Diese Woche hat Mastercard auf dem Mobile World Congress, in Barcelona, angekündigt, Selfie Fotos und Fingerabdrücke als Alternative zu herkömmlichen Passwörtern für die Authentifizierung bei Online Payments zu akzeptieren.
Payment per Selfie startet demnächst
Im kommenden Sommer soll die neue Lösung in Großbritannien und 14 weiteren Ländern live gehen. Käufer können dann einen Onlinekauf abschließen, ohne auf PIN Codes, Passwörter oder andere Bestätigungen zurückgreifen zu müssen. Stattdessen können Sie eine Anwendung auf ihren Computer, Tablet oder Smartphone herunterladen und sich entscheiden ein Selfie zu machen, das mit einem bereits hinterlegten Foto gematcht wird.
Hohe Akzeptanz bei Kunden erwartet
Das neue biometrische System ist laut Mastercard einer der nächsten Services, um das mobile Bezahlen auf Mobile Devices und Wearables weiter zu vereinfachen. Das Unternehmen testet auch Stimmerkennung und Iris-Scans, um Kreditkartenzahlungen zu autorisieren und Missbrauch vorzubeugen. Mastercard ist davon überzeugt, dass die Kunden das Selfie Verfahren lieben werden. Testläufe in den Niederlanden und den USA zeigten, dass 92 % der Teilnehmer das neue Verfahren gegenüber dem Einsatz von Passwörtern bevorzugten.
Mastercard hat bereits seit einiger Zeit darüber gesprochen Selfies und Fingerabdrücke zur Verifikation bei Bezahlprozessen einzusetzen und es ist recht leicht nachzuvollziehen warum man gerne diese innovativen Technologien einsetzen möchte. Barrieren beim Einkaufen abzubauen steigert nachhaltig die Konversionsraten. Darüberhinaus bedeutet der Verlust von Passwort oder PIN durch die Nutzer einen sehr großen Aufwand für die kartenausgebenden Institute.
Selbstverständlich muss die Technologie, bevor sie flächendeckend zum Einsatz kommt, absolut sicher sein. Sicherheitsexperten gaben bereits zu bedenken, dass auch dieses System umgangen werden könnte – schlussendlich wird es den Nutzern über eine App bereitgestellt. Zudem können auch Gesichtserkennung und Fingerabdruck-Scanner beeinträchtigt werden. Die verschiedenen Devices der Nutzer sind allen möglichen Gefahren von Cyber Security ausgesetzt. Entweder weil sie Sicherheitseinstellungen verändern, zu wenig auf Sicherheit und entsprechenden Softwareschutz achten oder unsichere öffentliche WiFi Netze nutzen, während sie eine Online Transaktion ausführen. Folglich müssen auch biometrische Daten verschlüsselt werden, damit sie nicht gestohlen werden können. Ansonsten eröffnet sich ein gänzlich neues Gefahrenfeld von Identitätsdiebstahl.
EU-Datenschutz-Grundverordnung fordert Händler heraus
Der Handel ist ohnehin herausgefordert sich auf die neue General Data Protection Regulation (GDPR), zu Deutsch EU-Datenschutz-Grundverordnung (EU-DSGVO), vorzubereiten. Das neue Datenschutzrecht wurde von der EU am 27. April 2016 beschlossen. Unternehmen haben bis zum 25. Mai 2018 Zeit, um die nötigen Anpassungen vorzunehmen und die nötigen Dokumentationen zu erstellen. Bei Nichtbefolgung können Aufsichtsbehörden gegen Unternehmen Massnahmen ergreifen und diese sanktionieren. Für Bezahlverfahren entscheidend: “Personendaten müssen durch angemessene technische und organisatorische Massnahmen gesichert sein; eigene Datenbearbeitungen müssen so ausgestaltet sein, dass sie die Einhaltung des Datenschutzes sicherstellen (Privacy by Design) und Standard-Einstellungen, wo es solche gibt, datenschutzfreundlich sind (Privacy by Default).” (Infoniqa)
Datensicherheit von biometrischen Daten
Aktuell würde die “Mastercard Selfie ID” einen nutzerfreundlichen zweiten Authentifizierungsfaktor für Online Payment, neben der eigentlichen Kreditkarte, bieten. Gleichzeitig beschreitet man damit den ersten Schritt biometrische Daten allgemein als bevorzugtes Authentifizierungsmittel im Payment zu etablieren. Bereits im Vorfeld der Einführung der “Mastercard Selfie ID” ist jedoch eine Diskussion um Sicherheitsstandards und -verfahren auf Seiten der Finanzinstitute, Fintechs und Paymentanbieter vonnöten.
Leider erfordert jede Einführung neuer Technologien, so schön und “besser” sie sich anhören mögen, gleichzeitig die Auseinandersetzung mit möglichen neuen Risiken, die dabei auftreten können. Ich stelle nur die Fragen in den Raum: Wo werden die biometrischen Daten abgespeichert? Ist sichergestellt, dass der App-Anbieter keinen Zugriff auf meinen Fingerabdruck oder meinen Iris-Scan hat? Bzw. diese Daten von Dritten angezapft werden können?