Die Europäische Bankenaufsichtsbehörde (EBA) verlangt von Zahlungsdiensten vor der Abwicklung von Online-Zahlungen eine strenge Kundenauthentifizierung durchzuführen. Um die angegebene Identität zu bestätigen, müssen sich die Nutzer anhand von mindestens zwei spezifischen Merkmalen ausweisen können. Zur Auswahl stehen entweder eine Information wie ein statisches Passwort, ein Gerät, das nur der Nutzer besitzt, wie zum Beispiel ein Mobiltelefon oder eine biometrisches Merkmal des Nutzers, etwa ein Fingerabdruck. Der erste Stichtag zur Umsetzung der neuen Richtlinie ist der 1. August 2015.

Auch in Ländern außerhalb der EU sind ähnliche Regelungen bereits in Kraft getreten oder werden wahrscheinlich bald eingeführt. Nexmo, ein Anbieter von Cloud-Kommunikationslösungen hat Tipps zur Implementierung der Multifaktor-Authentifizierung zusammengestellt.

1. Beachten Sie länderspezifische Vorschriften
Es existieren unzählige länderspezifische Bestimmungen, die eingehalten werden müssen, damit eine SMS ankommt. In Deutschland beispielsweise erhält nur derjenige eine Telefonnummer mit deutscher Ländervorwahl, wenn die betreffende Person oder das betreffende Unternehmen einen Wohn- oder Geschäftssitz im Land vorweisen kann. Manche Länder wie zum Beispiel Frankreich verlangen alphabetische Absender-IDs. Weitere Informationen über länderspezifische Vorschriften hat Nexmo in einer Wissensdatenbank gesammelt.  

2. Verifizieren Sie, ob Ihre Nachrichten ankommen oder gelesen werden können
Es gibt viele Situationen, in denen SMS-Nachrichten nicht funktionieren: Entweder ist der Empfänger nicht in der Lage, die SMS zu lesen, wie beispielsweise Menschen mit einer Sehstörung oder Leseschwäche. Hier wären Sprachnachrichten (text-to-speech) die passende Alternative zur klassischen SMS. Oder die angegebene Nummer ist überhaupt keine Mobilnummer, sondern eine Festnetz- oder Faxnummer. Das müssen Sie verifizieren, denn in diesem Fall kommt die SMS gar nicht erst an, was ins Geld gehen kann. Auch VoIP-Nummern, die gerade von Betrügern eingesetzt werden, können nicht eindeutig einem Endgerät zugeordnet werden. Somit bleibt auch hier unklar, ob ein Verfizierungscode angezeigt werden kann. Sie werden ebenso aussortiert.

3. Bieten Sie mehrsprachigen Support an
Support in mehreren Sprachen anzubieten ist unproblematisch, wird aber häufig vergessen. Sparen Sie nicht an der falschen Stelle - billige Übersetzungen können zu einer schlechten Customer Experience führen und Kunden abschrecken.

4. Setzen Sie ein Zeitlimit
Arbeiten Sie mit Zeitalgorithmen wie RFC6238, die Verifizierungscodes löschen, falls diese nicht innerhalb eines bestimmten Zeitraums genutzt werden. Wenn die Codes nicht nach einer angemessenen Zeit ungültig werden (Fünf Minuten sind empfehlenswert), können Spammer sie sammeln und in Ihren Dienst eindringen.

5. Behalten Sie Ihre Conversion-Rates im Blick
Überprüfen Sie Ihre Conversion-Rates, sobald Ihre Mehrfaktor-Lösung im Einsatz ist  und treffen Sie gegebenenfalls entsprechenden Maßnahmen. Ist das Zeitfenster zu klein? Sind Ihre PIN-Codes zu lang? Sicherheit ist wichtig, doch die User Experience auch.

Bildergalerie

Zehn Mobile Payment Apps im Vergleich