Warum ist es plötzlich so kompliziert, online auf mein Konto zuzugreifen?
Diese Frage stellten sich wohl viele User beim Versuch sich einzuloggen.
Die Anzahl der verlangten PINS, TANs und Secure Master Passwörter stieg rasant – ratlose Gesichter waren die Folge.
Was war passiert?
PSD2 macht sich seit September bei Nutzer*innen von Online-Services bemerkbar.
Hinter PSD2 (Payment Services Directive 2) verbirgt sich nicht der niedliche Blechdroide aus den Star Wars-Filmen, sondern eine EU Zahlungsdiensterichtlinie (ZaDiG) für mehr Sicherheit beim Geldtransfer (Richtlinie (EU) 2015 /2366).
Diese Richtlinie verbesserte einerseits den Konsument*innen-Schutz in Haftungsfragen:
Bei missbräuchlicher Verwendung Ihres Zahlungsinstruments haften Sie nur mehr, wenn Sie den Verlust oder Diebstahl hätte merken müssen, und selbst dann nur bis zu einer Höchstgrenze von 50 Euro statt bisher 150 Euro.
Diese Grenze gilt nicht, wenn Ihnen betrügerisches, vorsätzliches oder grob fahrlässiges Handeln vorgeworfen wird. Zum Beispiel, dass Sie Ihre PIN und Bankkarte gemeinsam aufgehoben haben. Ab jetzt müssen Sie nicht länger Ihre Unschuld beweisen, sondern die Bank Ihre Fahrlässigkeit.
Andererseits geht der erweiterte Schutz zu Lasten der Bequemlichkeit:
Denn seit 14. September gilt eine stärkere Authentifizierung bei allen Online-Zahlvorgängen – selbst der Blick aufs eigene Konto ist davon betroffen.
Von jetzt an benötigen Sie für den Identitätsnachweis 2 unterschiedliche Komponenten (Faktoren). Das ist bereits beim Geldabheben üblich, wenn Sie dafür eine Bankkarte (Besitz) und Ihre PIN (Wissen) brauchen.
Für die Zwei-Faktor-Authentifizierung (2FA) ist nun eine Kombination aus Wissen, Besitz und/oder Biometrie notwendig.
Online-Käufer können ein Lied davon singen, kaum hat man sich was ausgesucht, gibt man für die Kartenzahlung beim Händler die Kartennummer, Prüfziffer und das Ablaufdatum ein. Jetzt wird man zur Kartenseite weitergeleitet und muss dort zusätzlich ein selbst gewähltes 3 D-Secure Passwort und einen auf sein Handy geschickten Mobile TAN eingeben. Das Procedere dauert oft länger als das Aussuchen der Ware. Nach Ansicht der EU ist das sicherer und einfacher. Manche können sich aber des Eindrucks nicht erwehren, dass sich die Lobby von „Kauft lokal“ durchgesetzt hat.
Ist denn dann Biometrie die einfachste Lösung? Bezahlen mittels Fingerabdrucks, Iris- oder Stimmerkennung, vielleicht sogar Venenscanner? Klingt ziemlich utopisch, ist aber bereits in der Umsetzungsphase.
Fazit:
Positiv: Haftungsbegrenzung, Beweislast beim Geld/KartenInstitut und somit der verstärkte Schutz der Konsument*innen und des Geldtransfers.
Negativ:
Von einfach und bequem kann nicht die Rede sein.
Die Praktikabilität in der Umsetzung wird sich zeigen.
Biometrie scheint die Zukunft für einfache Logins zu sein, auch wenn bereits erste Hacks bei Autorisierungen mittels Fingerabdrücken und Irisscans bekannt wurden.