3 Min
Der Blick auf das Thema SCA aus unterschiedlicher Perspektive
SCA ist eine neue europäische Anforderung, die entwickelt wurde, um Online-Zahlungen sicherer zu machen. Wenn ein Käufer eine Zahlung tätigt, sind zusätzliche Authentifizierungsstufen erforderlich.
Ab dem 14. September 2019 sind alle europäischen Onlinehändler verpflichtet, für eine verbesserte Kundenauthentifizierung beim Online-Einkauf zu sorgen. Per Strong-Customer-Authentication (SCA) soll dann die Sicherheit elektronischer Zahlungen erhöht werden, um Kunden vor Betrug beim Online-Shopping zu schützen.
Ähnlich der DSGVO bedeutet das eine große Umstellung für den Onlinehandel.
Zurzeit wird ein Authentifizierungstool namens 3D Secure 1 von den Kartensystemen für die Verifizierung von Kartentransaktionen verwendet. Möglicherweise habt ihr den Prozess der Tätigung einer Online-Zahlung und der Weiterleitung auf eine neue Seite zur Eingabe eines Codes oft schon erlebt. Dabei handelt es sich um 3D Secure 1, das sicherstellt, dass ihr auch wirklich der seid, für den ihr euch online ausgebt.
Das neue Authentifizierungsverfahren soll in erster Linie Betrugsversuche detektieren, die gestohlene oder verlorengegangene Anmeldeinformationen eines Kunden verwenden. Durch 2FA wird sichergestellt, dass es sich bei dem Nutzer tatsächlich um den Berechtigten handelt, der in diesem Moment seine Zustimmung für die Übertragung von Geldern oder den Zugriff auf seine Kontoinformationen erteilt hat.
SCA wird also immer dann erforderlich, wenn der Kunde online auf sein Zahlungskonto zugreift oder eine elektronische Zahlung vornimmt. Die sichere Authentifizierung des Benutzers gelingt mit der Zwei-Faktor-Authentifizierung (2FA). Dafür müssen zwei von drei der folgenden Faktoren stimmen, mit denen sich der Nutzer verifiziert:
Wissen: Authentifizierung durch etwas, das der Kunde weiß (z. B. Passwort oder PIN)
Besitz: Authentifizierung durch etwas, das er besitzt (z. B. Token, Girocard oder Smartphone)
Inhärenz:
Authentifizierung durch etwas, das ihn auszeichnet (z. B. biometrische
Eigenschaften wie Fingerabdruck, Scan der Iris oder Gesichtsmerkmale)
Die Zwei-Faktor-Authentifizierung ist kein neues Verfahren, vielen ist sie sicher bereits bekannt. Allerdings ist ihr Einsatz im Zuge von PSD 2 erstmals bei allen elektronischen Zahlungen verpflichtend.
Insbesondere beim Banking, Login für soziale Netzwerke oder eigenen Google-Konto kann der Nutzer bereits 2FA einstellen, um seine Daten zu schützen. Oftmals erfolgt die Authentifizierung über PIN und TAN, den Fingerabdruckscanner des Smartphones oder die Zusendung eines Codes per SMS.
Zusätzlich gibt es Authenticator Apps, mit denen man 2FA auch dann nutzen kann, wenn das Smartphone offline ist.
Onlineshops nutzen das Verfahren bisher nur in geringem Umfang, da sich jeder zusätzliche Schritt im Checkout-Bereich auf die Conversion auswirken kann.
Doch es gibt auch Ausnahmen:
Die EU-weite Verordnung PSD 2 wird von den Regulierungsbehörden der verschiedenen Länder unterschiedlich interpretiert. Darüber hinaus gelten für Kartennetze und Banken eigene Vorgaben.
- SCA ist nicht notwendig bei Transaktionen mit geringen Wert: Das betrifft Transaktionen unter 30 Euro ebenso wie den Fall, dass Transaktionen ohne SCA in den vergangenen 24 Stunden zusammen 100 Euro nicht überschreiten. Außerdem wird für jede fünfte Transaktion SCA notwendig.
- SCA ist nicht notwendig bei Transaktion mit geringem Risiko: Zahlungsdienstleister können eine sogenannte Transaktionsrisikoanalyse durchführen. Dabei werden eingehende Zahlungen auf ihr Betrugsrisiko hin gecheckt. Fällt dieses gering aus, ist SCA nicht erforderlich.
- SCA ist nicht notwendig bei B2B-Transaktionen: Bei Zahlungsvorgängen zwischen Unternehmen kann eine Befreiung auf Basis der Transaktionsrisikoanalyse erfolgen, solange diese eine Zahlungsmethode nutzen, die für solche B2B-Zahlungen bestimmt ist.
- SCA ist nur einmalig notwendig bei Abonnements oder wiederkehrenden Zahlungen: Das ist vor allem für Anbieter von Abonnements relevant. Bei wiederkehrenden Einkäufen ist SCA nur einmalig notwendig, wenn der Beitrag gleich bleibt. Auch beim Anlegen eines Dauerauftrags ist SCA nur einmal erforderlich.
- SCA ist nur einmalig notwendig bei vertrauenswürdigen Zahlungsempfängern: Nutzer können bei ihrer Bank eine Whitelist erstellen, auf der sie vertrauenswürdige Empfänger hinterlegen. Zahlungen müssen dann nur einmal authentifiziert werden.
Die gesetzliche Anforderung der starken Kundenauthentifikation SCA beschäftigte in den letzten Wochen und Monaten die Industrie und bewegte die Gemüter. Auch wir haben uns bereits mehrfach mit dem Thema beschäftigt, z.B. in den Podcasts #197 oder #204. Bei der Digital Finance-Konferenz des Bitkom vor wenigen Tagen in Berlin haben die Chance genutzt das Thema und den Status der Umsetzung nochmals vertiefend von verschiedenen Seiten zu beleuchten. Mit unseren Gästen Steffen von Blumroeder aus Bankensicht ( Head of Regulatory Managment – DKB), Vincent Haupert aus Securitysicht (Sicherheitsforscher – der FAU Erlangen-Nürnberg) und Fabian Mansfeld aus Händlersicht (vormals Zalando und Sixt Group) haben wir über die SCA aus den jeweiligen Perspektiven gesprochen und versucht Gemeinsamkeiten aber auch noch Probleme bei der Herausforderung der Umsetzung zu identifizieren.
Die Diskussion wird geleitet von den Hosts Jochen Siegert und Rafael Otero aus dem Payment & Banking Team. André Bajorat ist später noch zufällig dazu gestoßen.
Wir danken unseren Sponsoren
Wenn es Euch gefällt, abonniert den Podcast doch bei bei Soundcloud, Spotify und iTunes und bewertet diesen mit 5 Sternen *****
