Beim Online-Banking ist die Zwei-Faktor-Authentisierung seit Kurzem Pflicht. Die zweite europäische Zahlungsdienstrichtlinie (Payment Service Directive 2, kurz PSD2) ist am 14. September in Kraft getreten. Seitdem gelten beim Bezahlen im Internet strengere Sicherheitsregeln. Bei Online-Überweisungen sind die alten Transaktionsnummern (TANs), die noch auf Listen aus Papier gedruckt und an Kunden verschickt wurden, ungültig. Stattdessen muss diese Nummer für jeden Auftrag erstellt werden und nach kurzer Zeit ihre Gültigkeit verlieren. Damit sollen Kriminelle nicht mehr so einfach unbefugt einkaufen oder fremde Bankkonten leerräumen können.

Doch nicht nur Geld ist schützenswert, sagt Vincent Haupert, Sicherheitschef der Finanzplattform Iconic Finance, Tochterunternehmen der Münchner Allianz-Versicherung. Auch das, was jemand bislang bestellt oder schon einmal gebucht habe, zähle zu den sensiblen Daten. Er ist dafür, dass die Zwei-Faktor-Authentisierung von mehr Diensten und Anbietern genutzt wird. Davon habe auch der Nutzer etwas, denn es könne ihm viel Ärger ersparen, da sein Konto besser vor einem Fremdzugriff geschützt sei.

Statt sich einen Code per SMS schicken zu lassen, kann die Zahlenkombination auch mit einer App auf dem Smartphone oder mit einem speziellen Gerät – einem TAN-Generator – erstellt werden. Eine neue Alternative ist das sogenannte USB-Sicherheitstoken. Dabei handelt es sich um einen speziellen USB-Stick, der an den Computer angeschlossenen sein muss, mit dem man sich in sein Konto anmelden kann – zusätzlich zu Nutzername und Passwort. Fehlt der Stick, bleibt der Zugriff verwehrt. Internationale Unternehmen wie das soziale Netzwerk Facebook, der iPhone-Konzern Apple, der Kurznachrichtendienst Twitter oder der US-Onlinehändler Amazon bieten solche Sicherheitsmethoden bereits länger an.

Deutsche Anbieter sind jedoch zurückhaltend. „Zwei-Faktor-Authentisierung brauchen wir nicht“, sagt ein Sprecher des Hamburger Versandhändlers Otto. Zusätzliche Sicherheitsmaßnahmen ziehen nach Ansicht des Unternehmens den Kauf nur in die Länge und zerstören so einen großen Vorteil des Onlinekaufs, die Bequemlichkeit. Auch das Tochterunternehmen About You und der Online-Versandhändler Zalando verzichten auf die Zwei-Faktor-Authentisierung, weil es zu aufwendig sei. Man glaube nicht, dass Kunden den Zusatzschutz nutzen. Ähnlich sieht es auch das Hotelbuchungsportal HRS. Der Anbieter befürchtet, dass der zweistufige Anmeldevorgang das Buchen des Hotels erschwere, sodass weniger Kunden die Plattform nutzen.

Dabei ist es um die Online-Sicherheit der Deutschen nicht gut bestellt. Laut einer Erhebung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) war bereits knapp jeder vierte Bundesbürger Opfer von Kriminalität im Internet. Dabei handelte es sich am häufigsten um Betrug beim Onlinekauf (36 Prozent), gefolgt vom Ausspähen vertraulicher Daten mit 28 Prozent und Identitätsdiebstahl mit 18 Prozent.

Eine Untersuchung der Universität Potsdam hat zudem ergeben, dass „123456“ das beliebteste Passwort in Deutschland ist, gefolgt von „123456789“ und „1234“. „Schwache Passwörter gleichen Haustüren, an denen von außen ein Schlüssel steckt“, mahnt Professor Christoph Meinel, Direktor des Hasso-Plattner-Instituts (HPI). Er rät, die doppelte Sicherheit bei der Anmeldung so schnell wie möglich zu aktivieren, sobald ein Dienstleister die Option anbietet. Dass sich Unternehmen gegen die Sicherheitsmaßnahme sträuben, kann Meinel nicht verstehen. „Jeder Anbieter sollte dem Nutzer diese Entscheidung überlassen.“ Besonders wichtig sei ein zusätzlicher Schutz bei „allem, was mit Geld, was mit hohem Wert, dem Bereich der Gesundheit oder der Privatsphäre“ zu tun habe. Auch der Verbraucherzentrale-Bundesverband rät, diese zusätzliche Sicherheitsmaßnahme zu nutzen.

Das sehen aber nicht alle so. Die Zwei-Faktor-Authentisierung stehe „im Widerspruch zu den Anforderungen einer guten Nutzererfahrung“, heißt es beim Handelsverband Deutschland (HDE). Gerade beim Onlinekauf sei es von besonderer Bedeutung, den Weg zur Kasse so angenehm wie möglich zu machen. Mache man das Bezahlen für den Kunden weniger bequem, steige die Wahrscheinlichkeit, dass er die Seite verlasse, ohne etwas zu kaufen. Ähnlich sieht das der Bundesverband Onlinehandel. Deswegen setzt sich der Verband dafür ein, dass die zusätzlichen Sicherheitsvorkehrungen bei der Online-Anmeldung nicht auf weitere Plattformen ausgeweitet wird.

In gewissem Umfang versteht auch Iconic-Finance-Sicherheitschef Haupert die Bedenken. Zugleich glaubt er, dass es nur eine Frage der Zeit sei, bis die Zwei-Faktor-Authentisierung flächendeckend angeboten werde. „Wenn es in der Bevölkerung mehr Nachfragen danach gibt, werden die Anbieter dem nachkommen.“