Welche Implikationen wird die PSD2 haben? Und wie wirkt sie sich auf die Wettbewerbssituation von Handelsunternehmen und Banken aus? Das sind Fragen, die sich im Voraus allenfalls näherungsweise beantworten lassen. Klar ist: Bequemlichkeit ist Trumpf. Nur derjenige, dem es gelingt, die ab September geltenden Sicherheitsvorgaben zur Zwei-Faktor-Authentifizierung nutzerfreundlich umzusetzen, wird sich damit am Markt durchsetzen können. Und hier haben biometrische Verfahren vermutlich die größte Aussicht auf Akzeptanz beim Kunden.
Biometrie noch wenig genutzt
Noch sind solche Verfahren allerdings nicht weit verbreitet. Das geht aus einer im April veröffentlichten PwC-Studie zum Thema Biometrie hervor. Demnach haben 63 Prozent der Befragten noch nie ein biometrisches Merkmal genutzt, um sich beim Online-Banking oder einer Banking-App anzumelden oder ein Bankgeschäft online durchzuführen. Per Fingerabdruck haben bereits 16 Prozent damit Erfahrung, bei Gesichtsfeld- und Spracherkennung, Iris-Scan oder Handgeometrie liegen die Werte im unteren einstelligen Bereich. Insgesamt haben 21 Prozent der Männer, aber nur 11 Prozent der Frauen Erfahrungen mit biometrischer Authentifizierung.
Erwartungsgemäß gibt es hier beträchtliche Unterschiede nach Altersgruppen. So haben sich bereits 40 Prozent der 18- bis 29-Jährigen für Bankdienstleistungen per Fingerabdruck angemeldet. In der Altersgruppe 50 bis 59 Jahre dagegen nur 10 Prozent und im Segment 60 plus nur 4 Prozent.
44 Prozent der Befragten insgesamt geben zu Protokoll, sie würden keine biometrischen Verfahren verwenden. Hier schlummert also noch einiges an Überzeugungsarbeit, die zu leisten ist. Der Widerspruch zu den Zahlen des Bitkom mit einer sehr viel höheren Akzeptanzrate könnte sich aus dem Zuschnitt der jeweiligen Stichprobe ergeben.
Allerdings ist es gut möglich, dass die Verbraucher sich doch zur Biometrie bekehren lassen, wenn die infrage kommenden Alternativen als zu wenig komfortabel empfunden werden.
In der Abwägung von Sicherheit und Bequemlichkeit neigt sich vermutlich die Waagschale beim Online-Shopping eher in Richtung Bequemlichkeit. Hier dürfte die Biometrie die Nase vorn haben. Bei Bankgeschäften überwiegt vielleicht eher das Sicherheitsstreben. Damit könnte die Akzeptanz für weniger bequeme Verfahren höher sein. Eine Gewöhnung an die Biometrie über den E-Commerce wird aber vermutlich über kurz oder lang auch ins Banking "überschwappen" - zumal die Akzeptanz bei Jüngeren ohnehin höher ist.
SMS-TAN nutzerfreundlicher als Fingerabdruck-Scan?
Vielleicht etwas überraschend sind die Ergebnisse zum Stichwort Nutzerfreundlichkeit. Denn hier schneiden Verfahren der Autorisierung über das Handy wie Push-TAN, SMS-TAN oder Photo-TAN besser ab (63 Prozent Nennungen, sehr nutzerfreundlich oder eher nutzerfreundlich) als die Autorisierung mit biometrischen Verfahren (59 Prozent in den Topboxen). Das freilich kann auch mit der mangelnden Erfahrung vieler Nutzer zusammenhängen, die die Nutzerfreundlichkeit nur aus der Theorie bewerten.
In Sachen Sicherheit sieht das Bild anders aus. Als besonders sicher bewerten die Befragten Verfahren über ein zusätzliches Gerät wie etwa einen TAN-Generator oder einen Chipkartenleser (72 Prozent Nennungen sehr sicher/eher sicher). Allerdings schneiden sie bei der Nutzerfreundlichkeit am schlechtesten ab.
Biometrische Verfahren folgen mit 63 Prozent knapp vor den Autorisierungsverfahren über das mobile Endgerät (60 Prozent) auf Platz zwei und überholen damit die Methode, die als am nutzerfreundlichsten bewertet wird. Noch größer wird der Vorsprung der Biometrie, wenn man nur die Nennungen als "sehr sicher" bezeichnet: Dann teilen sich Verfahren wie Fingerabdruck oder Spracherkennung mit 29 Prozent den Spitzenplatz mit TAN-Generator und Co. SMS-TAN und vergleichbare Verfahren werden hingegen nur von 16 Prozent der Befragten als sehr sicher bezeichnet. Unter den Direktbankkunden bewerten sogar 42 Prozent die biometrischen Verfahren als sehr sicher.
Unveränderlichkeit biometrischer Daten als Risiko
Trotz der vergleichsweise hohen Sicherheitsvermutung können sich nur wenige Befragte den Einsatz biometrischer Verfahren beim Bezahlen "auf jeden Fall" vorstellen: Sowohl beim Bezahlen regelmäßig genutzter Angebote wie Mensa-Essen oder ÖPNV-Fahrscheinen, beim mobilen Bezahlen an der Ladenkasse oder auch bei kontaktlosen Kartenzahlungen können sich jeweils nur 14 Prozent die Autorisierung etwa per Fingerabdruck "auf jeden Fall" vorstellen.
"Eher vorstellbar" sind solche Anwendungen in etwa für jeden Dritten - wobei der Fingerabdruck in der Liste der infrage kommenden Verfahren mit 37 Prozent weit vor dem Iris-Scan (20 Prozent) liegt.
Die meisten Befragten verbinden biometrische Verfahren mit Sicherheitsbedenken und der Angst vor Daten-Missbrauch jedweder Art. Sicher sind nicht alle davon gleichermaßen berechtigt. Für das Anlegen von Nutzungs- und Bewegungsprofilen etwa spielt die Art der Authentifikation vermutlich eher eine untergeordnete Rolle - das ginge auf Basis jeglicher Datenspuren beim bargeldlosen Bezahlen. Das Argument, dass sich die biometrischen Daten anders als ein Passwort nach einem Sicherheits- und Missbrauchsvorfall nicht ändern lassen, ist allerdings nicht von der Hand zu weisen. Diese Gefahr bewertet knapp jeder Vierte (24 Prozent) als sehr groß, weitere 37 Prozent als "eher groß".
Die große Mehrheit bleibt also eher skeptisch. Medienberichte, wonach Hacker die Fingerabdruckdaten, die bei der Beantragung eines Personalausweises eingelesen werden, direkt bei den Einwohnermeldeämtern beziehungsweise der Datenübertragung an die Bundesdruckerei abgreifen können, tragen hier sicher nicht dazu bei, die Skepsis abzubauen. Das Beispiel zeigt, dass auch biometrische Verfahren nicht gänzlich sicher sind.
Welche Verfahren sich im Zuge der PSD2 durchsetzen werden, bleibt somit eine Abwägungsfrage, welches Verfahren die Konversionsraten am wenigsten sinken lässt und gleichzeitig die geringsten Sicherheitsrisiken birgt. Eine finale Lösung kann und wird es dabei vermutlich nicht geben. Dazu birgt das Thema zu viel Dynamik. Red.
