PSD2: Die starke Kundenauthentifizierung und das Sorgenkind Kreditkarte
Du glaubst, dass Dich die neue Payment Service Directive 2 (PSD2) nicht betrifft? Leider nein. In unserem dritten Teil der Themenreihe geht es um die starke Kundenauthentifizierung und Änderungen beim Bezahlen im Internet.
Die Payment Service Directive 2 gehört aktuell zu den am stärksten diskutierten Themen in der Finanzbranche. Während wir in unserem ersten Teil der Themenreihe zur PSD2 darüber gesprochen haben, was sich beim Zugriff aufs Konto ändert, haben wir im zweiten Teil die Änderungen beim Online-Banking erklärt.
Die Änderungen beim Online-Banking sind besonders gravierend. Musste man bisher beim Einloggen ins Online-Banking nur die Kundenkennung (meist die Kontonummer, manchmal aber auch eine spezielle ID) sowie ein Passwort oder eine PIN eingeben, wird man nach dem 14. September zusätzliche Log-in-Daten, wie eine TAN, zur Anmeldung benötigen.
Dieser “doppelte“ Log-in heißt auch “starke Kundenauthentifizierung“. Darunter versteht man eine Authentifizierung, bei der mindestens zwei sogenannte “Faktoren“ zum Einsatz kommen. Welche das genau sind und wie sich die starke Kundenauthentifizierung auf das Bezahlen im Online-Handel auswirkt, erklären wir im dritten Teil unserer PSD2-Themenreihe.
Was ist die starke Kundenauthentifizierung?
Die starke Kundenauthentifizierung, auch Strong Customer Authentication (kurz: SCA) genannt, ist einer der wichtigsten Bestandteile der PSD2. Sie soll sicherstellen, dass es sich bei dem Nutzer, der gerade die Zustimmung für eine Übertragung von Geldern oder den Zugriff auf seine Kontoinformationen erteilt, auch wirklich um den berechtigten Benutzer handelt. Oder anders gesagt: Die SCA will eine sichere Authentifizierung des Benutzers gewährleisten und damit das Betrugsrisiko reduzieren.
Generell ist die starke Kundenauthentifizierung nichts Neues. Sie findet beispielsweise schon bei Diensten wie Google oder beim Online-Händler Amazon Anwendung. Auch die Bezahlung im Ladengeschäft mit der Girocard und der Eingabe der PIN ist eine starke Kundenauthentifizierung.
Die Payment Service Directive 2 sieht nun jedoch vor, dass sich auch Nutzer, die online auf ihr Konto zugreifen wollen bzw. online eine Zahlung auslösen wollen, ebenfalls mit der Zwei-Faktor-Authentifizierung (2FA), die für eine Strong Customer Authentication benötigt wird, ausweisen.
Was ist die Zwei-Faktor-Authentifizierung?
Im Rahmen der starken Kundenauthentifizierung müssen sich Verbraucher ab dem 14. September 2019 eindeutig ausweisen bzw. authentifizieren können. Dies soll durch die Nutzung von mindesten zwei von drei “Faktoren“ sichergestellt werden.
Diese Faktoren bzw. Elemente müssen aus zwei der drei Kategorien Wissen (etwas, was Du weißt), Besitz (etwas was Du besitzt) und Inhärenz (etwas was Du bist) stammen.
Kategorie Wissen:
Passwort
Passphrase
PIN
Zahlenabfolge
Geheimfrage
Kategorie Besitz:
Mobiltelefon
Wearable Gerät
Smartcard
Token
Badge
Kategorie Inhärenz/Persönliches:
Fingerabdruck
Gesichtszüge
Stimmenerkennung
Iriserkennung
DNA Signatur
Welche Auswirkungen hat die starke Kundenauthentifizierung aufs Bezahlen im Internet?
Die starke Kundenauthentifizierung wirkt sich auch auf das Shopping im Internet aus. Denn ab dem 14. September sind alle europäischen Online-Händler dazu verpflichtet, für eine verbesserte Kundenauthentifizierung beim Online-Einkauf zu sorgen.
Das neue Verfahren zur Authentifizierung soll vor allem Betrugsversuche verhindern, bei denen gestohlene oder verloren gegangene Anmeldeinformationen eines Kunden verwendet werden. Durch die Zwei-Faktor-Authentifizierung (2FA) wird sichergestellt, dass es sich bei dem Nutzer tatsächlich um den Berechtigten handelt, der in diesem Moment seine Zustimmung für die Übertragung von Geldern gibt. Anders ausgedrückt: Die starke Kundenauthentifizierung wird immer dann erforderlich, wenn Du a) auf Dein Konto zugreifen oder b) eine elektronische Zahlung vornehmen willst.
Besonders betroffen: Kreditkarte
Während sich beim Lastschrift-Verfahren, bei der Überweisung und damit beim beliebten Kauf auf Rechnung im Online-Handel wenig ändern wird, hat die PSD2 mit der starken Kundenauthentifizierung gravierende Auswirkungen auf das Bezahlen mit der Kreditkarte.
Bisher müssen beim Shoppen im Internet oft nur die sich auf der Karte befindenden Informationen wie Kartennummer, Ablaufdatum und Prüfziffer eingegeben werden. Nach Einschätzung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) können diese Daten jedoch keine Elemente der starken Kundenauthentifizierung sein. Begründung: Weder die Kategorie “Besitz“ noch die Kategorie “Wissen“ werden erfüllt, da die Daten auch ohne Besitz der Karte verwendet und von Fremden sehr einfach ausgespäht werden können. Im Umkehrschluss bedeutet das, dass auch bei der Kreditkartenzahlung eine Lösung wie im Online-Banking notwendig ist, die die Vorgaben der Zwei-Faktor-Authentifizierung erfüllt.
Kurz vor der Umsetzungs-Deadline hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) allerdings festgestellt, dass es aufseiten der Online-Händler, bzw. aufseiten von Unternehmen, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen, noch erheblichen Anpassungsbedarf gibt.
Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, wird die BaFin für Kreditzahlungen im Internet vorübergehend nicht auf eine starke Kundenauthentifizierung bestehen. Damit bleibt das bereits heute bei Internetzahlungen übliche Sicherheitsniveau erhalten. Bis wann diese Ausnahme gelten wird, hat die BaFin vorläufig offengelassen.
Keine Regel ohne Ausnahmen
Auch wenn die Zahlung mittels Kreditkarte erst einmal so weiter funktionieren wird, wie wir es bisher gewohnt sind, wird irgendwann die Umstellung auf die starke Kundenauthentifizierung kommen. Beim Bezahlen mit der Kreditkarte im Internet wird es aber so oder so Ausnahmen von der Regel geben, bei der keine zweite Bestätigung verlangt werden wird. Das macht diese Einkäufe nicht automatisch unsicherer, denn die Bank überprüft im Hintergrund ohnehin, ob der Zahlungsvorgang für sie als sicher eingestuft wird.
Bei Beträgen unter 30 Euro muss die Bank keinen zweiten Nachweis verlangen, dies gilt auch beim Zahlen mit Kreditkarte. Allerdings darf nur fünfmal hintereinander eine solche Überweisung getätigt bzw. dürfen nicht mehr als 150 Euro ausgegeben werden. Tritt einer der beiden Fälle ein, muss die Zahlung durch die starke Kundenauthentifizierung freigegeben werden.
Schätzt die Bank die Zahlung als ein geringes Risiko ein, kann auf die starke Kundenauthentifizierung verzichtet werden.
Wenn Du zum Beispiel Dienste wie Spotify oder Netflix abonniert hast, musst Du nicht jedes Mal die Zahlung bestätigen. Es muss nur die erste Zahlung mit der Zwei-Faktor-Authentifizierung abgesichert werden.
Online-Händler, bei denen Du regelmäßig einkaufst, kannst Du bei Deiner Bank auf eine sogenannte “Whitelist“ setzen. Dadurch teilst Du der Bank mit, dass Du diesem Händler vertraust. Allerdings, so Finanztip, sind die Banken nicht dazu verpflichtet, solche Positivlisten anzubieten und können auch trotz der Einschätzung des Kunden auf einen zweiten Nachweis bestehen, falls ihnen die Zahlung suspekt vorkommt.
Und was ist mit der Kartenzahlung im Laden?
Wenn Du ganz normal im Laden einkaufst, musst Du Dir keine Gedanken über die starke Kundenauthentifizierung machen. Das liegt daran, dass im stationären Handel das durch die PSD2 angestrebte Sicherheitslevel bereits existiert.
Die Authentifizierung mit der Verwendung von zwei Faktoren ist bei der Bezahlung im Laden mit der Girokarte schon lange Standard. Eine elektronische Zahlung wird dann ausgelöst, wenn Du im Geschäft mit Karte und persönlicher Identifikationsnummer (PIN) bezahlst.
Übrigens: Wenn Du im Geschäft mit Deiner Girokarte bezahlst und den Kassenbeleg unterschreiben musst, liegt zwar auch eine Authentifizierung mit zwei Faktoren vor, jedoch keine Auslösung einer elektronischen Zahlung. Mit der Unterschrift gibst Du dem Händler nur eine Einzugsermächtigung über die quittierte Summe von Deinem Konto. Das bedeutet, dass der Händler das Geld nicht sofort erhält. Bestätigst Du die Zahlung hingegen mit einer PIN, wird zum einen sofort geprüft, ob genug Geld auf Deinem Konto ist, und zum anderen wird Dein Konto sofort belastet.
Hat die PSD2 auch Auswirkungen auf bonify?
Ja, die Payment Service Directive 2 hat auch Auswirkungen auf bonify. Welche das sind und was sich für Dich als Nutzer ändern wird, werden wir in unserem vierten und letzten Teil unserer Themenreihe erklären.
Wenn Du den letzten Teil unserer PSD2-Themenreihe nicht verpassen willst, folge uns einfach auf Facebook oder Twitter!
PSD2-Themenreihe
Teil 2 – Änderungen beim Online-Banking
Teil 3 – starke Kundenauthentifizierung und Bezahlen mit Kreditkarte
Teil 4 – was sich bei bonify ändert
Relevant:
PSD2: Polizei und Verbraucherschutz warnen vor betrügerischen Phishing-Mails