Starke Kundenauthentifizierung erhöht die Sicherheit im Online-Payment und E-Commerce

Online-Banking, Social Media und Cloud-Dienste – sie zu nutzen ist einfach und bequem, keine Frage. Dennoch bleibt bei manchen Nutzern ein ungutes Gefühl. Laut einer Umfrage des Digitalverbandes Bitkom verzichten in Deutschland sechs von zehn Internetnutzern (62 Prozent) aus Sicherheitsgründen auf bestimmte Online-Services. Die Anbieter tun viel dafür, diese Bedenken zu zerstreuen. Banken beispielsweise haben intensiv am Vertrauensaufbau gearbeitet, mit Erfolg: Nur noch rund neun Prozent gaben an, aufgrund von Sicherheitsbedenken auf Online-Bankgeschäfte zu verzichten.

Und vermutlich wird diese Zahl weiter zurückgehen, denn die Sicherheitsanforderungen für das Online-Banking steigen: Ab dem 14. September sollte im Zuge der Umsetzung der PSD2-Richtlinie eine verstärkte Identitätsprüfung zur Pflicht werden. Mehr Sicherheit bedeutet aber häufig auch mehr Aufwand für den Endnutzer, daher waren Online-Händler und auch Zahlungsdienstleister nur mäßig begeistert von der bisherigen strikten Regelung. Ihre Argumente fanden Gehör: Die Europäische Bankenaufsicht (EBA) kündigte an, Übergangsfristen bei der starken Kundenauthentifizierung (Strong Customer Authentication, SCA) in Ausnahmefällen zu erlauben.

EBA kommt Online-Handel mit Übergangsfristen entgegen

Im Juni 2019 kündigte die Bankenaufsicht an, dass nationale Aufsichtsbehörden in Ausnahmefällen mehr Zeit zur Umsetzung der SCA gewähren dürfen. Grund dafür sei zum einen die Komplexität des EU-Zahlungsmarkts und zum anderen die Tatsache, dass die Regulierungen neben Banken und Zahlungsdienstleistern auch den Online-Handel betreffen. Damit kam die EBA einer Anfrage des europäischen Handelsverbandes EuroCommerce nach, der bei der Implementierung der SCA um einen schrittweisen Prozess bat. Der Handelsverband fürchtete, dass es andernfalls zu erheblichen Störungen im E-Commerce kommen könnte – und „negative Konsequenzen“ für den Kunden möchte auch die EBA vermeiden. Zwar gelten derartige Stellungnahmen der Europäischen Bankenaufsicht nicht verbindlich für die nationalen Aufsichtsbehörden. Dennoch besteht die realistische Chance, dass die Behörden in Einzelfällen zusätzliche Zeit zur Umsetzung der neuen SCA-Anforderungen einräumen werden.

SCA: Einfacher Schutz gegen Hacker, Datenklau & Co

Die starke Kundenauthentifizierung ist Bestandteil der EU-weiten Anforderungen, die mit der PSD2 obligatorisch werden. Ziel ist es, für mehr Sicherheit im Zahlungsverkehr und beim Zugriff auf das Bankkonto zu sorgen, um Betrüger und Hacker fernzuhalten. Auch für die Bezahlung beim Online-Einkauf wird eine Authentifizierung des Kunden notwendig. In der Praxis bedeutet das, dass beispielsweise bei Online-Zahlungen ein simpler und zugleich effektiver Schutzmechanismus zum Tragen kommt: Bei der Zwei-Faktor-Authentifizierung (2FA) ist das Konto nicht nur durch ein Passwort, sondern über eine zusätzliche Abfrage gesichert. Der Nutzer weist seine Identität durch die Kombination zweier unterschiedlicher und voneinander unabhängiger Komponenten nach. So wird – mit meist vertretbar wenig Aufwand – die Sicherheit der persönlichen Daten erhöht.

Die möglichen Identifizierungsverfahren sind in drei Kategorien eingeteilt: Wissen, Besitz oder Inhärenz. Eine PIN oder ein Passwort beispielsweise fällt in die Kategorie Wissen. Das Mobiltelefon ist in der Kategorie Besitz anzuordnen – wer Zugriff auf dieses hat, kann es etwa für die Eingabe einer Transaktionsnummer (TAN) nutzen, die via SMS mitgeteilt wurde. Ein biometrisches Kennzeichen wie der Fingerabdruck ist ein Beispiel für Inhärenz. Diese Merkmale müssen dem Nutzer persönlich bzw. körperlich zu eigen sein. Für die Freigabe einer Zahlung sind bei der 2FA zwei dieser drei Eigenschaften notwendig. Typische Beispiele reichen von der klassischen Kombination von Bankkarte und PIN am Geldautomaten bis hin zu Zugangscode plus biometrischer Abfrage wie Retina-Scan oder Fingerabdruck in sicherheitskritischen Anwendungsbereichen.

Veränderungen im Online-Banking

Die Nutzung der starken Authentifizierung auch im Online-Bereich bringt Änderungen mit sich. Eine davon ist die Abschaffung der papierenen iTAN-Listen. Zumindest bei Fernzahlungsvorgängen, also beispielsweise der Beauftragung einer Überweisung im Online-Banking, erfüllt das iTAN-Verfahren nicht länger die Sicherheitsanforderungen. Deshalb läuft es für derartige Zahlungen am 14. September 2019 aus. Aber auch die Online-Zahlung per Kreditkarte wird sich verändern. Bisher reicht oftmals die Angabe von Kartennummer, Prüfnummer oder Ablaufdatum, um eine Zahlung auszuführen. Dies entspricht jedoch nicht einer starken Kundenidentifizierung, denn diese Daten können leicht unabhängig von der Karte (Faktor Besitz) oder vom Wissen um sie genutzt werden – es genügt, sie einfach abzuschreiben.

Die Auflistung zeigt: Ganz so einfach ist eine Umsetzung nicht, und sie wird auf jeden Fall den einen oder anderen zusätzlichen Handgriff des Endkunden erfordern. Kein Wunder, dass Online-Händler auf längere Übergangsfristen hoffen. Im besten Fall aber haben sie bereits bei der Auswahl ihres Zahlungsdienstleisters ihre Hausaufgaben gemacht. Trustly beispielsweise spiegelt die von der Bank jeweils aktuell geforderten Prozesse zur Authentifizierung und zur Autorisierung von Zahlungen permanent im eigenen System. Damit ist sichergestellt, dass Händler bei Nutzung von Trustly als Zahlungsdienstleister jederzeit auf dem aktuellen Stand sind – ohne Updates oder sonstige Eingriffe, die Mehraufwand bedeuten würden. Eine aus Händlersicht ungleich bequemere Situation als im Falle von selbstprogrammierten Anbindungen in Zahlungssysteme, wo der Händler mit seinem Serviceprovider selbst Hand anlegen muss. In diesen Fällen kann sogar der Wechsel des Zahlungsdienstleisters die einfachere, schnellere und betriebssichere Alternative sein. Trotz Übergangsfrist gilt also: Es ist höchste Zeit, sich mit Zahlungsdienstleistern und dem Thema 2FA auseinanderzusetzen.

Kategorien