Die Payment Service Directive 2 hat in der Finanz- und Bankenszene ordentlich Wellen geschlagen. Während die EU-Richtlinie mit der Bankenschnittstelle, den Payment Initiation Service Providern und den Account Information Service Providern in erster Linie innerhalb der Szene für Diskussionen sorgte, wirkt sich der Bereich Sicherheit direkt auf die Endkunden aus.

Aus diesem Grund beschäftigt sich der vierte Teil der PSD2-Themenreihe ausschließlich mit der Strong Customer Authentication (kurz: SCA), also der starken Kundenauthentifizierung, die ab dem 14. September 2019 anzuwenden ist. 

Was ist die starke Kundenauthentifizierung?

Die Strong Customer Authentication ist eine europäische Anforderung, die sicherstellen soll, dass es sich bei dem Nutzer, der gerade seine Zustimmung für eine Übertragung von Geldern oder den Zugriff auf seine Kontoinformationen erteilt, auch wirklich um den berechtigten Benutzer handelt. Kurz gesagt: Die SCA will eine sichere Authentifizierung des Benutzers gewährleisten und damit das Betrugsrisiko reduzieren.

Dabei ist die SCA gar nicht neu. Die typische Kartenzahlung wird zum Beispiel schon seit langer Zeit so abgesichert. Bei der Online-Zahlung mit der Kreditkarte wird dank 3D Secure eine starke Authentifizierung ermöglicht, beim Bezahlen am PoS funktioniert sie mit Girocard und dem PIN. Die PSD2 sieht nun jedoch vor, dass sich auch Nutzer, die online auf ihr Zahlungskonto zugreifen wollen bzw. online eine Zahlung auslösen wollen, ebenfalls mit der Zwei-Faktor-Authentifizierung (2FA), die für eine Strong Customer Authentication benötigt wird, ausweisen.

Was ist die Zwei-Faktor-Authentifizierung?

Die Pflicht zur Starken Kundenauthentifizierung verlangt eine Authentifizierung, die nicht nur aus einem, sondern aus mindestens zwei von drei Elementen besteht. Deshalb auch der Name Zwei-Faktor-Authentifizierung. Diese Elemente müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen.
 

Kategorie Wissen:

• Passwort
• Passphrase
• PIN
• Zahlenabfolge
• Geheimfrage
   

Kategorie Besitz:

• Mobiltelefon
• Wearable Gerät
• Smartcard
• Token
• Badge
   

Kategorie Inhärenz/Persönliches:

• Fingerabdruck
• Gesichtszüge
• Stimmenerkennung
• Iriserkennung
• DNA Signatur
   

Was im ersten Moment nach einer zusätzlichen Hürde für die Verbraucher im Checkout aussieht, kann durchaus auch als Erleichterung verstanden werden. Denn anstatt des traditionellen „Wissens“ in Form eines (zu oft) vergessenen Passwortes, können sich Kunden durch „Besitz“ (Smartphone) und etwas „Persönliches“ wie einen Fingerabdruck authentifizieren.

Für Unternehmen bedeutet dies jedoch, dass sie sich darüber Gedanken machen müssen, wie sie beispielsweise die Kategorie Inhärenz/Persönliches umsetzen. Die Technologie für biometrische Authentifizierung braucht Zeit, wird jedoch zumindest von Seiten der Smartphone-Hersteller Hardware-technisch unterstützt.

Übrigens: Bis zum 14. September müssen die bisher noch manchmal verwendeten iTAN-Listen (Liste von TANs auf Papier) für Online-Überweisungen abgeschafft werden, da sie den Anforderungen der PSD2 nicht mehr entsprechen. Die Anforderungen sehen vor, dass ein TAN eindeutig einer Zahlung zuzuordnen ist. Bei der Übersendung einer TAN mittels SMS muss dem Nutzer mitgeteilt werden, für welchen Betrag und Zahlungsempfänger diese TAN gelten soll; jede Änderung der Zahlungsdaten würde die übermittelte TAN ungültig machen.

Gravierende Änderungen wird es auch beim Bezahlen mit der Kreditkarte geben. Bisher müssen meist nur die sich auf der Karte befindenden Informationen wie Kartennummer, Ablaufdatum und Prüfziffer eingegeben werden. Nach Einschätzung der BaFin können diese Daten jedoch keine Elemente der Starken Kundenauthentifizierung darstellen. Begründung: Weder die Kategorie „Besitz“ noch die Kategorie „Wissen“ werden erfüllt, da die Daten auch ohne Besitz der Karte verwendet und von Fremden sehr einfach ausgespäht werden können. Mit der Starken Kundenauthentifizierung werden auch hier Lösungen wie im Online-Banking notwendig sein.
 

Keine Regel ohne Ausnahmen

Natürlich gibt es auch von der Starken Kundenauthentifizierung Ausnahmen. Und das sind gar nicht so wenige:

1. Kontaktlose Kartenzahlungen am Point of Sale bis max. 50 Euro. Damit eine gestohlene oder verlorene Karte aber nicht unbegrenzt genutzt werden kann, gilt zudem, dass die Karte entweder nur für maximal fünf aufeinander folgende Zahlungen ohne Starke Kundenauthentifizierung genutzt werden darf oder die Zahlungen in der Summe 150 Euro nicht überschreiten.
    
2. Unbeaufsichtigte Terminals für Verkehrs Nutzungsentgelte und Parkgebühren.
    
3. Bei Online-Zahlungen kann von den Zahlungsdienstleistern eine sogenannte Transaktions Risikoanalyse durchgeführt werden. Eingehende Zahlungen werden dann automatisch daraufhin untersucht, ob das Betrugsrisiko gering ist. Ist das Risiko gering, kann auf eine SCA verzichtet werden.
    
4. Vom Zahler als vertrauenswürdig eingestufte Empfänger. Dafür kann der Nutzer beispielsweise im Online-Banking-Portal eine Whitelist anlegen. Die Liste, die auch vom Dienstleister vorgeschlagen werden kann, muss jedoch einmalig per SCA aktiv legitimiert werden.
    
5. Wiederkehrende Zahlungsvorgänge, also Daueraufträge, mit einem festen Betrag sind ab der zweiten Transaktion ausgenommen. Demnach muss nur die erste Transaktion mit einer SCA freigeben werden.
    
6. Zahlungen an die eigene Person beim selben Institut.
    
7. Online getätigte Kleinbetragszahlungen von unter 30 Euro sind ebenfalls ausgenommen. Allerdings nur, wenn alle Transaktionen seit der letzten Anwendung der SCA kumuliert 100 Euro nicht überschreiten und nicht mehr als fünf Zahlungen ohne Anwendung der SCA getätigt werden.
    
8. Abrufen von Kontostand und Umsätzen der letzten 90 Tage. Das gilt allerdings nur, wenn der Nutzer diese Informationen nicht erstmalig ab ruft bzw. die letzte SCA nicht mehr als 90 Tage zurückliegt. Zudem dürfen keine sensiblen Zahlungsdaten offengelegt werden.
    

Generell nicht von der Starken Kundenauthentifizierung betroffen ist die Lastschrift. Der Grund: Die Lastschrift wird vom Zahlungsempfänger in Auftrag gegeben. Auch Mail Order and Telephone Orders (kurz: MOTO) sind ausgenommen, da sie nicht als elektronische Zahlung gelten. Auch Zahlungen in Europa von außereuropäischen Käufern sind ausgenommen, ebenso wie Zahlungsmethoden mit hohem Sicherheitsniveau, zu denen nur Unternehmen zugelassen sind (B2B).