Online-Shopping: Mehr Sicherheit durch 2-Faktor-Authentifizierung

Online-Shopping: mehr Sicherheit durch kommende 2-Faktor-Authentifizierung
2-Faktor-Authentifizierung wird in verschiedenen Diensten und beim Banking jetzt schon verlangt. Onlinekäufe werden demnächst folgen oder haben den Schritt bereits gemacht.
2-Faktor-Authentifizierung heute
Vor allem beim Onlinebanking kommen Menschen in Kontakt mit der 2-Faktor-Authentifizierung - denn: Seit Herbst 2019 gilt die PSD2, die Zweite Europäische Zahlungsdiensterichtlinie. Neben dem Login müssen Sie sich seitdem gelegentlich noch einmal ausweisen oder bei bestimmten Prozessen, wie Überweisungen, generell. Dort bestätigen Sie beispielsweise Ihre Identität durch den Login und die Überweisung erneut durch eine eindeutige TAN, die Sie erneut freischalten müssen. Von außen ist diese Methode schwer zu knacken, weshalb sie auch für Einkäufe im Internet zum Einsatz kommt.
Eigentlich sollte die PSD2 schon seit Herbst 2019 dafür sorgen, dass die 2-Faktor-Authentifizierung überall im Onlinehandel zum Einsatz kommt. In Deutschland war man jedoch langsamer, die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) schob den Termin um 15 Monate nach hinten. Es reichte also aus, beispielsweise eine Kreditkartennummer plus Prüfziffer einzugeben, um einzukaufen. Seit dem 1. Januar ist dies nicht mehr der Fall. Zu diesem Stichtag waren Händler hierzulande gezwungen, eine starke Authentifizierung - wie die 2-Faktor-Authentifizierung - in ihr Portal zu integrieren.
Das müssen Sie zu den Neuerungen beim Online-Shopping wissen:
So arbeitet die 2-Faktor-Authentifizierung
In der von der EU vorgeschriebenen Richtlinie zeichnet sich die 2-Faktor-Authentifizierung dadurch aus, dass Käufer ihre Identität über zwei von maximal drei möglichen Verfahren beweisen müssen, wenn sie etwas kaufen möchten. Diese drei Verfahren teilen sich in drei Bereiche auf:
- "Wissen" ist die Kenntnis von beispielsweise Passwörtern oder PIN-Codes.
- "Besitz" bezieht sich auf ein Smartphone oder auch eine EC- oder Kreditkarte.
- "Inhärenz" meint biometrische Daten, also vielleicht der Fingerabdruck oder ein Gesichtsscan.
Zwei von diesen drei Faktoren müssen Sie nachweisen können - also etwa die Eingabe eines Passwortes plus Bestätigung durch den Fingerabdruck.Veränderungen bei Zahlungsdienstleistern
Je nach gewählter Methode bemerken Sie vielleicht gar keinen Unterschied zu vorher. Nutzen Sie EC- oder andere Geldkarten sowie vielleicht PayPal oder Klarna, werden Sie die Änderungen spüren. Lastschriftzahlungen sind ausgenommen, da diese vom Händler ausgelöst werden und daher kein Betrugspotenzial besteht.
Begleichen Sie die Rechnung via Onlinebanking, haben Sie ebenfalls nichts zu befürchten. Da in das Banking selbst bereits die 2-Faktor-Authentifizierung eingebaut ist, müssen Sie sich nicht noch einmal zusätzlich ausweisen. Sollten Sie Ihr Smartphone für kontaktlose Käufe nutzen, ändert sich auch nichts: Firmen wie Apple und Google nutzen die 2-Faktor-Authentifizierung ohnehin in ihren Apps und den dazugehörigen Bezahlprozessen.Unterschiede bei der Verwendung von Kreditkarten
Zwar sind die Deutschen nicht unbedingt als Volk bekannt, das Kreditkarten nutzt, aber verwendet wird diese Zahlungsmethode auch hierzulande. Je nach Anbieter und Herausgeber unterscheidet sich der zukünftige Umgang mit der 2-Faktor-Authentifizierung. An dieser Stelle wird es etwas kompliziert: Die Herausgeber - also Banken und Sparkassen etwa - sind verantwortlich für den Prozess der starken Authentifizierung. Allerdings nutzen sie letztendlich in der Regel das 3D-Secure-Verfahren der Anbieter (also MasterCard, VISA und American Express).
Was am Ende in der Praxis genau passiert, bestimmen dann wieder die Banken: Diese werden die 2-Faktor-Authentifizierung via SMS realisieren, über Smartphone-Apps oder TAN-Generatoren, mit Foto-TANs oder klassisch über Onlinebanking. Das genaue Verfahren hängt also von der Bank ab, die Webseite gibt meistens schon Auskunft darüber. Möchten Sie international im europäischen Raum einkaufen und dafür die Kreditkarte verwenden, müssen Sie allerdings die 3DS-Funktionen der Anbieter nutzen - also etwa VISA Secure oder MasterCard Identity Check. Beide Verfahren müssen erst bei der Bank registriert werden.
Immerhin: In all der Verwirrung existieren auch Ausnahmen. Die 2-Faktor-Authentifizierung greift beispielsweise nicht bei Beträgen unter 30 Euro oder bei Abonnements. Banken akzeptieren inzwischen außerdem die Anlage einer Datenbank mit vertrauenswürdigen Händlern. Kaufen Sie dort ein, müssen Sie sich nicht doppelt ausweisen.Banken und der Fremdzugriff auf Kundenkonten
Seit dem bereits erwähnten Herbst 2019 sind Banken gemäß der Zweiten Europäischen Zahlungsdiensterichtlinie verpflichtet, dritten Zahlungsdienstleistern Zugang auf das eigene Bankkonto zu geben. Voraussetzung dafür ist, dass Sie diesem Zugriff vorher zustimmen. Gründe dafür könnten beispielsweise das Abrufen von Kontoinformationen sein, eine Deckungsprüfung oder auch das einfache Auslösen von Bezahlprozessen. In der Praxis tritt dies beispielsweise in Kraft, wenn Sie im Internet etwas einkaufen und sich dafür nicht extra bei Ihrer Bank anmelden möchten.
Drittdienstleister erhalten den Zugang auf Kontoinformationen und die Deckungsprüfung für einen zunächst unlimitierten Zeitraum. Für die Auslösung von Zahlungen muss allerdings jedes Mal erneut eine Genehmigung eingeholt werden. Die Zustimmung bei Ihrer Bank können Sie geben, indem Sie im Onlinebanking in Ihrem persönlichen Bereich die dafür notwendigen Regeln definieren. Dort können Sie diesen Zugriff auch widerrufen. Im Zweifelsfall gilt: Fragen Sie bei der Bank nach, wie Sie Drittanbieter autorisieren können.Ein Blick auf neue Öko-Richtlinien
Änderungen gibt es außerdem im Bereich des Recyclings und der Energieeffizienz zu vermelden. Ab März gilt nämlich die neue Europäische Ökodesign-Richtlinie. Diese verpflichtet Hersteller von bestimmten Geräten dazu, die Produkte recycelfähig zu konstruieren, damit sie länger haltbar und einfacher zu reparieren sind. Zunächst sind vor allem Großgeräte wie Waschmaschinen, Kühlschränke oder Geschirrspüler betroffen, einige kleine Produkte wie Monitore oder Netzteile haben es aber ebenfalls in die Richtlinie geschafft.
Je nach Produktgruppe muss der Hersteller garantieren, Ersatzteile zwischen sieben und zehn Jahre lieferbar zu halten. PC-Monitore etwa fallen in die Sieben-Jahre-Kategorie. Die Uhr tickt erst, wenn das Produkt tatsächlich verkauft ist. Ein Monitor, der drei Jahre im Regal steht und dann von Ihnen gekauft wird, hat also weiterhin die vollen sieben Jahre Gewährleistung. Auch die Lieferfrist ist klar definiert: Ersatzteile müssen in einem Zeitraum von 15 Werktagen geliefert werden können. Außerdem muss "allgemein verfügbares Werkzeug" ausreichen, um die Geräte zu reparieren. Spezialschrauben in Smartphones etwa werden es ab jetzt schwer haben.Veränderte Energielabel
Auch an die Energielabel hat die EU wieder einmal Hand angelegt. Generell entfallen nun alle +-Label, also A+, A++ und so weiter. Die Skala reicht jetzt wieder von A (am besten) bis G (am schlechtesten). Die Anforderungen, die ein Gerät erfüllen muss, um eine bestimmte Richtlinie zu erreichen, wurden jedoch stark verschärft. Wenn Sie noch das alte Label im Handel finden, sollten Sie sich keine Gedanken machen: Der Verkauf von Geräten mit dem alten Aufdruck inklusive +-Zertifizierungen ist noch bis November gestattet.
Die besten Tipps fürs Online-Shopping:
Was sind Cashback-Systeme?
Wahrscheinlich haben Sie schon einmal online eingekauft und sind irgendwann über den Begriff "Cashback" gestolpert. Dieser bezeichnet ein System, das Ihnen nach dem Kauf einen Teil des Einkaufspreises zurückerstattet. Zwei große Varianten sind von diesem Cashback-System im Umlauf:
Gelegentlich bieten Hersteller - also nicht die Verkäufer direkt - eines Produktes Cashback-Aktionen an. Oft passiert das zu Weihnachten, Ostern & Co. oder auch bei wichtigen Jubiläen ("Unser Produkt wird 10 Jahre alt, wir möchten uns bei Ihnen bedanken!"). In der Regel müssen Sie den Kaufbeleg zum Hersteller senden und bekommen dafür dann einen gewissen Betrag - vielleicht fünf Prozent des Kaufpreises - vom Hersteller zurück.
Außerdem gibt es Cashback-Portale wie www.shoop.de und www.aklamio.com/de. Dort registrieren Sie sich zuerst. Danach gehen Sie über diese Portale zu einem Onlineshop und kaufen dort ein. Anschließend bekommen Sie direkt vom Portal eine kleine Gutschrift. Finanziert wird dies vom Onlineshop, der an das Portal eine kleine Provision für die Vermittlungsarbeit erhält. Einen Teil behält das Cashback-Portal, einen Teil bekommen Sie.
Wichtig: Damit letztere Variante funktioniert, sollten Sie auf Werbeblocker verzichten. Ansonsten werden wichtige Cookies nicht gesetzt oder Zugänge zu Onlineshops über die Portale blockiert. Auch der Wechsel auf einen anderen Browser kann nicht schaden, wenn etwas nicht so funktioniert wie geplant. In beiden Fällen können mehrere Wochen vergehen, bevor das Guthaben auf Ihrem Bankkonto eingeht. Ein wenig Geduld ist also generell gefragt.
Cashback-Aktionen existieren nur für Privatkunden. Unternehmen können davon keinen Gebrauch machen. Das ist unter Umständen für Sie wichtig: Bestellen Sie ein Produkt, sollten Rechnungs- und Lieferadresse übereinstimmen. Das ist zum Beispiel nicht der Fall, wenn Sie die Ware bestellen, bezahlen, aber dann zum Arbeitgeber morgens ins Büro liefern lassen. Beim Hersteller-Cashback wollen die Unternehmen in der Regel nämlich einen Nachweis über den Kauf haben - Rechnungen, Lieferscheine oder ähnliche Dokumente. Stimmen die Daten darauf nicht mit den Informationen einer Privatperson überein, stellen sich die Hersteller oft quer.
Hier verstehen selbst große Unternehmen mit einem Milliardenumsatz pro Quartal keinen Spaß: In einem uns bekannten Fall wurde etwa ein Smartphone von Samsung - das Unternehmen veranstaltet regelmäßig Cashback-Aktionen - zum Anlass für eine Verweigerung des Cashbacks. Die Rechnung wurde an eine Privatperson gesendet, die Lieferung erfolgte an den Arbeitsplatz. Nach einigem E-Mail-Verkehr weigerte sich Samsung beharrlich, die Summe auszuzahlen und berief sich dabei auf die Teilnahmebedingungen dieser Cashback-Aktion - womit das Unternehmen auch im Recht ist. Auch Hinweise, dass die Zahlung von einem Privatkonto aus erfolgt ist, konnten Samsung nicht erweichen. Wir wollen mit dieser kleinen Anekdote nicht Samsung in ein schlechtes Licht rücken - denn das Unternehmen hielt sich schlicht an die selbst aufgestellten Teilnahmebedingungen und hat damit kein Unrecht begangen. Verstehen Sie diese Geschichte nur als Hinweis darauf, dass Sie keinesfalls Bestellungen an eine Unternehmensadresse liefern lassen sollten.Praktisch: Aktivierung von Versandbenachrichtigungen
Große Händler bieten oft zahlreiche interessante Funktionen. Amazon beispielsweise liefert Ihnen per SMS-Nachricht aktuelle Daten zur Bestellung - etwa Lieferzeiten oder bei Versandproblemen. Gehen Sie dazu wie folgt vor:
- Gehen Sie auf der Amazon-Webseite auf "Mein Konto" und klicken Sie dann auf "E-Mail-Benachrichtigungen, Mitteilungen und Werbung".
- Dort finden Sie die Option "SMS-Benachrichtigungen". Aktivieren Sie sie, um von den genannten Vorteilen zu profitieren.
Bedenken müssen Sie dabei, dass Sie natürlich Ihre Telefonnummer an Amazon weitergeben müssen. Ob Sie das in Ordnung finden oder nicht, müssen Sie selbst entscheiden. Eine Alternative besteht darin, die Amazon-App auf dem Smartphone zu installieren. Dann bekommen Sie die Nachrichten auch ohne Angabe der Mobilfunknummer.Wann kommt meine Ware an?
Seit langer Zeit streiten Gerichte und Verbraucherzentralen über die Angabe der Liefertermine bei Onlineshops. Beispielsweise ist gesetzlich reglementiert, dass die Aussage "Sofort lieferbar" zu bedeuten hat, dass ein Produkt auch tatsächlich vor Ort im Lager verfügbar und lieferbar sein muss. Trotzdem kommt es immer wieder vor, dass mehrere Tage nichts passiert - obwohl die Ware doch eigentlich lagernd sein müsste. Bedenken Sie zuerst: Auch in solchen Fällen sollten Sie dem Verkäufer eine angemessene Frist setzen, um das Versäumnis nachzuholen. Fehler passieren und nicht jeder Fehler ist gleichzusetzen mit Betrug. Es gilt aber auch: Wenn nach einigen Tagen keine Änderung eintritt, steht es Ihnen frei, vom Vertrag zurückzutreten. Sie bekommen dann die Ware nicht, aber erhalten Ihr Geld zurück.
Falls Sie Waren mit unterschiedlichen Lieferzeiten bestellen, nehmen viele Händler die längste Lieferzeit als Orientierung. Es wird also erst dann alles ausgeliefert, wenn alle Waren vor Ort sind. Gegen Aufpreis - weil jeder Versand einzeln erfolgen muss - können Sie auch jeden Artikel gesondert versenden lassen. Ob Ihnen dies das Geld wert ist, müssen Sie natürlich selbst entscheiden. Übrigens: Die fehlende Angabe eines Liefertermins ist schon seit 2014 nicht mehr zulässig. In diesem Fall hätten Sie es garantiert mit einem unseriösen Onlineshop zu tun.Treuhandkäufe: Was ist das?
Vor allem bei hochpreisigen Gegenständen - Uhren, Schmuck - bieten viele Händler Treuhandkäufe an. Das erhöht die Sicherheit beträchtlich, wenn es um hohe Summen geht. Kennen Sie den Händler nicht, werden Sie nämlich wahrscheinlich Bedenken haben, mehrere Tausend Euro für eine Uhr zu überweisen. Ein gewisses Risiko bleibt immer bestehen: Wird die Ware geliefert? Ist der Zustand makellos wie beschrieben? Gibt es den Onlineshop überhaupt? Ein Treuhandservice nimmt Ihnen diese qualvollen Fragen ab.
Ein recht bekannter Onlineshop für Uhren - www.chrono24.de - kann uns hier als Beispiel dienen: Dort treten gewerbliche Verkäufer und Juweliere auf und selbst Privatpersonen können über die Plattform den Verkauf teurer Uhren oder anderer Gegenstände in die Wege leiten. Das funktioniert sogar weltweit - was das Risiko nochmals drastisch erhöht. Aus diesem Grund gibt es den Treuhandservice dieser Plattform: Der Kaufpreis wird nicht direkt an einen Händler überwiesen, sondern auf das Treuhandkonto von chrono24. Der Verkäufer muss dann die bestellte Ware an den Käufer versenden. Kommt die Ware beim Käufer an, gibt dieser eine Bestätigung an die Plattform weiter. Anschließend bekommt der Verkäufer sein Geld.
Mehr Sicherheit werden Sie beim Abwickeln von hochpreisigen Zahlungen im Internet wahrscheinlich nicht finden. Betrug könnte noch immer geschehen - wenn die Plattform selbst nicht vertrauenswürdig ist -, aber die Wahrscheinlichkeit dafür sinkt drastisch.Sicherheit beim Onlineshopping: SSL und WLAN
Sie sollten nie in einem Onlineshop einkaufen, dessen URL nicht mit https beginnt. Auf das "s" am Ende kommt es an: Es stellt sicher, dass das Secure-Socket-Layer-Protokoll - SSL - zum Einsatz kommt, um Überweisungen zu verschlüsseln. Es ist damit ausgeschlossen, dass jemand an die Zahlungsinformationen kommt (außer der Anbieter selbst).
Aufpassen sollten Sie auch bei öffentlichen WLAN-Netzwerken. Die sind zwar bequem, aber Sie wissen nie, wer in diesem Netzwerk vielleicht unterwegs ist und Ihre Daten abgreift. Deaktivieren Sie für wichtige Aufgaben daher die WLAN-Verbindung und nutzen Sie stattdessen den Mobilfunk. So sind Sie garantiert auf der sicheren Seite.Ratenkauf: Empfehlenswert oder nicht?
Generell gilt: Nach Möglichkeit sollten Sie natürlich nie auf Raten kaufen. Normalerweise verteuern Sie dadurch nämlich das Produkt, weil am Ende der Vertragslaufzeit einige Prozent Aufschlag auf den Preis kommen. Außerdem müssen Sie kreditwürdig sein, es wird also eine Bonitätsprüfung durchgeführt.
Beeinflusst wird der Preis unter anderem von der Laufzeit, denn manche Händler sind flexibel. Es gilt: Kürzere Laufzeiten sind günstiger. Sie sollten daher lieber drei Monate als 24 Monate wählen. Beachten Sie außerdem Zusatzangebote, die Sie nicht brauchen, die Ihnen aber trotzdem angeboten werden. Dazu zählen etwa diverse Versicherungen für den Transport oder Langzeitgarantie. In der Regel verteuern Sie das Produkt damit nur unnötig.