"Bezahlen Sie einfach mit Ihrem guten Namen" – das war früher und es war ein Werbespruch von American Express. Konkurrent MasterCard lässt seine Kunden bald zeitgemäß mit Selfies bezahlen. Meint: Sie können ihre Identität bei Onlinezahlungen mit einer Aufnahme ihres Gesichts verifizieren.

Auf dem Mobile World Congress kündigte das Unternehmen an, das System noch in diesem Jahr in mehreren Ländern einzuführen. Offiziell genannt werden die USA und Großbritannien. Nach Informationen der BBC sind noch zwölf weitere Länder auf der Liste, darunter Deutschland. Am Messestand von MasterCard wollte das am Dienstag niemand bestätigen, aber es gibt Grund zur Annahme, dass die BBC richtig liegt.

Zunächst zur Funktionsweise des Bezahlsystems mit biometrischer Erweiterung: Nutzer müssen dafür eine spezielle MasterCard-App auf ihrem Smartphone, Tablet oder PC installieren. Dann machen sie ein Musterbild von sich, das sie bei MasterCard hinterlegen. Das Foto an sich wird nicht auf einen MasterCard-Server übertragen, sondern nur eine Art Hash, also ein aus den Bilddaten errechneter einmaliger Code. Werden die Nutzer dann während eines Bezahlvorgangs aufgefordert, sich nach Eingabe der Kreditkartendaten erneut zu authentifizieren, öffnet sich die App und fordert sie auf, ihr Gesicht in die Kamera zu halten. Das Bild – beziehungsweise der daraus errechnete und verschlüsselt an MasterCard übertragene Code – wird dann mit dem hinterlegten Wert abgeglichen. Alternativ funktioniert die App mit einem Fingerabdrucksensor des Smartphones oder Tablets.

Neue EU-Richtlinie verlangt zusätzliche Authentifizierung

Eine vergleichbare, aber allein auf dem Smartphone ablaufende Technik erlaubt es heute bereits Windows-10- und Android-Nutzern, ihr Smartphone per Gesichtserkennung zu entsperren. Bezahlvorgänge mit der zusätzlichen Identitätsüberprüfung sind hingegen nicht allzu weit verbreitet. Für viele Onlinetransaktionen sind nur die Kreditkartendaten nötig. Wenn ein Verkäufer überhaupt eine zusätzliche Authentifizierung verlangt, dann zumeist ein Passwort. Aber weil sich kaum jemand wirklich komplexe Passwörter merken mag, sind biometrische Merkmale eine Alternative.

Nun zum Grund, warum die Angaben der BBC stimmen könnten: Die weitergehende Authentifizierung wird in der EU künftig häufiger nötig sein, sobald die Mitgliedstaaten die Ende 2015 verabschiedete Richtlinie 2015/2366 umsetzen. Sie ersetzt die bisherige Zahlungsdienste-Richtlinie von 2007 und verpflichtet Mobile-Payment-Anbieter – von einigen Ausnahmen abgesehen – grundsätzlich zur starken Kundenauthentifizierung. Dabei handelt es sich um "eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist)", wie es in der Richtlinie heißt.

Gesichtserkennung lässt sich manchmal austricksen

Fingerabdrücke und Selfies fallen in die letztgenannte Kategorie. Allerdings bezweifeln manche Experten, dass Biometrie sicher genug vor Betrügern ist. Der Sicherheitsforscher Jan Krissler von der TU Berlin etwa hat auf dem Chaos Communication Congress Ende 2014 demonstriert, wie sich manche Fingerabdruckscanner und Gesichtserkennungstechniken auf verschiedenen Wegen austricksen lassen.

MasterCard dürfte davon wissen. Das Unternehmen hat bisher nur vage Angaben zu seinen Sicherheitsvorkehrungen gemacht. So erfordert die Selfie-Methode ein Blinzeln des Nutzers, damit die Gesichtserkennung nicht einfach mit einem Foto ausgehebelt werden kann, das vor die Kamera gehalten wird. Wie das Blinzeln mit dem hinterlegten Bild abgeglichen wird, ist allerdings unklar. 

Zudem ist Blinzeln allein nicht unbedingt ausreichend, um einen Betrug mit Fotos auszuschließen. Krissler hatte ein solches System überlistet, indem er kurz einen Stift über die Augenpartie auf einem Porträtfoto schwenkte – damit waren die Augen für einen Moment verdeckt, was der Scanner als Blinzeln interpretierte. Ein MasterCard-Sprecher in Barcelona sagte nur, die Algorithmen des Systems würden Betrugsversuche erkennen, auch weil sie noch weitere Daten zur Transaktion auswerteten.