Die Pandemie hat das Verbraucherverhalten nachhaltig verändert: Der bequeme Einkauf im Internet ist bei vielen fester Bestandteil des Alltags geworden, während in der gleichen Zeit der Betrug in erschreckendem Maße zunahm. So erreicht der E-Commerce-Markt in Europa Schätzungen zufolge in diesem Jahr ein Volumen von 465 Milliarden Dollar - 30 Prozent mehr als vor Ausbruch der Pandemie. Gleichzeitig sind die verursachten Verluste durch Cyberkriminalität um über 87 Prozent angestiegen.
Zahlreiche Finanzdienstleister haben daher bereits zusätzliche Authentifizierungsmethoden wie Push-Benachrichtigungen und SMS-OTPs (One-Time Passwords) eingeführt, um die Sicherheit zu verbessern. Doch das führt auch zu Nebenwirkungen, die das Nutzererlebnis beeinträchtigen: Es verstärkt die Kaufabbrüche. Schließlich werden 13 Prozent aller Zahlungen, die über EMVCo 3D Secure - die Sicherheitsspezifikation, die von den meisten großen Banken und Zahlungssystemen verwendet werden - verifiziert werden müssen, am Ende nicht abgeschlossen. 57 Prozent der Verbraucher räumen ein, dass sie ihre Einkäufe schon abgebrochen haben, weil ihnen die Abwicklung zu kompliziert war.
Das macht sich direkt im Umsatz bemerkbar: Laut einer Forrester-Studie entgehen Unternehmen durch Kaufabbrüche jährlich über 18 Milliarden Dollar. Darüber hinaus führen komplexe Abwicklungs- und Registrierungsprozesse dazu, dass immer mehr Verbraucher als Gast einkaufen - bei der Nutzung eines Smartphones sogar noch wahrscheinlicher. Dies bedeutet, dass weniger wertvolle Kundendaten erfasst werden, keine Kundenbindung möglich ist und die durchschnittlichen Warenkörbe kleiner sind, da registrierte Kunden in der Regel mehr ausgeben.
Eine direkte Antwort auf diese Probleme liefert eine neue Lösung: Delegated Authentication. Händler erhalten damit die Kontrolle über den Authentifizierungsprozess und können zudem die Sicherheit sowie die Nutzererfahrung verbessern.
Was ist Delegated Authentication?
Delegated Authentication ist eine neue Entwicklung der Zahlungs- und Authentifizierungsbranche. Die Lösung setzt auf offene Standards und bietet qualifizierten Händlern oder Wallet-Anbietern die Möglichkeit, ihre eigenen Authentifizierungs- oder Anmeldeverfahren zur Genehmigung von Einkäufen zu verwenden. Erstmals können diese jetzt Kundenkonten mit dem 3D-Secure-Zahlungsverifikationsverfahren verknüpfen. Die Nutzer wiederum können sich sicher bei ihrem Händlerkonto anmelden und dieselbe Methode für die Zahlungsfreigabe verwenden. Eine "Step-up"-Authentifizierung erübrigt sich, während gleichzeitig eine sichere Kundenauthentifizierung in nur einem Schritt erfolgt.
Delegated Authentication im Vergleich zu anderen Authentifizierungsmethoden
Die meistverbreitete Methode basiert immer noch auf Passwörtern. Ihre alleinige Nutzung ist jedoch rückläufig, weil die Nachteile für Kunden, Händler und Banken immer offensichtlicher werden: Nicht nur die Benutzerfreundlichkeit, sondern auch die Sicherheit ist schlecht, da Passwörter sehr anfällig für Angriffe wie Phishing sind. Verstärkt wird dies durch mangelnde Passworthygiene, da viele Menschen dieselben Anmeldedaten für verschiedene Konten verwenden.
Lesetipp: Umgang mit Passwörtern mangelhaft
Die gängigsten zusätzlichen Authentifizierungsmethoden sind die erwähnten Push-Benachrichtigungen und SMS-OTPs. Diese führen jedoch häufig zu Kaufabbrüchen und sind anfällig für Social Engineering, bei dem Betrüger Verbraucher dazu verleiten, ihre Einmalpasswörter selbst preiszugeben. Noch ausgefeilter ist das so genannte "SIM-Swapping". Betrüger geben sich dabei mithilfe öffentlich gefundener und/oder durch Social Engineering erzielter Informationen gegenüber den Mobilfunkbetreibern als das Opfer aus und behaupten z. B., das Telefon sei verloren gegangen, um eine neue SIM-Karte für ihre eigenen Zwecke anzufordern.
Für die Benutzererfahrung ist das Senden von Push-Benachrichtigungen an Banking-Apps problematisch. Denn Kunden müssen hierfür die App oder das Gerät wechseln, dadurch wird der Zahlungsfluss unterbrochen und der Vorgang unberechenbar. Zudem ist die Reichweite gering, da schätzungsweise nur die Hälfte der Nutzer eine solche App nutzen.
Die Vorteile von Delegated Authentication
Einhaltung der PSD2-SCA-Richtlinien: Die EU-Zahlungsdienstrichtlinie PSD2 fordert von europäischen Finanzdienstleistern eine starke Authentifizierung (SCA), d. h. sie schreibt die Zwei-Faktor-Authentifizierung (2FA) für Bankdienstleistungen oder Zahlungen vor. Dabei müssen zwei der folgenden Sicherheitsfaktoren erfüllt sein: etwas, das man hat, etwas, das man ist, oder etwas, das man weiß.
Besitz: Der Verbraucher ist im Besitz eines Authenticators, der sich entweder in einem allgemeinen (z. B. Smartphone) oder in einem speziellen Gerät (z. B. Smartcard, Sicherheitsschlüssel) befindet. Die Authentifizierung bestätigt den Besitz über einen privaten Schlüssel, der sicher im Gerät gespeichert ist.
Biometrische Daten oder Wissen: Das zweite Element besteht entweder aus einem inhärenten Faktor wie Biometrie oder Wissen, z. B. eine PIN oder ein geometrisches Muster, das lokal vom Authenticator überprüft wird.
Indem Delegated Authentication die eingehende Bankanfrage mit den Transaktionsdetails verknüpft, können sich die Kunden in einer einzigen Aktion mittels 2FA verifizieren.
Verbesserung der Benutzerfreundlichkeit: 2FA wird allzu oft mit 2SV (zweistufige Verifizierung) verwechselt, bei der die Nutzer zwei separate Aktionen durchführen müssen, um sich zu authentifizieren. Das ist hier jedoch nicht erforderlich: Nutzer können mit einer einzigen Methode zwei Authentifizierungsfaktoren nachweisen.
Da Delegated Authentication auf neuesten Standards basiert, können die Verbraucher zwischen verschiedenen Methoden wählen:
ein in ihr Smartphone integrierter Authenticator
ein Hardware-Token (auch als Sicherheitsschlüssel oder Security Key bekannt).
ein vom Nutzer bereits genutztes Verfahren, z. B. Fingerabdruck, Gesichtserkennung oder eine PIN
Damit ist auch das Problem der uneinheitlichen Benutzererfahrung auf verschiedenen Websites passé. Sie wird planbar, da nicht je nach Wert der Transaktion und sonstigen Ausnahmekriterien eine andere Authentifizierungsmethode verwendet werden muss.
Aufbau von Kundenbeziehungen: Mit Delegated Authentication können Händler die Authentifizierung über ihre eigene Anmeldeplattform anbieten. Dadurch wird den Kunden nicht nur ein besserer, passwortloser Checkout geboten, sondern sie werden auch dazu motiviert, weitere Einkäufe zu tätigen, sofern sie ein Konto bei dem Händler anlegen. Dies kann die Kundenbindung fördern und den durchschnittlichen Warenkorb erhöhen, da eingeloggte Kunden mehr ausgeben. Durch den Aufbau ihres eigenen Kundenstamms erhalten Händler außerdem einen besseren Einblick in das Kundenverhalten und können so ihre Geschäftsmodelle anpassen.
Erhöhung der Sicherheit: Der Einsatz von offenen Standards bedeutet auch, dass Delegated Authentication von einem "Privacy-by-Design"-Ansatz profitiert. Damit ist die Methode sehr widerstandsfähig gegen "Man-in-the-Middle"-Angriffe, bei denen Angreifer sich in die bestehende Kommunikation einschleichen. Je nach Implementierung kann Delegated Authentication auch die verbaute Hardwaresicherheit im Gerät nutzen. Bei einem Smartphone wäre dies die vertrauenswürdige Ausführungsumgebung (TEE), bei PCs in der Regel ein Trusted Platform Module (TPM) und bei Smartcards ein sicheres Element (SE). Die Nutzung der Hardwaresicherheit ist ein weiteres Schlüsselelement des Ansatzes - dadurch werden keine sensiblen Daten an Dritte weitergegeben.
Leicht skalierbare Authentifizierung: Verbreitete Standards werden von allen großen Plattformen unterstützt und lassen sich daher leicht implementieren und skalieren. Zudem kann ein Authenticator, der bei einem Händler registriert ist, auch für einen anderen Händler verwendet werden. Schließlich wird nur der öffentliche Schlüssel an den Händler oder Wallet-Server übertragen, während der private Schlüssel im Authenticator verbleibt. Nutzer benötigen somit nicht für jeden Händler einen eigenen Authenticator und die Händler müssen auch nicht einen separaten Server für die sichere Bereitstellung betreiben. Dies senkt sowohl die Kosten als auch die Komplexität für die Händler und reduziert gleichzeitig das Risiko.
Gängige Lösungen wie Passwörter und SMS-OTPs gewährleisten zwar aktuell die Einhaltung der Vorschriften. Delegated Authentication bietet Händlern und Kunden jedoch eine zukunftssichere Lösung. Denn es könnte durchaus sein, dass weniger sichere Authentifizierungsmethoden langfristig aus den Richtlinien gestrichen werden. (bw)