Sicherheit ist das eine, Bequemlichkeit das andere. Ein Fingerabdruck klingt ein bisschen spooky, wird aber wohl beiden Anforderungen gerecht.

Foto: Getty Images

Ab Herbst wird wieder einmal vieles anders. Onlinezahlungen sollen sicherer werden, ebenso Bankgeschäfte im Internet. Ab 14. September ist es so weit: Im Rahmen der EU-Zahlungsdienstrichtlinie PSD2 treten neue Regeln in Kraft. Zum Teil sind sie schon aus dem Onlinebanking bekannt. Wer etwa am Computer Geld überweisen will, bekommt auf sein Handy einen Code geschickt, den er anschließend im Überweisungsformular einträgt. Zwei-Faktor-Authentifizierung nennt sich das Prinzip.

Künftig wird es noch strenger gehandhabt – und es gilt auch beim Onlineshoppen oder beim Buchen eines Hotelzimmers auf Plattformen wie Booking.com und Co. Reicht es jetzt etwa beim Bezahlen mit Kreditkarte die Kreditkartennummer, das Gültigkeitsdatum und die dreistellige Prüfnummer auf der Rückseite einzutippen, wird das künftig nicht mehr möglich sein. Die sogenannte starke Kundenauthentifizierung macht es dann erforderlich, zwei von drei Faktoren aus den Kategorien "Wissen, Besitz und Inhärenz" (siehe Wissen am Ende des Artikels) vorzuweisen. Zum Beispiel bei der Kreditkartenzahlung die Eingabe einer Sicherheitsnummer. Auch beim Log-in beim Onlinebanking auf der Website oder App der Bank seines Vertrauens wird künftig die heute noch gültige Kombination von Benutzername und Passwort nicht mehr als "Sesam, öffne dich!" reichen. Die alte TAN-Liste auf Papier, die ohnehin schon von den meisten Banken ins Ausgedinge geschickt worden ist, gilt ebenso als zu unsicher und ist zu Grabe zu tragen.

Fingerabdruck oder Iris-Scan

Kunden müssen zum Beispiel einen Benutzernamen eingeben und sich anschließend über eine Smartphone-App identifizieren, sich via Iris-Scan oder Fingerabdruck zu erkennen geben. Die Bawag stellt etwa mit 18. August das E-Banking per App ein. Die Kunden können seit Mai heurigen Jahres die neue, sicherere Klar-App nutzen. Auch bei allen anderen Banken und bei Kartenanbietern herrscht in der Sache Hochbetrieb. Bei Mastercard etwa ortet man eine hohe Bereitschaft zur biometrischen Authentifizierung. Ab September sollen alle Besitzer von Mastercard-Karten biometrische Lösungen wie Fingerabdrücke, Gesichtserkennung und Iris-Scan nutzen können, um sich beim Einkaufen und Bezahlen zu identifizieren.

Wie einzelne Anbieter im Handel, zum Beispiel der Onlineriese Amazon, die Sache handhaben wollen, dazu lässt man sich nicht in die Karten schauen. Man werde für die "Kunden einen reibungslosen Übergang gewährleisten" heißt es nur. Auch bei großen heimischen Anbietern wie Unito, der Tochter des Versandhandelsriesen Otto, sieht man sich mit den aktuellen Systemeinstellungen "auf der sicheren Seite."

Hohe Komplexität

Was selbstverständlich scheint, dürfte nicht ganz so einfach sein. Manch einer vergleicht das Projekt in seiner Komplexität mit der Umsetzung der Datenschutzgrundverordnung. So gab es europaweit Debatten bei Banken über die Definitionen der Standards. In Deutschland wird diskutiert, dass der September-Termin von der Regierung verschoben werden könnte. Auch hierzulande sind nicht alle bereit. Angesichts der umfangreichen technischen Vorgaben hätten viele Unternehmen Schwierigkeiten, diese rechtzeitig bis 14. September umzusetzen, heißt es etwa beim Handelsverband. "Wir empfehlen im Schulterschluss mit anderen europäischen Verbänden einen Aufschub sowie eine schrittweise Durchsetzung, um insbesondere KMUs und mittelständische Händler nicht zu gefährden", so Handelsverbands-Geschäftsführer Rainer Will.

Übergangsfrist

Er schließt sich damit der Meinung des europäischen Handelsverbands Euro Commerce an, der sich bei der europäischen Bankenaufsicht Eba dafür starkmachte, eine Art Übergangsfrist bzw. eine schrittweise Einführung zuzulassen. Auch die Branchenvertreter in der Wirtschaftskammer sind der Ansicht, dass "aufgrund der Komplexität der Zahlungsmärkte" die Umsetzung der starken Kundenauthentifizierung bis Mitte September nicht möglich ist. Die Sorge ist, dass es vermehrt zu Kaufabbrüchen kommt, wenn die Konsumenten nicht wie gewohnt zahlen können. Sollte es zu größeren Problemen kommen, würde das den Handel in einer kritischen Phase treffen. Das Geschäft rund um Weihnachten ist sehr wichtig für die Branche.

Doch man hat die Hoffnung, dass in der Sache noch nicht das letzte Wort gesprochen ist. Tatsächlich hat die Eba Verständnis signalisiert, sodass in der Kammer die Hoffnung keimt, dass ganze Branchen Aufschub bekommen könnten. Auch bei Mastercard geht man davon aus, dass nicht europaweit alle Markteilnehmer rechtzeitig bereit sein werden.

Aufschub im Einzelfall

Die heimische Finanzmarktaufsicht erstickt die Hoffnung nach einer großangelegten Fristverlängerung allerdings im Keim. Im Einzelfall können einzelne Bankinstitute um Aufschub bitten. Sie müssen allerdings genau begründen, warum sie die Umsetzung zum Stichtag nicht schaffen werden, heißt es auf STANDARD-Anfrage. Und vor allem müssen sie einen exakten Zeitplan vorlegen, wann sie das schaffen wollen. (Regina Bruckner, 8.7.2019)