KONTAKT
Die Payment Service Directive 2 hat in der Finanz- und Bankenszene ordentlich Wellen geschlagen. Während die EU-Richtlinie mit der Bankenschnittstelle, den Payment Initiation Service Providern und den Account Information Service Providern in erster Linie innerhalb der Szene für Diskussionen sorgte, wirkt sich der Bereich Sicherheit direkt auf die Endkunden aus.
Aus diesem Grund beschäftigt sich der vierte Teil der PSD2-Themenreihe ausschließlich mit der Strong Customer Authentication (kurz: SCA), also der starken Kundenauthentifizierung, die ab dem 14. September 2019 anzuwenden ist.
Die Strong Customer Authentication ist eine europäische Anforderung, die sicherstellen soll, dass es sich bei dem Nutzer, der gerade seine Zustimmung für eine Übertragung von Geldern oder den Zugriff auf seine Kontoinformationen erteilt, auch wirklich um den berechtigten Benutzer handelt. Kurz gesagt: Die SCA will eine sichere Authentifizierung des Benutzers gewährleisten und damit das Betrugsrisiko reduzieren.
Dabei ist die SCA gar nicht neu. Die typische Kartenzahlung wird zum Beispiel schon seit langer Zeit so abgesichert. Bei der Online-Zahlung mit der Kreditkarte wird dank 3D Secure eine starke Authentifizierung ermöglicht, beim Bezahlen am PoS funktioniert sie mit Girocard und dem PIN. Die PSD2 sieht nun jedoch vor, dass sich auch Nutzer, die online auf ihr Zahlungskonto zugreifen wollen bzw. online eine Zahlung auslösen wollen, ebenfalls mit der Zwei-Faktor-Authentifizierung (2FA), die für eine Strong Customer Authentication benötigt wird, ausweisen.
Die Pflicht zur Starken Kundenauthentifizierung verlangt eine Authentifizierung, die nicht nur aus einem, sondern aus mindestens zwei von drei Elementen besteht. Deshalb auch der Name Zwei-Faktor-Authentifizierung. Diese Elemente müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen.
Kategorie Wissen:
Kategorie Besitz:
Kategorie Inhärenz/Persönliches:
Was im ersten Moment nach einer zusätzlichen Hürde für die Verbraucher im Checkout aussieht, kann durchaus auch als Erleichterung verstanden werden. Denn anstatt des traditionellen „Wissens“ in Form eines (zu oft) vergessenen Passwortes, können sich Kunden durch „Besitz“ (Smartphone) und etwas „Persönliches“ wie einen Fingerabdruck authentifizieren.
Für Unternehmen bedeutet dies jedoch, dass sie sich darüber Gedanken machen müssen, wie sie beispielsweise die Kategorie Inhärenz/Persönliches umsetzen. Die Technologie für biometrische Authentifizierung braucht Zeit, wird jedoch zumindest von Seiten der Smartphone-Hersteller Hardware-technisch unterstützt.
Übrigens: Bis zum 14. September müssen die bisher noch manchmal verwendeten iTAN-Listen (Liste von TANs auf Papier) für Online-Überweisungen abgeschafft werden, da sie den Anforderungen der PSD2 nicht mehr entsprechen. Die Anforderungen sehen vor, dass ein TAN eindeutig einer Zahlung zuzuordnen ist. Bei der Übersendung einer TAN mittels SMS muss dem Nutzer mitgeteilt werden, für welchen Betrag und Zahlungsempfänger diese TAN gelten soll; jede Änderung der Zahlungsdaten würde die übermittelte TAN ungültig machen.
Gravierende Änderungen wird es auch beim Bezahlen mit der Kreditkarte geben. Bisher müssen meist nur die sich auf der Karte befindenden Informationen wie Kartennummer, Ablaufdatum und Prüfziffer eingegeben werden. Nach Einschätzung der BaFin können diese Daten jedoch keine Elemente der Starken Kundenauthentifizierung darstellen. Begründung: Weder die Kategorie „Besitz“ noch die Kategorie „Wissen“ werden erfüllt, da die Daten auch ohne Besitz der Karte verwendet und von Fremden sehr einfach ausgespäht werden können. Mit der Starken Kundenauthentifizierung werden auch hier Lösungen wie im Online-Banking notwendig sein.
Natürlich gibt es auch von der Starken Kundenauthentifizierung Ausnahmen. Und das sind gar nicht so wenige:
Generell nicht von der Starken Kundenauthentifizierung betroffen ist die Lastschrift. Der Grund: Die Lastschrift wird vom Zahlungsempfänger in Auftrag gegeben. Auch Mail Order and Telephone Orders (kurz: MOTO) sind ausgenommen, da sie nicht als elektronische Zahlung gelten. Auch Zahlungen in Europa von außereuropäischen Käufern sind ausgenommen, ebenso wie Zahlungsmethoden mit hohem Sicherheitsniveau, zu denen nur Unternehmen zugelassen sind (B2B).
KONTAKT