Kreditkartenzahlung 2021: Was ändert sich beim Online-Shoppen?

Kreditkartenzahlung 2021: Was ändert sich beim Online-Shoppen?

Marc Wegerhoff
Facebook
Twitter
LinkedIn
WhatsApp
Email
Print
WhatsApp
Facebook
Twitter

Online-Shopping hat nicht nur das Konsumverhalten in Deutschland grundsätzlich verändert, sondern vor allem durch die Auswirkungen der Corona-Pandemie nochmals einen gewaltigen Boost erfahren. Das Problem: Die Sicherheitsstandards bei Online-Zahlungen sind stark veraltet. Neue Fristen sollen nun dafür sorgen, dass längst verabschiedete Gesetze (z. B. Zwei-Faktor-Authentifizierung) nun auch endlich ihren Weg in den Alltag finden.

Kreditkarten boomen, die Sicherheit hinkt

Die Auswirkungen der Corona-Pandemie sind seit 2020 in fast allen Lebensbereichen zu spüren – vom Einkommen über die Freizeitgestaltung bis hin zur Supermarktkasse. Denn neben den starken Einschnitten in das alltägliche Leben hatten die Maßnahmen auch einen treibenden Effekt auf eine Entwicklung, die sich viele schon seit Jahren in Deutschland herbeisehnen: die Abkehr vom Bargeld. An vielen Kassen sind mittlerweile “Bitte bargeldlos bezahlen”-Schilder zu lesen und das kontaktlose Bezahlen mit EC-Karte, Kreditkarte oder Smartphone lässt sich wesentlich häufiger beobachten als noch vor zwei Jahren.

Da vor allem die Kreditkarte so – ganz nach US-amerikanischem Vorbild – weiter in den Alltag rückt, nimmt sie neben Lastschrift, PayPal, Klarna & Co. auch wieder einen größeren Stellenwert bei Online-Zahlungen ein. Neben den klassischen Kreditkarten geben viele der jungen Online-Banken (z. B. N26) mittlerweile auch Kreditkarten mit EC-Funktionalität ergänzend zu ihren Girokonten heraus und Anbieter wie Kredu nutzen virtuelle Guthaben-Kreditkarten dazu, eine Alternative zu klassischen Bankkrediten zu entwickeln. Die Kreditkarte spielt dadurch in ganz unterschiedlichen Bereichen wieder eine wichtige Rolle. Das Problem: Wer die Kreditkartennummer, das Ablaufdatum und den CVV-Code von einer Kreditkarte abliest, kann mit dieser auch sofort bezahlen – ganz unabhängig davon, ob es sich um den tatsächlichen Eigentümer handelt.

Neue Sicherheitsrichtlinien: Umsetzen statt Abwarten

Um diesem Sicherheitsproblem entgegenzuwirken und den (Online-)Zahlungsverkehr innerhalb der EU grundlegend sicherer zu machen, hat die EU-Kommission bereits 2016 die Erneuerung der europäischen Zahlungsdiensterichtlinie (PSD2 = “Payment Service Directive) entwickelt, deren Vorgaben ursprünglich bereits ab Januar 2018 ihren Weg in das nationale Recht der EU-Staaten finden sollte. Eine Veränderung, die zu dieser Zeit viele Online-Banking-Nutzer bemerkt haben dürften: TAN-Nummern für Überweisungen durften nicht mehr in Form der alten, vorgedruckten Listen in Papierform herausgegeben werden, sondern mussten fortan dynamisch (z. B. via TAN-App, TAN-Generator) für jede Zahlung erstellt werden. Zusätzlich enthält die PSD2 jedoch auch eine Reihe zusätzlicher Sicherheitsrichtlinien, die bisher kaum oder gar keinen Effekt gezeigt haben.

Der einfache Grund dafür: Die Umsetzung hat sich – vor allem aufseiten der Banken und Anbieter – stark verzögert und auch die Online-Händler befinden sich nach wie vor in einer abwartenden Haltung, da Aspekte wie eine “Zwei-Faktor-Authentifizierung” für viele Kunden ein Novum darstellen und so auch nachweislich dazu führen, dass mehr Bestell- und Einkaufsprozesse abgebrochen werden. Das bedeutet auch, dass für die Zahlung mit Kreditkarte meistens nach wie vor die Eingabe der auf der Karte ablesbaren Daten ausreicht.

Als Antwort auf die Umstellungs-Probleme auf der Anbieterseite hat die Finanzaufsicht Bafin zunächst eine Übergangsfrist bis Ende 2020 gewährt. Da aber auch im neuen Jahr nach wie vor erheblicher Nachholbedarf besteht, wurden nun feste “Deadlines” für die Umsetzung festgelegt:

  • Ab 15. Januar 2021: Alle Zahlung ab 250 € müssen durch Zwei-Faktor-Authentifizierung freigegeben werden
  • Ab 15. Februar 2021: Alle Zahlungen ab 150 € müssen durch Zwei-Faktor-Authentifizierung freigegeben werden
  • Ab 15. März 2021: Alle Zahlungen müssen durch Zwei-Faktor-Authentifizierung freigegeben werden



Zwei-Faktor-Authentifizierung: Was ändert sich bei der Zahlung?

Die Frage, die wohl die meisten von uns tatsächlich interessiert: Was ändert sich für mich? Im Mittelpunkt der Anpassungen steht wie bereits erwähnt die verpflichtende Zwei-Faktor-Authentifizierung. Das bedeutet, dass zukünftig beispielsweise nicht nur die auf die Kreditkarte aufgedruckten Daten zum Bezahlen ausreichen, sondern zusätzlich auf einem zweiten, unabhängigen Weg nachgewiesen werden muss, dass es sich auch um den tatsächlichen Besitzer der Kreditkarte handelt. Als zweiter Weg kommen beim Kreditkarten-Beispiel unter anderem ein Passwort oder eine ergänzende TAN infrage.

Vereinzelt wurden diese Maßnahmen in den vergangenen Monaten bereits unter Bezeichnungen wie “3-D-Secure-Verfahren” von den Banken und Anbietern implementiert. Die genaue Umsetzung der neuen Sicherheitsstandards variiert dabei teilweise, als eine gängige Methode hat sich aber bereits der Versand eines Bestätigungscodes via SMS etabliert. Diese Variante findet man unter anderem auch bei Online-Zahlungen mit PayPal wieder. Einige der etablierten Banken setzen stattdessen nach wie vor auf eigene TAN- bzw. Bestätigungs-Apps, bei denen entweder eine vorab festgesetztes Passwort eingegeben werden muss oder ein Bar- bzw. QR-Code gescannt wird, um eine Zahlung freizugeben. Statt einem Passwort sind aber auch Fingerabdruck- und Gesichtserkennungs-Scans für die Zwei-Faktor-Authentifizierung zugelassen.

Welche Ausnahmen bleiben bestehen?

Auch wenn die neuen Sicherheitsstandards grundsätzlich für alle Zahlungen vorgesehen sind, wird den Banken aber wohl nach wie vor ein gewisser Spielraum gelassen. Das bedeutet, dass die Zwei-Faktor-Authentifizierung unter anderem entfallen könnte, wenn Kunden besonders häufig bei einem bestimmten Anbieter einkaufen und diesen für ihren Zahlungsverkehr “whitelisten” lassen. Ähnlich sieht es wohl auch für Zahlungsvorgänge mit niedrigen Beträgen aus. Ähnlich wie es bereits bei der kontaktlosen Zahlung mit NFC-Karten der Fall ist, könnte auch bei zukünftigen Online-Zahlungen eine Grenze (z. B. 25 €) eingerichtet werden, die Zahlungen ohne die zusätzlichen “Sicherheitshürden” ermöglicht.