Bücher bestellen mit nur einem Klick oder den nächsten Urlaub buchen mit der Kreditkarte – Bezahlen im Internet ist auf Bequemlichkeit ausgelegt. Mit eingeloggtem PayPal-Konto oder den bereits hinterlegten Kreditkartendaten, denen nur die Prüfnummer hinzugefügt werden muss, geht der Online-Einkauf schnell von der Hand. Immer mehr gehen diese Verfahren jedoch zu Lasten der Sicherheit. Schätzungen zufolge beläuft sich der jährliche Schaden durch Kreditkartenbetrug allein in Europa auf rund 1,3 Milliarden Euro.  Abhilfe soll das neue Zahlungsverfahren mit Strong Customer Authentication (SCA) schaffen.

Hintergrund: neue EU-Regulierung für mehr IT-Sicherheit

Ab dem 14. September 2019 müssen sich Verbraucher im Onlinehandel auf eine Neuerung einstellen. Die gängigen Zahlungsmethoden werden in der bisher bekannten Form dann nicht mehr möglich sein. Mit einer starken Kundenauthentifizierung, auch Strong Customer Authentication (SCA), sollen Online-Zahlungen per Kreditkarte oder über Zahlungsanbieter wie PayPal sowohl für Verbraucher als auch für Unternehmen sicherer werden.

SCA ist der jüngste von einer ganzen Reihe von Schritten, um Bezahlvorgänge im Internet sicherer zu machen: Bereits 2015 wurde die neue EU-Richtline über Zahlungsdienste (Payment Services Directive 2, kurz PSD2) verabschiedet. Seit Anfang 2018 erfolgt die Umstellung der Schnittstellen zwischen Kunden und Banken. Ein Kernelement von PSD2 sind höhere Anforderungen an die IT-Sicherheit, die vor allem durch eine Zwei-Faktor-Authentifizierung (2FA) ermöglicht werden soll.

Funktionsweise: die Zwei-Faktor-Authentifizierung

Anstatt sich wie gewohnt nur auf ein Passwort oder Kreditkarten- samt Prüfnummer zu verlassen, müssen bei der 2FA-Methode zwei von drei Faktoren richtig vorliegen, um eine Zahlung in Auftrag geben zu können. Viele Anwender kennen dieses Verfahren bereits von Banktransaktionen. Dort wird zusätzlich zur PIN auch eine TAN-Nummer benötigt. Ein anderes Beispiel ist das Bezahlen mit Karte am Point-of-Sale, wenn zusätzlich zur Karte die Eingabe einer PIN verlangt wird.

Voraussetzung für das Zwei-aus-Drei-Prinzip ist, dass die drei Faktoren voneinander unabhängig ermittelt werden können.

Für das Online-Banking sind das beispielsweise folgende Faktoren:

  • etwas, das der Nutzer besitzt – z.B. die Girocard oder das Smartphone,
  • etwas, das der Nutzer weiß – z.B. ein Passwort oder eine PIN,
  • etwas, das der Nutzer ist (sogenannte Inhärenz) – z.B. ein biometrischer Nachweis.

Vorteile und Herausforderungen einer starken Kundenauthentifizierung

Ziel der Strong Customer Authentication ist in erster Linie, den Betrug bei Zahlungen im E-Commerce einzudämmen. Allerdings zieht die Änderung auf das neue System auch Kosten für Unternehmen nach sich. Das betrifft zum einen möglicherweise anfallende Einführungs- und Umstellungskosten, zum anderen können fehlgeschlagene Transaktionen oder andere Reibungsverluste auch zu Umsatzeinbrüchen führen. Auch die Nutzer müssen sich erst noch mit dem neuen Verfahren und dem zusätzlichen Schritt anfreunden. Da die neue Zahlungsmethode europaweit für den gesamten Onlinehandel vorgeschrieben wird, dürften sich Verbraucher und Unternehmer allerdings rasch an die neuen Methoden gewöhnen. Zudem gibt es auch hier einige Ausnahmen von der Regel, durch die der Einkauf im Internet wie gewohnt abläuft. Liegt die Rechnungshöhe unter 30 Euro, sind die Zahlungen von der doppelten Sicherheitsabfrage ausgenommen. Auch bei konventionellen Zahlungsmethoden wie Lastschrift, Rechnung oder Vorkasse ändert sich nichts.