EHI-Studie

Wie ePayment sicherer wird

Ronald Wiltscheck widmet sich bei ChannelPartner schwerpunktmäßig den Themen Software, KI, Security und IoT. Außerdem treibt er das Event-Geschäft bei IDG voran. Er hat Physik an der Technischen Universität München studiert und am Max-Planck-Institut für Biochemie promoviert. Im Internet ist er bereits seit 1989 unterwegs.
Das Dilemma kennen wir alle: starke Sicherheit wird mit großem Aufwand erkauft. Wir müssen uns lange, komplizierte Passwörter merken, bequem ist das nicht. Dies gilt auch beim Bezahlen im Webshop, oder?
Immer mehr Menschen kaufen im Internet ein - komfortabel und unkompliziert.
Immer mehr Menschen kaufen im Internet ein - komfortabel und unkompliziert.
Foto: Kaarsten / Fotolia

Immer mehr Menschen kaufen im Internet ein - komfortabel und unkompliziert. Ein Dilemma ergibt sich oft erst beim Bezahlen. Sicherheit und Schnelligkeit sind für Händler wie für Kunden gleichermaßen entscheidend für die Wahl der Bezahlmethode. Die Sicherheit von elektronischen Zahlungen im Onlinehandel soll durch eine stärkere Authentifikation erhöht werden, so die Empfehlung von SecuRe Pay (European Forum on the Security of Retail Payments) unter dem Vorsitz der EZB, welche bis zum 1.Februar 2015 umgesetzt werden soll.

EHI-Online-Payment-Experte Tim Kiesewetter warnt davor, dass zu komplexe Autorisierungsmethoden die Bedienbarkeit für den Kunden einschränken und sich dadurch negativ auf den Online-Handel auswirken: "Was für Mitglieder des Forums unbedingt notwendig erscheint, kann den Kunden leicht überfordern. Die Herausforderung besteht darin, Sicherheit auf der einen Seite mit Einfachheit und Verständlichkeit auf der anderen Seite in Einklang zu bringen."

Sichere oder bequeme Bezahlung?

Sicherheit ist nach Ansicht der Online-Händler nach wie vor der wichtigste Faktor für den Erfolg eines Zahlungssystems, das geht aus der EHI-Studie "Kartengestützte Zahlungssysteme im Einzelhandel 2014" klar hervor. Auf der anderen Seite mag der Kunde es schnell und unkompliziert, Express-Checkout-Verfahren liegen beim Bezahlen des Onlinekaufs ganz vorne. Laut "EHI Online-Payment-Studie 2014" zahlen Kunden in Deutschland am liebsten mit Rechnung (25,4 Prozent), PayPal (19,9 Prozent) und Lastschrift (19,3 Prozent), weil diese Methoden schnell und ohne große Dateneingabe funktionieren.

EHI-Online-Payment-Experte Tim Kiesewetter warnt davor, dass zu komplexe Autorisierungsmethoden die Bedienbarkeit für den Kunden einschränken und sich dadurch negativ auf den Online-Handel auswirken.
EHI-Online-Payment-Experte Tim Kiesewetter warnt davor, dass zu komplexe Autorisierungsmethoden die Bedienbarkeit für den Kunden einschränken und sich dadurch negativ auf den Online-Handel auswirken.
Foto: EHI Retail Institute

Auch in dieser Studie wird deutlich, wie relevant die Sicherheit ist - 77,1 Prozent der befragten Online-Händler glauben, dass Sicherheit für die Kunden das wichtigste Kriterium eines Zahlungsverfahrens ist. Allerdings meinen auch 94,3 Prozent, dass die Usability, also die einfache Bedienung eines Verfahrens, für den Kunden entscheidend ist.

Der-Faktor-Authentifizierung: Passwort, Gerät und biometrisches Merkmal

Die Empfehlungen von SecuRe Pay beinhalten die Forderung, dass Kunden ihre Authentizität durch mindestens zwei der drei folgenden Kriterien belegen:

  • etwas, das nur der Kunde weiß (z.B. Passwort)

  • etwas, das nur im Besitz des Kunden ist (z.B. Smartphone)

  • etwas, das elementar zum Kunden gehört (z.B. Fingerabdruck)

Online-Händler verlangen immer seltener Gebühren für die diversen Bezahlarten. Quelle: EHI Retail Institute, 2014
Online-Händler verlangen immer seltener Gebühren für die diversen Bezahlarten. Quelle: EHI Retail Institute, 2014
Foto: EHI Retail Institute

Fast alle Händler äußerten in der Online-Payment-Befragung, dass sie Software-basierte Authentifizierungsmöglichkeiten für praxistauglich halten. Zwei Drittel sehen dies auch bei Handy-basierten Möglichkeiten. Hardware- und Biometrie-basierte Verfahren beurteilen sie in der Mehrzahl allerdings nicht als praxistauglich.

Die SecuRe-Pay-Empfehlungen sind nach dem "Comply or Explain"-Prinzip entworfen. Man kann als betroffenes Unternehmen die Anforderungen annehmen bzw. erfüllen oder erläutern, warum man die geforderten Ziele auch ohne die Erfüllung der Anforderungen erreicht. Letzteres hat beispielsweise PayPal in seiner Stellungnahme benutzt. Das System sei durch Backend-Prozesse (Risikoeinschätzung und Authentifizierung) durchaus in der Lage, den Anspruch an starke Kunden-Authentifikation auch ohne die geforderten zwei von drei Kriterien zu erfüllen.

"Dies zeigt, dass eine alternative ganzheitliche Betrachtung des Themas mit Backend und Frontend nötig ist, " so Tim Kiesewetter. "Wir als EHI favorisieren Software-basierte Lösungen und einen gesunden Trade-off zwischen Sicherheit, Kundennutzung und Kosten."

Zur Startseite