Betrug minimieren, Sicherheit maximieren

Biometrie im E-Commerce



Ralf Gladis ist Mitgründer und Geschäftsführer des internationalen Payment Service Providers Computop – the payment people. Er ist verantwortlich für die internationale Expansion und die strategische Ausrichtung von Computop.
Geringe Betrugsraten steigern sowohl die Kundenzufriedenheit als auch den Umsatz. Neue Technologien ohne Passwörter schaffen die Voraussetzungen.
Das Entsperren des Smartphones via Gesichtsscan kann im E-Commerce eingesetzt werden. Dann muss man sich keine Nutzerkennung-Passwort-Kombinationen mehr merken.
Das Entsperren des Smartphones via Gesichtsscan kann im E-Commerce eingesetzt werden. Dann muss man sich keine Nutzerkennung-Passwort-Kombinationen mehr merken.
Foto: Prostock-studio - shutterstock.com

Sicherheit ist ein menschliches Grundbedürfnis, dessen Befriedigung sich in ungeheurer Vielfalt in unserem Alltag manifestiert. Egal, ob wir unseren nächsten Autokauf vorbereiten, einen Partner wählen oder unsere Altersvorsorge planen – wir sehnen uns stets nach einem gewissen Mindestmaß an Sicherheit und schätzen das Gefühl, sorglos auf jene Teilbereiche unseres Lebens blicken zu können, die sie uns bieten. Folgerichtig sollte es das Ziel eines jeden Unternehmens sein, dieses elementare Verlangen auch im Geschäftsmodell zu verankern.

Das gilt gerade im E-Commerce, bei dem Sicherheit nicht nur auf Kunden-, sondern auch auf Händlerseite einen enormen Stellenwert einnimmt. Kundendaten, insbesondere die Zahlungsdaten, sind heilig und sollten um jeden Preis geschützt werden. Wer ein Höchstmaß an Sicherheit mit außergewöhnlichem Komfort verbinden kann, minimiert Betrug, steigert die Konversion und pflegt nicht zuletzt seine Marke.

Lesetipp: Die Herausforderungen der Biometrie

Mehr Sicherheit bedeutet mehr Umsatz

Das mag zunächst verwundern, denn alljährlich lesen wir in den Nachrichten Statistiken, in denen wir erschreckende Einblicke erhalten, wie fahrlässig die Menschen im Internet mit ihrer Sicherheit umgehen. Inzwischen dürfte weithin bekannt sein, dass die übliche Kombination aus Passwort und Nutzernamen (oder E-Mail), die Online-Konten im Regelfall schützt, möglichst komplex sein sollte. Dennoch bedienen sich viele User ihrer Geburtsdaten, der Namen ihrer Lebenspartner und Haustiere oder anderen leicht zu erratenden Codes. Meist muss diese Kombination dann noch für alle Accounts gleichzeitig herhalten, von Amazon bis Zalando. Sicher geht anders.

Ist den Menschen Sicherheit also doch nicht so wichtig? Nein, im Gegenteil. Doch der Aufwand, sich etliche Passwörter und Nutzernamen zu merken, verhindert einen bewussteren Umgang mit der Thematik. Ebenso viele Menschen verspüren den Wunsch schlank und sportlich zu sein, bringen aber nicht die nötige Disziplin auf oder finden schlicht und ergreifend nicht die Zeit, um in Form zu kommen.

Das ist ein Grund, warum vermeintliche Schlankheitskuren und Diäten beständig riesige Umsätze generieren, obwohl sie in den seltensten Fällen funktionieren. Allein das Versprechen wirkt unglaublich verlockend. Was jedoch, wenn es im Bereich Online-Sicherheit wirklich ein Mittel gäbe, das zuverlässig und erwiesenermaßen wirkt? Könnte es sich ein Unternehmen leisten, darauf zu verzichten?

Argument für Kundenbindung

In der Tat haben Firmen mächtige Argumente in der Hand, das Kundenvertrauen zu erhöhen und sich von der Konkurrenz abzuheben, sofern sie neueste Sicherheitsmechanismen anwenden. Die Zauberworte heißen Biometrie und starke Kundenauthentifizierung.

Mit der zunehmenden Verbreitung von biometrischen Logins gibt es Alternativen, die sowohl die Passworteingabe obsolet machen als auch höchstmögliche Sicherheit garantieren. Wer einfach seinen Daumen auf einen Fingerabdrucksensor legt, muss sich keine lästigen Passwort-Nutzername-Kombinationen mehr merken, geschweige denn ausdenken. So ist der Kunde komfortabel und zugleich sicherer im Netz unterwegs.

Lesetipp: "Das Bargeld wird verschwinden"

Bei einer guten Biometrielösung wird weder ein Passwort auf dem Server des Händlers abgelegt, noch verlässt ein rekonstruierbares Abbild des Fingerabdrucks, der Stimme oder des Gesichts das Gerät, mit dem es aufgezeichnet wurde. Folgerichtig kann selbst bei einem Datenleck des Händlers kein Schaden entstehen, denn modernste Lösungen, die mit dem FIDO-Standard arbeiten, funktionieren äußerst ausgeklügelt.

Verfügbar auf sämtlichen Geräten

Wer über FIDO bereits alles weiß, kann gleich mit der nächsten Überschrift weitermachen. Doch es ist wichtig zu verstehen, was hinter dem Akronym steckt. Es steht für Fast Identity Online. Dabei handelt es sich um einen Branchenverband, der sich seit 2012 damit beschäftigt, die weltweit gängigen Standards zur auf Biometrie basierenden Identifizierung von Online-Usern zu definieren und damit die Abhängigkeit von Passwörtern zu reduzieren.

Dafür arbeiten führende Unternehmen der Szene zusammen, unter anderem Infineon, PayPal, Microsoft, Mastercard und Visa. Der Verband vergibt Zertifikate, die verbriefen, dass diese definierten Standards eingehalten werden. So können Nutzer und Anbieter von Online-Services gleichermaßen auf ein Höchstmaß an Sicherheit und Komfort vertrauen.

Lesetipp: "Bald beeinflussen Alipay und WeChat das Bezahlen"

Und diese Standards, namentlich FIDO2/WebAuthn, haben es in sich. FIDO2 sorgt für die Authentifizierung im Internet und stellt eine fortschrittlichere und sicherere Alternative zu den klassischen Passwörtern dar. Es besteht aus zwei Komponenten: Einer API namens WebAuthn, die sicherstellt, dass FIDO auf allen Browsern und Web-Plattform-Infrastrukturen nutzbar ist und einem Protokoll namens CTAP, das dafür sorgt, dass die verschlüsselte und sichere Authentifizierung auf allen möglichen Geräten funktioniert. Das können spezielle USB-Sticks, NFC-Geräte, Bluetooth-Zubehör oder aber normale PCs, Laptops, Tablets und Smartphones sein.

Gigantisches Sparpotenzial bei hoher Sicherheit

Werden die entsprechenden Standards genutzt, können sich Kunden deutlich sicherer und wesentlich einfacher in ihre Online-Konten einloggen als mit Passwörtern. Dadurch sind Konten, Kunden und Händler vor den gigantischen Schäden geschützt, die durch die veraltete Methode entstehen. Beispiel Microsoft: Der Software-Gigant musste 2017 in einem einzigen Monat 686.000 Passwörter zurücksetzen. Die Kosten beliefen sich auf knapp über 12 Millionen Dollar.

Kein Passwort bedeutet auch, dass Phishing-Mails ins Leere laufen. Sie installieren oftmals über Tricks Malware, die dazu entworfen wurde, die Tastatureingaben des Users auszulesen und so an Passwörter zu gelangen. Mit biometrischen Lösungen geht das nicht - sofern sie so ausgeklügelt sind wie FIDO2.

Fingerabdrücke, Gesichtsscans oder Stimmaufnahmen, die zur biometrischen Authentifizierung genutzt werden, verlassen niemals das Gerät, auf dem sie aufgezeichnet wurden
Fingerabdrücke, Gesichtsscans oder Stimmaufnahmen, die zur biometrischen Authentifizierung genutzt werden, verlassen niemals das Gerät, auf dem sie aufgezeichnet wurden
Foto: HQuality - shutterstock.com

Denn die Fingerabdrücke, Gesichtsscans oder Stimmaufnahmen, die hierbei zur biometrischen Authentifizierung genutzt werden, verlassen niemals das Gerät, auf dem sie aufgezeichnet wurden. Genauso wichtig: Sie werden nicht als Abbilder der Originale gespeichert, sondern unumkehrbar in Hash-Werte verschlüsselt. So lassen sich keine Rückschlüsse auf das ursprüngliche Merkmal treffen. So kann ein Fingerabdruck nicht geklaut werden.

Delegated SCA - Der Use Case für Onlinehändler

Händler können sich im E-Commerce diese Technologie ganz gezielt zunutze machen, denn die neuen Regelungen der PSD2, Visa und MasterCard erlauben eine Delegation der sicheren Kundenauthentifizierung (SCA) von den Banken zu den Händlern. Wer sich also online mit zwei von drei Faktoren (Wissen, Besitz, Inhärenz) authentifiziert, muss das nicht zwingend im Bezahlprozess erledigen. Wenn sich der Kunde beim Bezahlprozess authentifizieren muss, führt das zu vermehrten Bestellabbrüchen.

Deshalb empfiehlt sich, dass Händler eine von FIDO zertifizierte Lösung implementieren, die dann auch den Vorgaben der PSD2 und der Card Schemes gerecht wird. Sie ist mit vergleichsweise geringem Aufwand umsetzbar, denn der Handel kann Biometrie als Internet-Service nutzen. Eigene Biometrie-Server in hochsicheren Rechenzentren sind nicht nötig.

Lesetipp: Darum hat Ebay die Kooperation mit PayPal aufgekündigt

Der Vorteil für den Kunden: Er muss sich nur einmal authentifizieren und zwar im Zuge des Logins beim Händler. Ist der Kunde ordnungsgemäß authentifiziert, sendet der Händler einen Flag an die Bank, wodurch dem Käufer jeder zusätzliche Authentifizierungsschritt erspart bleibt. Diese Herangehensweise sorgt für weniger Hürden beim Einkaufsvorgang und letztlich einem nahezu unterbrechungsfreien Shopping-Erlebnis. Kaufabbrüche können so gesenkt werden.

Gleichzeitig wandert bei einer fortschrittlichen und entsprechend zertifizierten Biometrie-Lösung keine sensible Information zum Händler, wodurch das Vertrauen auf Kundenseite erhöht wird und damit nicht zuletzt auch die Markenbildung des Händlers profitiert. Zudem ist für den Kunden kein UI-Bruch zu erkennen. Die Benutzeroberfläche unterscheidet sich nicht von seinen Gewohnheiten und ist an die Erfahrung angepasst, die er von dem Gerät gewohnt ist, das er am liebsten zum Online-Kauf nutzt. So fügt sich der Prozess natürlich in den Alltag des Users ein, der Biometrie beispielsweise schon direkt nach dem Aufstehen nutzt, wenn er per Fingerabdruck oder Gesichtsscan das Gerät entriegelt, mit dem er die Nachrichten oder Mails checken will.

Gut für beide Parteien ist auch die Tatsache, dass FIDO2 über zahlreiche Geräte hinweg funktioniert. Und das nicht nur mit integrierten Verschlüsselungslösungen wie den geschützten Bereichen in Smartphones, Tablets oder Computern, in denen die Fingerabdrücke oder Gesichtsscans nicht rekonstruierbar abgelegt werden, sondern auch über externe, zertifizierte Geräte.

Will ein Nutzer sich im Browser auf einem Computer authentisieren, der keine integrierte Möglichkeit besitzt, biometrische Merkmale sicher abzufragen und zu speichern, so kann er theoretisch auch sein Smartphone mit dem Gerät koppeln und sich so ausweisen. Weitere Möglichkeiten bestehen beispielsweise über gekoppelte Bluetooth-Geräte, die biometrische Merkmale verifizieren. Die Auswahl ist bereits enorm. Moderne Zahlungsdienstleister sind schon jetzt in der Lage, Händlern unkompliziert den Sprung in diese passwortlose Zukunft zu ermöglichen.

Dank biometrischer Authentifizierung über Gesicht, Fingerabdruck oder Stimme öffnen sich auch völlig neue Möglichkeiten für die Einkaufskanäle der Zukunft. So werden wir nicht mehr in die Tankstelle gehen müssen, um zu bezahlen, sondern Transaktionen hochsicher verschlüsselt und biometrisch im Cockpit bestätigen, sofern das Auto über die passenden Sensoren verfügt.

Auch Augmented-Reality-Brillen oder VR-Geräte profitieren von den neuen Optionen. Sie könnten ebenso Transaktionen über Stimmerkennung anstoßen. Ein Geschäftsfeld, für das sich diese Variante geradezu anbietet, ist der Voice Commerce, also Transaktionen, die über Smartspeaker wie Amazon Echo oder Google Home angestoßen werden.

Die Zukunft des Payments läuft ohne Passwort ab

Wenn Sicherheit und Komfort einhergehen und zu einer Technologie führen, die für einen Teilbereich des Lebens beide Elemente auf ein neues Level hebt, dann sind Schlagworte wie Disruption nicht weit. Lassen Sie uns an dieser Stelle jedoch nüchtern bleiben und festhalten: Technologie (Biometrie), regulatorische Rahmenbedingungen (PSD2) und inzwischen erarbeitete Standards (FIDO2) gehen Hand in Hand und weisen klar den Weg in die Zukunft.

Und die wird weitgehend ohne Passwörter auskommen, zum Wohl von Händlern und auch Kunden. Dabei ist die Hürde, diesen Sprung nach vorne auch durchzuführen, für alle Seiten gering. Anders als bei anderen Heilsbringertechnologien, die an der geringen Verbreitung spezialisierter Hardware scheitern, haben die meisten Kunden den Schlüssel zur Zukunft im wahrsten Sinne des Wortes bereits in der Hand: ihr Smartphone.

Das Entsperren über den Fingerabdruck oder den Gesichtsscan ist inzwischen für viele Menschen integraler Bestandteil des alltäglichen Lebens und wird mit einem hohen Maß an Sicherheit verbunden. Dieses Gelernte künftig im Onlineshop anwenden zu können, führt deshalb ganz selbstverständlich zu einem höheren Kundenvertrauen und damit stärkerer Kundenbindung. Dass dank SCA Delegation auch noch der Händler profitieren und seine Konversionsrate erhöhen kann, zeigt nur umso deutlicher, warum der Biometrie künftig erhebliche Relevanz zukommen wird.

Zur Startseite