zahlung ergänzen würde. Bisher gelten die PSD2-Regeln vor allem im Online-Banking. Die Bundesanstalt für Finanzdienstleistungen (BaFin) hat die Pflicht zur Einführung der Starken Kundenauthentifizierung für Kreditkartenzahlungen im Online-Handel auf unbestimmte Zeit verschoben (wir berichteten).