Lange schon nutzen wir das Internet nicht mehr nur zum Browsen im Web oder Verschicken von E-Mails. Auch sicherheitskritische Bereiche wie etwa Zahlungsverfahren und Online-Banking werden inzwischen wie selbstverständlich online abgebildet. Solche Prozesse möglichst sicher zu gestalten, ist unter anderem das Ziel der Zahlungsdiensterichtlinie PSD2. Aber können komplexe digitale Abläufe trotz aller Sicherheitsanforderungen auch komfortabel und benutzerfreundlich sein?

Starke Kundenauthentifizierung

Seit dem 14. September 2019 gilt die zweite Stufe der Zahlungsdiensterichtlinie PSD2, die unter anderem erweiterte Anforderungen an die Kundenauthentifizierung beim Online-Banking und beim Online-Zahlungsverkehr stellt.

Wer seine Kreditkarte für Online-Zahlungen nutzen möchte, wird deshalb in Zukunft verstärkt aufgefordert werden, nicht nur die bislang üblichen Daten - Kreditkartennummer, Ablaufdatum und CVC-Code - einzugeben, sondern eine weitere Authentifizierungsmethode zu nutzen. Dafür muss man die Kreditkarte von seiner Bank für das sogenannte Online-Legitimierungsverfahren freischalten lassen. Dass das hinter den Kulissen ein komplexer Vorgang ist, kann man sich vorstellen, allein aufgrund der zahlreichen am am Zahlvorgang beteiligten Unternehmen: Zwischen dem Zahlenden und dem Empfänger der Zahlung stehen mindestens die Händlerbank (Acquirer) sowie die Bank, die die Karte ausgestellt hat (Issuer). Dazwischen befindet sich eine Kreditkartengesellschaft wie Visa oder Mastercard, die die Zahlung vermittelt. Darüber hinaus können weitere Unternehmen dazwischenstehen, Daten auswerten und das Kaufverhalten analysieren. Idealerweise sollte der Kunde von diesem komplexen Netz im Hintergrund bei einer solchen Freischalt-Aktion allerdings möglichst wenig mitbekommen. Sein Ansprechpartner ist schließlich die Bank, über die er die Kreditkarte bezieht - oder sollte es zumindest sein.

Kreditkartenzahlungen durch eine zusätzliche Authentifizierungsmethode abzusichern, klingt vernünftig, denn gerade im Zahlungsverkehr ist mehr Sicherheit und Schutz vor Missbrauch ja durchaus wünschenswert, und der beste Schutz vor unbefugtem Eingriff Dritter in Online-Zahlungen ist eine Zwei- oder Mehrfaktorauthentifizierung, wie sie von der PSD2 nun als “starke Kundenauthentifizierung” verpflichtend gefordert wird. Leider steht zwischen dem willigen Bankkunden und dem sicheren Zahlungsverkehr aber eine manchmal unüberwindbar scheinende Hürde: die Usability digitaler Prozesse.

Sind #Sicherheit und #Usability tatsächlich nicht miteinander kompatibel? #psd2 #mehrfaktorauthentifizierung

Zwei-und Mehrfaktorauthentifizierung nach PSD2

Alle Online-Zahlungen müssen seit dem 14. September 2019 durch zwei voneinander unabhängige Merkmale aus den drei Kategorien “Wissen”, “Besitz” und “Inhärenz” bestätigt werden. Zur Kategorie “Wissen” gehören zum Beispiel PINs, Passwörter oder Sicherheitsfragen, zur Kategorie “Besitz” Handys, Karten oder spezielle TAN-Generatoren und zur Kategorie “Inhärenz” biometrische Merkmale wie etwa ein Fingerabdruck. Zur Bezahlung im Internet muss also zum Beispiel neben einer PIN auch eine an das Handy versendete (und einmalig für diese Transaktion generierte) TAN eingegeben werden.

Eine Umstellung auf weitere Legitimierungsmerkmale war auch schon vor dem 14. September 2019 möglich und aus Sicherheitsaspekten auch mehr als empfehlenswert. So manche Online-Zahlung erforderte deshalb schon vor dem Stichtag eine erweiterte Authentifizierung. Dass der Schritt dahin nicht immer so einfach ist, selbst wenn man sich im Internet genauso zu Hause fühlt wie auf der heimischen Couch, hat unser Geschäftsführer Pablo Beyen am eigenen Leib erfahren. Auf einer Reise stieß er das erste Mal auf eine Aufforderung zur Zahlungsfreigabe via ID-Check. Das Verfahren, durch das seine Bank ihn schleuste, um diese Funktion nutzen zu können, hat ihn regelrecht sprachlos hinterlassen. Wir haben uns mit der Usability des Prozesses deshalb etwas näher auseinandergesetzt. Und hätten da so den ein oder anderen Vorschlag, wie es besser gehen könnte - und worauf man achten sollte, wenn man digitale Prozesse sicher und gleichzeitig komfortabel gestalten möchte.

Die Freischalt-Odyssee im Schnelldurchlauf

Wohl dem, der beim ersten Kontakt mit dem Online-Legitimationsverfahren jede Menge Zeit, eine gute Internetverbindung und Nerven aus Stahl zur Verfügung hat. Denn das Prozedere kann eine ganze Weile dauern. Insgesamt waren satte 26 auf diverse Websites, eine App, eine Hotline und das eigene Online-Banking verteilte Schritte nötig, um den Freischaltprozess abzuschließen:

Schon das Auffinden der Stelle, an der die Freischaltung vorgenommen werden konnte, war die erste Herausforderung. Im Online-Shop, der nur noch freigeschaltete Kreditkarten akzeptierte, wurde nämlich einfach auf die jeweilige eigene Bank verwiesen. Da sich im Online-Banking nichts finden ließ, blieb nur der Rückgriff auf Google, was wiederum zu einer Website der richtigen Bankengruppe führte, die dieselbe Funktion anbot, aber aus bis heute unerfindlichen Gründen nicht zuständig war. Erst durch einen Anruf bei der Hotline ließ sich die richtige Website herausfinden.

Endlich auf der richtigen Seite gelandet, geht die Odyssee weiter. Zunächst braucht es zahlreiche Klicks, bis man einen Identifikationscode anfordern kann. Um diesen zu erhalten, muss man die Seite dann wieder verlassen, denn er wird zur Authentisierung des Kontos als Verwendungszweck einer Überweisung zu 0 Euro mitgegeben. Also ab ins Online-Banking, aber nur kurz. Denn dann geht die Reise weiter. Bevor die Freischaltung abgeschlossen werden kann, muss man sich durch zahlreiche Schritte durchklicken, eine App installieren, einen QR-Code scannen und eine PIN vergeben. Am Schluss hatten wir die eigene Kreditkartennummer dreimal eingegeben und gefühlte hundertmal zwischen diversen Websites und Anwendungen hin- und hergewechselt. Und wollten gar nicht erst anfangen, uns vorzustellen, wie dieser Prozess bei jemandem aussieht, der nicht mit dem Internet großgeworden ist. Mal ganz abgesehen davon, dass sowohl Online-Banking als auch der Besitz eines Smartphones unabdingbare Voraussetzungen für die Kreditkartenfreischaltung zu sein scheinen.

Kreditkarte freischalten ohne Smartphone? Ein Ding der Unmöglichkeit. Nicht, dass es mit Smartphone deutlich einfacher wäre… #psd2 #usability

Sich über misslungene Benutzerführung aufregen kann jeder. Wir haben uns deshalb die einzelnen Punkte, die hier schiefgelaufen sind, nochmal näher vorgeknöpft und uns Gedanken darüber gemacht, wie man sie besser lösen könnte. Das Ergebnis sind konkrete Handlungsempfehlungen nicht nur für diesen spezifischen Fall, sondern für jeden, der komplexe digitale Prozesse planen möchte, ohne seine Nutzer dabei durch die Hölle zu schicken.

1. Transparent und verständlich informieren

Im hier geschilderten Fall geht diese Aufforderung nicht nur an die Bank selbst, sondern im ersten Schritt auch schon an den Händler bzw. dessen Zahlungsdienstleister, der für Online-Zahlungen die erweiterte Online-Legitimierung fordert. Wer dieser Aufforderung zum ersten Mal begegnet und/oder seine Karte noch nicht entsprechend hat freischalten lassen, wird nämlich häufig ziemlich im Regen stehengelassen. In unserem Fall hieß das: Erstmal googlen, wie das Thema im Fall unserer Bank in Kombination mit Mastercard gelöst ist. Denn auf der Website unserer Bank bzw. im Online-Banking war zur Freischaltung nichts zu finden. Dass ein solcher Start erhebliche Unsicherheit mit sich bringt, versteht sich. Und als später die Registrierung auf der von Google gefundenen Website tatsächlich nicht funktionierte, trugen einsilbige, austauschbare Fehlermeldungen zum dauerhaft steigenden Frustfaktor bei.

Das erste Google-Ergebnis bei der Suche nach “S ID Check”: s-id-check.de. Dass sie tatsächlich zu unserer Bank gehört, muss man halt glauben - so richtig klar wird es nicht, das Logo kann schließlich jeder verwenden. Und für unsere Kreditkarte kam hier nicht mehr heraus als die Nachricht: “Diese Kreditkarte kann nicht registriert werden.” Ohne Begründung, ohne Handlungsempfehlung. Und nun?
Das erste Google-Ergebnis bei der Suche nach “S ID Check”: s-id-check.de. Dass sie tatsächlich zu unserer Bank gehört, muss man halt glauben - so richtig klar wird es nicht, das Logo kann schließlich jeder verwenden. Und für unsere Kreditkarte kam hier nicht mehr heraus als die Nachricht: “Diese Kreditkarte kann nicht registriert werden.” Ohne Begründung, ohne Handlungsempfehlung. Und nun?

Wie es besser geht: Händler bzw. Zahlungsanbieter sollten dem Kunden praxisorientierte Informationen an die Hand geben, warum eine zusätzliche Authentifizierung nötig ist und wie und wo (!) er seine Kreditkarte freischalten lassen kann. Da es offensichtlich je nach Bank unterschiedlich ist, warum nicht bei Visa und Mastercard ein Verzeichnis anlegen, in dem man über seine eigene Kreditkartennummer oder den Namen der Bank den richtigen Einstiegspunkt findet? Darauf könnten Händler bzw. Zahlungsabwickler an der entsprechenden Stelle verlinken.

Auch im Fehlerfall sind transparente, möglichst konkrete Informationen das A und O. Ein einfaches “Nicht möglich” oder “Fehler” hilft dem Anwender nicht weiter. Besser auch hier praxisorientiert und aus Nutzersicht denken: Was soll der Nutzer/die Nutzerin als nächstes tun?

Eine Fehlermeldung, die nicht verrät, wo der Fehler liegt, katapultiert den Nutzer in eine Sackgasse. #usability #psd2

2. Eine einheitliche Sprache sprechen

Falsche, verwirrende oder wechselnde Begrifflichkeiten irritieren und machen es dem Anwender unnötig schwer. Wer erst von Online-Legitimationsverfahren, dann von ID-Check und dann plötzlich von einer 3D-Secure-PIN spricht, verwirrt und schafft Unsicherheit.

Vom 3D-Secure-Verfahren hört man an dieser Stelle zum ersten Mal - vorher war die Rede von einem Online-Legitimationsverfahren oder dem Mastercard(R) Identity Check. Was soll das sein und was brauche ich eigentlich?
Vom 3D-Secure-Verfahren hört man an dieser Stelle zum ersten Mal - vorher war die Rede von einem Online-Legitimationsverfahren oder dem Mastercard(R) Identity Check. Was soll das sein und was brauche ich eigentlich?

Wie es besser geht: Insbesondere bei komplexen Themen ist es wichtig, sich auf eine einheitliche Sprache festzulegen. Neue, unbekannte Begriffe sollten in einfachen Worten erklärt und dann einheitlich in allen Kanälen eingesetzt werden. Dazu gehört übrigens auch eine einheitliche Schreibweise.

3. Vertrauen schaffen

Wer die entsprechende Freischalt-Lösung per Google suchen muss, ist per se schon verunsichert. Wenn die gefundene Website dann zwar das Bank-Logo enthält, aber nicht der dem Anwender bekannten Online-Banking-Seite ähnelt und noch nicht einmal im Impressum als offizieller Ableger der eigenen Bank klar zu erkennen ist, entsteht schnell der Verdacht, hier könnte es sich auch um eine Phishing-Seite handeln.

Mastercard ID Check und VISA Secure. Zwei Registrierungsmöglichkeiten auf der Website https://www.sparkassen-kreditkarten.de/sicherheit.html
Mastercard ID Check und VISA Secure. Zwei Registrierungsmöglichkeiten auf der Website https://www.sparkassen-kreditkarten.de/sicherheit.html

Wie es besser geht: Dem Nutzer das Vertrauen zu geben, dass er sich auf der richtigen Seite befindet, ist eigentlich gar nicht so schwierig. Zum Beispiel, indem man statt einer überraschenden neuen Domain einfach eine Subdomain der tatsächlichen Banken-Website verwendet. Das macht deutlich, dass es sich tatsächlich um eine offizielle Seite handelt. Wenn die Subdomain nicht möglich ist, sollte zumindest ein klarer Bezug zur beauftragenden Bank hergestellt werden. Mindestens mit Rückgriff auf Punkt Nr. 1 - nämlich einer klaren Ansage, welche Bank hier wen womit beauftragt. Bei der Wahl einer Domain empfiehlt es sich außerdem, darauf zu achten, dass diese nicht den Anschein einer Phishing-URL erweckt.

4. Prozesse vereinfachen

Wenn es zwei Websites gibt, die scheinbar zur gleichen Bankengruppe gehören, offensichtlich die gleiche Software verwenden und augenscheinlich das gleiche tun, aber mit unterschiedlichen Daten arbeiten, ist die Verwirrung vorprogrammiert. Nachdem bei uns die über Google ermittelte Seite für die eigene Kreditkartennummer nur nichtssagende Fehlermeldungen auswarf, half schließlich die auf der Karte genannte Hotline dabei, die richtige Website zu finden. Von da an brauchte es noch satte 30 Minuten und exakt 13 Schritte, bis die Kreditkarte einsatzbereit war. Inklusive einem Wechsel ins Online-Banking der eigenen Bank, Installation einer Mobile App und Einscannen eines QR-Codes.

Zwischendurch dann doch noch ins Online-Banking, um den Identifikationscode aus dem Verwendungszweck einer Nullsummenüberweisung auszulesen. Was aber tut man an dieser Stelle, wenn man kein Online-Banking nutzt? Darauf warten, bis die Kreditkartenabrechnung im Briefkasten liegt?
Zwischendurch dann doch noch ins Online-Banking, um den Identifikationscode aus dem Verwendungszweck einer Nullsummenüberweisung auszulesen. Was aber tut man an dieser Stelle, wenn man kein Online-Banking nutzt? Darauf warten, bis die Kreditkartenabrechnung im Briefkasten liegt?

Wie es besser geht: Der aktuelle Prozess zeichnet sich durch jede Menge Brüche aus. Dass man in die Mobile App wechseln muss, wird sich wohl nicht vermeiden lassen, weil sie zentraler Bestandteil der Mehrfaktorauthentifizierung ist. Vermeiden ließe sich aber der Wechsel zwischen der externen Freischalt-Seite und dem Online-Banking, indem man den Freischaltprozess direkt ins Online-Banking einbindet.

Orientierungslos und frustriert

Wenn das Zahlungssystem des Shops mich erst auffordert, mich zu authentifizieren (aber nicht sagt, wie), eine App mich auffordert, mich zu registrieren (aber nicht sagt, wo), und dann noch eine zweifelhafte Website nach Daten aus meinem Online-Banking fragt, ist am Ende keine Sicherheit gewonnen, sondern der Anwender mindestens frustriert, wenn nicht sogar als Kunde verloren.

Vertraute Umgebungen nutzen

Den Prozess direkt im Online-Banking starten zu lassen, würde gleich mehrere Probleme lösen:

  • Der Kunde findet die Freischaltoption da, wo er sie sucht: bei seiner Bank.
  • Er kann von Anfang an darauf vertrauen, dass er an der richtigen Stelle ist.
  • Es sind weniger Eingaben nötig, denn die Kreditkartennummer liegt der Bank vor.
  • Der Kunde ist bereits authentisiert und muss nicht durch komplizierte Null-Betrag-Überweisungen mit entsprechenden Identifikationscodes nachweisen, dass er tatsächlich berechtigt ist, die Freischaltung vorzunehmen.
Warum Prozesse nicht dort starten lassen, wo der Kunde sie sucht? #Freischaltprozess #psd2 #usability

Warum ist das nicht jetzt schon so?

Die Vorteile für einen solchen Freischaltprozess sind so erschlagend eindeutig, dass man sich fragt, warum solche Lösungen nicht heute schon gang und gäbe sind. Gute Frage. Vermutlich liegt das daran, dass gerade bei großen Bankengruppen mit vielen einzelnen Banken nicht jede Bank ihre eigene Authentifizierungsplattform betreiben möchte. Angesichts des damit verbundenen Aufwands durchaus verständlich.

Widgets als zentrale Lösung für individuelle Seiten

Dieses Problem lässt sich aber lösen. Zum Beispiel, indem die für die Freischaltung zuständige zentrale Organisation den Banken anstelle einer separaten Website ein Widget anbietet, das sich mit minimalem Aufwand (etwa über Techniken wie JavaScript Includes oder Web Components) in das jeweils eigene Online-Banking integrieren lässt.

So ist es. Visualisierung des Ist-Zustandes im Freischaltprozess.
So ist es. Visualisierung des Ist-Zustandes im Freischaltprozess.
So könnte es sein. Mithilfe eines im Online-Banking-Portal integrierten Widgets ließe sich der Freischaltprozess deutlich benutzerfreundlicher gestalten.
So könnte es sein. Mithilfe eines im Online-Banking-Portal integrierten Widgets ließe sich der Freischaltprozess deutlich benutzerfreundlicher gestalten.

Sicherheit und Komfort widersprechen sich nicht

Nur weil Prozesse hohen Sicherheitsstandards entsprechen sollen, müssen sie nicht kompliziert und unkomfortabel sein. Wer die Nutzerbrille aufzieht, Prozesse klar strukturiert und dann die Technologie wählt, die die komplexen Anforderungen am besten abdecken kann, kann auch beides unter einen Hut bringen.

Häufig ergänzen sich Sicherheit und Komfort sogar perfekt: Wer zum Beispiel für die einfachere Handhabung einen QR-Code zum Einscannen anbietet, kann darin ein langes und damit besonders sicheres Passwort transportieren, ohne dass der Nutzer es umständlich abtippen muss. Die Gelegenheit muss man nur nutzen.

In einem QR-Code lassen sich deutlich mehr Informationen unterbringen als nur ein achtstelliger Zahlencode. Eine perfekte Gelegenheit, Komfort und Sicherheit miteinander zu verknüpfen.
In einem QR-Code lassen sich deutlich mehr Informationen unterbringen als nur ein achtstelliger Zahlencode. Eine perfekte Gelegenheit, Komfort und Sicherheit miteinander zu verknüpfen.

Wenn rein technisch notwendige Schritte (zum Beispiel Abgleiche zwischen Bank und Kreditkartengesellschaft) dann noch intern gelöst, anstatt auf den Nutzer abgewälzt werden, steht einer sicheren und gleichzeitig komfortablen Lösung auch im komplexen Zahlungssektor eigentlich nichts mehr im Wege.

Und eigentlich sollte das doch inzwischen selbstverständlich sein, oder? Damit sich digitale Prozesse von vermeintlichen technischen Vorgaben emanzipieren können und statt dessen für Menschen optimiert werden, braucht es nämlich meist nicht viel mehr als einen Perspektivwechsel. Workflows erst aus Nutzersicht zu denken und die Technologie folgen zu lassen, führt in der Regel zu deutlich schlankeren und geradlinigeren Prozessen. Und die sparen nicht nur dem Nutzer Zeit und Nerven, sondern sogar dem Unternehmen Geld: zum Beispiel an der Support-Hotline. Von Kundenbindungseffekten oder zufriedenen Mitarbeitern mal ganz abgesehen.

Wer Prozesse für Menschen optimiert, spart allen Beteiligten Zeit, Nerven und sogar Geld. #psd2 #usability