×

Kontakt

Die starke Kundenauthentifizierung kommt

Nach mehreren Aufschüben ist es soweit: Zum Jahresende 2020 endet auch die Nichtbeanstandungsfrist der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für Kartenzahlungen im Onlinehandel, die keine starke Kundenauthentifizierung gemäß den Vorgaben der zweiten Zahlungsdiensterichtlinie (PSD2) vorweisen. Wir erklären Ihnen, wie es dazu kam, was derzeit passiert und was Sie als Händler tun können.

Was Sie über die Hintergründe wissen sollten

Der Plan für die PSD2-Regelungen wurde von der Europäischen Kommission bereits im Juli 2013 veröffentlicht. Im Jahr 2015 hatte die Europäische Bankenaufsicht die EU-Regelung 2015/2366, genannt Payment Services Directive II (PSD2), verabschiedet. Bereits Im Januar 2016 trat diese in Kraft, die erste Zahlungsrichtlinie 2007/2366 wurde ersetzt.

 

In diesem Kontext von besonderer Bedeutung: Die Sicherheitsverfahren für elektronische Zahlungen. Mit dem Ziel, elektronische Zahlungen sicherer zu machen, wurde in der PSD2 ein verbesserter Freigabemechanismus formuliert. Mit der sogenannten starken Kundenauthentifizierung (englisch: strong customer authentication, kurz SCA) wurde ein Verfahren eingebracht, welches Betrugsfälle verhindern soll. Um die Regelungen dazu im Detail zu definieren, hatte die Europäische Bankenaufsichtsbehörde (EBA) technische Regulierungsstandards erstellt, die eigentlich bereits am 14.09.2020 hätten verbindlich in Kraft treten müssen.

Was steckt hinter der starken Kundenauthentifizierung (SCA)?

Die starke Kundenauthentifizierung ist wichtiger Bestandteil der PSD2. Dabei handelt es sich um eine neue Zwei-Faktor-Authentifizierung. Diese soll eine zusätzliche Schutzebene für Online-Zahlungen bilden. Damit wird das Bezahlen im Internet sicherer und Betrug kann vorgebeugt werden.

 

Am Beispiel der Kreditkartenzahlungen lässt sich das sehr gut erklären: Bisher benötigte man für Kreditkartenzahlungen in den meisten Fällen nur die Daten, die auf der Karte stehen, also Kartennummer, Gültigkeitsdatum, Name und den auf der Rückseite befindlichen CVV-Code (Prüfnummer)-

 

Mit der Einführung der starken Kundenauthentifizierung muss nun zusätzlich ein weiterer Schritt, die Authentifizierung, also der Nachweis der Echtheit der handelnden Person, erbracht werden.

 

Die starke Kundenauthentifizierung bietet Kunden bei einer Online-Transaktion folglich eine zusätzliche Sicherheitsebene. Damit wird sichergestellt, dass der Kunde auch der ist, der er behauptet zu sein.

So funktioniert die starke Kundenauthentifizierung

Im Wesentlichen setzt die starke Kundenauthentifizierung darauf auf, dass nicht nur ein Authorisierungsfaktor verwendet wird (zum Beispiel ein Passwort), sondern 2 Faktoren aus jeweils unterschiedlichen Kategorien.

 

Da auf 2 Faktoren gesetzt wird, sprechen die Fachleute in diesem Zusammenhang auch von der 2-Faktor-Authentifizierung.

 

Für die zu verwendenden Faktoren gibt es drei gängige Authentifizierungskategorien. Für jede Kategorie gibt es wiederum eine Reihe von Methoden, um die Authentifizierung durchzuführen.

 

    1.  Kategorie: Wissen (etwas, das nur der zahlende Kunde kennt)
      1. Passwort
      2. PIN
      3. zuvor festgelegte geheime Antwort

 

    1. Kategorie: Besitz (etwas, das der Zahler besitzt)
      1. Smartphone
      2. Smart Watch
      3. Smart Card
      4. Token

 

  1. Kategorie: Biometrische Charakteristika (etwas, das nur der Zahler hat)
    1. Fingerabdruck
    2. Gesichtserkennung
    3. Stimmmuster
    4. DNA-Signatur
    5. Iris-Muster

 

Übersicht über die Authentifizierungskategorien

Übersicht über die Authentifizierungskategorien

 

Nur, wenn der Kunde zwei dieser Authentizifierungsfaktoren aus unterschiedlichen Kategorien vorweisen kann, darf die Zahlung abgeschlossen werden.

Behörden, Unternehmen und Kunden verunsichert

Vor dem Hintergrund der neuen Regelungen und der damit verbundenen Komplexität der Zahlungsprozesse herrschte im Verlauf des Jahres 2019 spürbare Verunsicherung am Markt. Fachleute befürchteten, dass eine mangelhafte Umsetzung oder ein fehlendes Bewusstsein am Markt zu starken Einbußen für Händler führen könnten. Kaufabbrüche aufgrund veränderter Zahlungsprozesse kommen Händler teuer zu stehen. Sie bedeuten Umsatzverlust.

 

Aus diesem Grund entschied die BaFin sich am 21. August 2019 kurz vor der Frist, die Umsetzung der Regelung für den Onlinehandel erst ab dem 31. Dezember 2020 verpflichtend zu machen.

 

Doch die Zeit läuft: Die Veränderungen, die PSD2 und Strong Customer Authentication (SCA) mit sich bringen, stehen kurz bevor.

 

Viele Onlinehändler dürften diese Umstände Kopfschmerzen bereiten. Bis zuletzt hatte man auf ein Signal der Aufsicht gehofft: Denn BaFin-Aufseher hatten bereits Ende Juni 2020 gegenüber der gesamten deutschen Zahlungsbranche verlauten lassen, dass ein langsames Hochfahren der besagten Regelungen in Erwägung gezogen wird. Laut dem Handelsblatt soll die SCA für Kreditkartenzahlungen für Beiträge über 250 Euro ab dem 15. Januar 2021 gelten. Ab dem 15. März 2021 gilt diese dann für alle Zahlungen.

Banken: Umstellung des 3D-Secure-Verfahrens auf 3D‐Secure 2.0

Die neuen Authentifizierungsregeln haben vor allem Auswirkungen auf den Bankensektor. Die Banken, die als Herausgeber von Kreditkarten agieren, müssen die neuen Sicherheitsstandards bedienen können. Die Bankschnittstellen müssen somit angepasst werden, damit auch in Zukunft garantiert Zahlungen mit Kreditkarten abgewickelt werden können. Die größten Treiber im Veränderungsprozess sind aber die Kreditkarten-Gesellschaften. Gemeinsam engagieren sie sich bei der Definition der technischen Standards für Kartenzahlungen, dem sogenannten EMV Standard (EMV für Europay, MasterCard und Visa) und geben die Rahmenbedingungen für das erneuerte 3D Secure 2 – Protokoll (EMV 3DS) vor. Bei einer Zahlung per Kreditkarte im Internet regelt es die Übertragung der dazugehörigen Daten. Zugleich auch die Ausnahmen von der starken Kundenauthentifizierung, die von PSD2 zugelassen werden.

 

Manche Banken sind mit der Umstellung auf EMV 3DS fertig – viele von ihnen wünschen sich eine Zertifizierung. Andere halten sich zurück und nutzen auch weiterhin frühere 3DS-Versionen. Einige Banken konzentrieren sich hingegen auf die Kernfunktionen und lassen eigene Transaktionsanalysen auf Acquirer-Seite außer Acht. Je nach Übertragungsprotokoll können die Bearbeitungsstände beim selben Acquirer unterschiedlich sein.

 

Im Ergebnis besteht auch heute noch viel Unsicherheit bei allen Akteuren, die die Authentifizierungsregelungen im Rahmen von Kreditkartenzahlungen abbilden müssen.

Was Sie jetzt tun müssen

Wie gehe ich mit dieser Situation als Händler um? Was ist zu tun? Diese Fragen stellen sich gerade sicherlich viele Unternehmer. Vor allem dann, wenn Kreditkartenzahlungen einen wesentlichen Anteil am Zahlungsverkehr einnehmen.

 

In der Regel ist es aber so, dass die beteiligten Payment Service Provider (PSP) und die angeschlossenen Acquirer die technischen Vorbereitungen treffen, um den Authentifizierungsprozess zu ermöglichen.

 

Alternativ gilt es jedoch zu prüfen, welche Zahlungsverfahren den höchsten Komfort und die höchste Sicherheit für Endkunden bieten. Mit den beliebten Zahlungsarten wie Rechnungs- oder Lastschriftkauf sichern sich Händler auch in Zeiten der starken Authentifizierung die Vorteile eines einfachen Check-out Prozesses. Denn diese klassischen Zahlungsverfahren sind auch weiterhin unverändert abbildbar. Die Regelungen der PSD2 sind hier nicht einschlägig und die Akzeptanz auf Kundenseite ist enorm.

Wir beraten Sie bei der Zahlungsabwicklung

Falls auch Sie Fragen zum Management der Zahlungsarten oder zur Optimierung des Online Check-outs haben, kontaktieren Sie unsere Payment-Experten für eine gemeinsame Lösung.

 

Mit der Omnichannel-Plattform CrefoPay bieten wir Ihnen zahlreiche Lösungen rund um die Zahlungsakzeptanz im digitalen Geschäftsverkehr und können umfangreiche Alternativen für die Optimierung Ihrer Payment-Prozesse aufzeigen. Sprechen Sie uns an!


2717

Kauf auf Rechnung sicher anbieten

Der Kauf auf Rechnung ist für viele Kunden die beliebteste Zahlungsart. Worauf Sie achten sollten und wie Sie den Rechnungskauf optimal im Online-Shop einsetzen können, erfahren Sie hier.

Betrugsprävention im E-Commerce

Die Digitalisierung und die zunehmende Erschließung von Online-Kanälen im Vertrieb von Waren und Dienstleistungen führen auch zu einem vermehrten Risiko für Onlinehändler, die ein E-Commerce-Geschäft betreiben oder andere digitale Kanäle für den Vertrieb nutzen. Aktuelle Studien zeigen, dass die Zahl der Betrugsfälle in den letzten Jahren stark zunimmt. Betrugsprävention (in Englisch: fraud prevention) und Risikoprüfungen gewinnen immer mehr an Bedeutung. Wir zeigen, welche Maßnahmen im E-Commerce wirksam sind.

Payment Service Provider: Was Zahlungsdienstleister Onlinehändlern bieten

Verschiedene Zahlungsmethoden anzubieten ist im Online-Handel ein entscheidender Erfolgsfaktor. Das kostet allerdings finanzielle und zeitliche Ressourcen. Ein Zahlungsdienstleister (Payment Service Provider - PSP) bietet Unterstützung. Erfahren Sie hier, welche Dienste PSP anbieten können, wie man sie beauftragt und welche Vor- und Nachteile es gibt

© 2020 CrefoPayment GmbH & Co. KG