News
01.10.2019, 06:31 Uhr
Online-Händler drücken sich vor 2FA
Kaum ein grosser Online-Händler oder ein Buchungsportal in Deutschland will seinen Kunden mehr Sicherheit beim Log-in ins Kundenkonto anbieten. Auch About You und Zalando verzichten auf 2FA.
Kaum ein grosser Online-Händler oder ein Buchungsportal in Deutschland will seinen Kunden mehr Sicherheit beim Log-in ins Kundenkonto durch die Zwei-Faktor-Authentifizierung (2FA) anbieten. Bei 2FA benötigen Kunden neben Anmeldename und Passwort einen zusätzlichen Sicherheitsfaktor, etwa einen Einmal-Code. Firmen und Verbände befürchten wirtschaftliche Einbussen oder gehen davon aus, dass Nutzer kein Interesse an 2FA haben.
Nutzer von Online Banking oder Menschen, die im Internet einkaufen gehen, kennen 2FA bereits: Seit Mitte September gilt in der EU die gesetzliche Pflicht zur «starken Kundenauthentifizierung», also 2FA. Neben den üblichen Anmeldeinformationen muss eine einmalige Transaktionsnummer (TAN) angefordert werden, etwa per SMS an eine zuvor bei der Bank hinterlegte Handynummer. Gedruckte TAN-Listen sind nicht mehr gültig. Damit sollen Kriminelle nicht mehr so einfach unbefugt einkaufen gehen oder fremde Bankkonten leerräumen können.
Doch nicht nur Geld ist schützenswert, sagt der Sicherheitschef der Allianz-Tochter IconicFinance, Vincent Haupert. «Auch Bestell- und Buchungshistorien oder die Anschrift sind sensible Daten.» Er plädiert für eine breitere 2FA-Implementierung: «Aus Nutzersicht ist das sehr attraktiv, damit man erst gar keinen nachfolgenden Ärger, etwa mit Identitätsdiebstahl, hat.»
Nutzer von Online Banking oder Menschen, die im Internet einkaufen gehen, kennen 2FA bereits: Seit Mitte September gilt in der EU die gesetzliche Pflicht zur «starken Kundenauthentifizierung», also 2FA. Neben den üblichen Anmeldeinformationen muss eine einmalige Transaktionsnummer (TAN) angefordert werden, etwa per SMS an eine zuvor bei der Bank hinterlegte Handynummer. Gedruckte TAN-Listen sind nicht mehr gültig. Damit sollen Kriminelle nicht mehr so einfach unbefugt einkaufen gehen oder fremde Bankkonten leerräumen können.
Doch nicht nur Geld ist schützenswert, sagt der Sicherheitschef der Allianz-Tochter IconicFinance, Vincent Haupert. «Auch Bestell- und Buchungshistorien oder die Anschrift sind sensible Daten.» Er plädiert für eine breitere 2FA-Implementierung: «Aus Nutzersicht ist das sehr attraktiv, damit man erst gar keinen nachfolgenden Ärger, etwa mit Identitätsdiebstahl, hat.»
Unterschiedliche Formen von 2FA
2FA gibt es in unterschiedlichen Formen. In einem optimierten Szenario verfügt der Kunde neben dem Anmeldename und Passwort als sogenanntes Wissenselement auch über ein Besitzelement. Dies kann ein Smartphone oder ein Schlüssel sein. Beim Smartphone wird dann ein sechsstelliger Code entweder per SMS zugestellt oder in einer Generator-App erstellt. Der individuelle Code kann beliebig oft angefordert werden und ist jeweils nur einmalig gültig. Internationale Unternehmen wie Facebook, Apple, Twitter oder Amazon bieten 2FA bereits länger an.
Deutsche Anbieter sind dagegen zurückhaltender. «Zwei-Faktor-Authentisierung brauchen wir nicht», sagt ein Sprecher des Hamburger Versandhändlers Otto. Das Unternehmen vertraue stattdessen auf «diverse technische Massnahmen». Durch 2FA dauere der Kaufvorgang länger, so sei das Kauferlebnis unattraktiver. Auch die Otto-Tochter About You und Zalando verzichten auf 2FA. «Das wäre zu aufwendig für unsere Kunden», sagt eine Sprecherin von About You. Man glaube nicht, dass Kunden den Zusatzschutz nutzen würden. Zalando verweist auf das «eigene, komplexe Datensicherheitssystem».
Deutsche Anbieter sind dagegen zurückhaltender. «Zwei-Faktor-Authentisierung brauchen wir nicht», sagt ein Sprecher des Hamburger Versandhändlers Otto. Das Unternehmen vertraue stattdessen auf «diverse technische Massnahmen». Durch 2FA dauere der Kaufvorgang länger, so sei das Kauferlebnis unattraktiver. Auch die Otto-Tochter About You und Zalando verzichten auf 2FA. «Das wäre zu aufwendig für unsere Kunden», sagt eine Sprecherin von About You. Man glaube nicht, dass Kunden den Zusatzschutz nutzen würden. Zalando verweist auf das «eigene, komplexe Datensicherheitssystem».
HRS, Lufthansa, Deutsche Bahn
Laut Digitalbarometer 2019 war bereits knapp jeder Vierte Opfer von Kriminalität im Internet. Dabei handelte es sich am häufigsten um Betrug beim Online Shopping (36 Prozent), gefolgt vom Ausspähen vertraulicher Daten, sogenannte Phishing-Fälle, mit 28 Prozent. Identitätsdiebstahl wurde von 18 Prozent der Befragten genannt.
Aber nicht nur Online-Versandhändler verzichten auf Zwei-Faktor-Logins. Das Hotelbuchungsportal HRS bietet keine 2FA an mit der Begründung, die Zahlung erfolge bei Abreise oder über einen externen Dienstleister. HRS befürchtet, dass der zweistufige Anmeldungsvorgang den Buchungsvorgang «massiv erschwere» – also dass weniger Menschen buchen.
Aber nicht nur Online-Versandhändler verzichten auf Zwei-Faktor-Logins. Das Hotelbuchungsportal HRS bietet keine 2FA an mit der Begründung, die Zahlung erfolge bei Abreise oder über einen externen Dienstleister. HRS befürchtet, dass der zweistufige Anmeldungsvorgang den Buchungsvorgang «massiv erschwere» – also dass weniger Menschen buchen.
Kommentare
Es sind keine Kommentare vorhanden.
