Starke Kundenauthentifizierung: Basiswissen für E-Commerce-Unternehmen

Familie & Finanzen: So gehen Familien in Deutschland mit Geld umFamilie & Finanzen: So gehen Familien in Deutschland mit Geld um
Iryna Agieieva
Head of Product - Payments
Product Lead. Datengetrieben und mit Leidenschaft für Zahlungslösungen.

Die starke Kundenauthentifizierung ist eine Sicherheitsanforderung der Europäischen Union für kontaktloses Bezahlen im Internet oder per Mobilgerät. Starke Kundenauthentifizierung ist Teil der zweiten Zahlungsdiensterichtlinie (PSD2), die zur Verbesserung des bestehenden Systems der Vergabe von Einmalpasswörtern (OTP) ausgearbeitet wurde.

Die Kundschaft mittels TAN oder SMS-Bestätigung um eine Authentifizierung ihrer Käufe zu bitten, war vor 10 Jahren sinnvoll, aber die Technologie für elektronische Zahlungen hat sich weiterentwickelt. Zudem haben Personen mit betrügerischen Absichten Schlupflöcher gefunden.

Die PSD2 schreibt eine Zwei-Wege-Identifikation beim Bezahlvorgang vor. Kaufinteressierte sind verpflichtet, sich zu authentifizieren – und Sie als Online-Unternehmen müssen die Prozesse für die entsprechenden Prüfvorgänge bereitstellen.

Inwiefern betrifft diese neue Authentifizierungsvorschrift also Ihr Unternehmen? Verringert der zusätzliche Aufwand beim Bezahlvorgang tatsächlich die Anzahl der Betrugsversuche?

Wir prüfen das.

Wann wurde starke Kundenauthentifizierung zur Pflicht?

Die Europäische Bankenaufsichtsbehörde EBA genehmigte die starke Kundenauthentifizierung 2019, aber die neue Vorschrift wurde für den E-Commerce in der EU erst am 1. Januar 2021 wirksam. 

Was ist die Zwei-Faktor-Identifizierung beim Bezahlvorgang?

Starke Kundenauthentifizierung bedeutet, dass die kaufinteressierte Person sich anhand von mindestens zwei Merkmalen aus den folgenden Kategorien authentifizieren muss:

  1. Wissen: etwas, das nur die Person weiß

  2. Besitz: etwas, das nur die Person besitzt

  3. Inhärenz: etwas, das nur die Person ist

Wissen: Etwas, das nur die Person weiß

Das kann ein Passwort, eine PIN oder die Antwort auf eine bestimmte Frage sein. Meist wird hierfür ein bestehendes Passwort oder eine 4-6-stellige Nummer verwendet, die man per Textnachricht erhält.

Besitz: Etwas, das nur die Person besitzt

Das kann zum Beispiel ein Mobiltelefon sein, ein Token-Generator, ein Kartenleser, ein Desktop-Computer, Tablet oder ein anderes autorisiertes Gerät. Dieser Teil der Prüfung erfolgt ohne aktive Eingabe der kaufinteressierten Person.

Inhärenz: Etwas, das nur die Person ist

Im Wesentlichen sind dies biometrischen Daten. Gesichtserkennung oder Fingerabdrücke sind dafür ein gutes Beispiel.

Starke Kundenauthentifizierung schreibt die Einhaltung der Zwei-Faktor-Authentifizierung vor, um die Wahrscheinlichkeit betrügerischer Handlungen zu verringern. Sie hilft zum Beispiel, sensible Daten der Kunden sicher und vor externen Parteien geheim zu halten.

Wann kommt starke Kundenauthentifizierung zum Einsatz?

Starke Kundenauthentifizierung (SCA) wird dann ausgelöst, wenn eine kaufinteressierte Person eine Online-Transaktion veranlasst und sowohl deren Bank als auch Ihre Bank sich in der EU oder in Großbritannien befinden.

Wenn Sie einer Person Geld zurückerstatten, findet die SCA zum Beispiel keine Anwendung, weil die Transaktion vom Unternehmen veranlasst wurde. Ist die Bank Ihrer Kundschaft in den USA und Ihre Bank in der EU (oder umgekehrt), wird die SCA auch nicht angewandt.

Welche Transaktionen sind von der starken Kundenauthentifizierung ausgenommen?

Der EU ist bewusst, dass zusätzliche Bearbeitungsschritte bei einem Online-Einkauf in einem sensiblen Teil des Kaufprozesses zusätzlichen Aufwand verursachen. Um diesen Aufwand zu verringern, wurden einige Ausnahmen von den SCA-Vorschriften eingeführt. Daher sind die folgenden Transaktionen von der SCA ausgenommen:

Transaktionen mit geringem Risiko

Einem etablierten Zahlungsdienstleister wird unter Umständen gestattet, das Betrugsrisiko für eine Transaktion zu berechnen und festzulegen, ob die SCA angewandt wird oder nicht.

Generell muss für eine Befreiung das vom Zahlungsdienstleister gemeldete Betrugsniveau geringer sein als die Referenzwerte für Betrug für die gleiche Transaktionsart in der gesamten EU.

Weitere Faktoren in der Berechnung sind ein Zahlbetrag unter 500 Euro und das Verhalten und der Standort der Kunden, da anhand dieser Werte ein Bezug zum normalen Verhalten für diese Online-Zahlungsmethode hergestellt wird.

Wichtig: Diese Beurteilung wird vom Zahlungsdienstleister durchgeführt und hat nichts mit dem Status oder dem Profil Ihres Unternehmens zu tun.

Zahlungen von Kleinbeträgen

Hat eine Person in den letzten 24 Stunden weniger als fünf Zahlungen getätigt oder liegt die Summe der Zahlungen in den letzten 24 Stunden unter 100 Euro, ist üblicherweise keine starke Kundenauthentifizierung erforderlich.

Wiederkehrende Zahlungen

Wenn Sie mit ihren Kunden monatlich über Kredit- oder Debitkarte abrechnen, wird die SCA nur auf die erste Zahlung angewandt. Ändert sich der Betrag allerdings jeden Monat, ist eventuell eine SCA erforderlich. Wiederkehrende Zahlungen sind meist Rechnungen für regelmäßige Dienstleistungen, Abonnements oder Ratenzahlungen.

Wiederkehrende Zahlungen, die über ein SEPA-Lastschriftmandat abgewickelt werden, haben eigene Sicherheitsverfahren und haben mit SCA-Schutzvorkehrungen nichts zu tun.

Allowlist-Mitglieder

Nutzt Ihre Kundschaft eine gewerbliche Kreditkarte, die auf das Geschäftskonto eines anderen Unternehmens ausgestellt wurde, dann ist wahrscheinlich für keine Transaktion eine SCA erforderlich, da die PSD2-Richtlinie nicht für Geschäfte zwischen Unternehmen gilt.

Wie funktioniert SCA bei digitalen Wallets?

Starke Kundenauthentifizierung ermöglicht schnelle und sichere Zahlungen mit Digital-Wallet-Anwendungen wie Apple Pay und Google Wallet.

Wie oben erläutert, sind für die SCA-Vorschriften zwei der drei Authentifizierungsmerkmale erforderlich. Da Digital Wallets meist auf Mobiltelefonen oder Tablets eingesetzt werden, die auch über eine Gesichtserkennung oder einen Fingerabdrucksensor verfügen, sind zwei der drei Vorschriften bereits erfüllt.

Dabei ist unerheblich, ob die kaufinteressierte Person eine Kredit- oder Debitkarte für die Zahlung verwendet. Solange deren Bank eine Registrierung der Karte bei Apple Pay oder Google Wallet zulässt, kann sie verwendet werden.

Wie kann man die starke Kundenauthentifizierung umsetzen?

Sie sind verpflichtet, sich an die neuen SCA-Vorschriften zu halten, wenn die folgenden Kriterien zutreffen:

  • Ihr Unternehmen ist im Europäischen Wirtschaftsraum (EWR) ansässig oder Sie leisten Zahlungen für verbundene Konten mit Sitz im EWR.

  • Ihre Kundschaft befindet sich im EWR.

  • Sie akzeptieren Kredit- oder Debitkarten.

Die einfachste Möglichkeit ist die Nutzung einer SCA-konformen Zahlungsschnittstelle, wie zum Beispiel Mollie.

Wenn Sie eine individuelle Zahlungsschnittstelle nutzen, müssen Ihre Entwickler sicherstellen, dass der Bezahlprozess Ihrer Website die zusätzlichen Authentifizierungs-Layer enthält. Mit diesen zusätzlichen Prüfungen können Banken die Informationen der Kundschaft mittels Zwei-Faktor-Authentifizierung verifizieren.

Weitere relevante Tipps zur Sicherheit und Gesetzeskonformität Ihrer E-Commerce-Zahlungen erhalten Sie bei Mollie. Registrieren Sie sich heute und bieten Sie in Ihrem E-Commerce-Shop sichere Zahlungsmethoden an.

Grow your way mit Mollie
Online payments akzeptieren