Starke Kundenauthentifizierung gemäß Regulierungsstandards der Europäischen Bankenaufsicht

2018
© thinkstock by bluejayphoto

Das Thema Kundenauthentifizierung nimmt im Bank- und Zahlungswesen einen immer wichtigeren Platz ein, spätestens seitdem die Europäische Bankenaufsicht (EBA) im Februar ihren finalen Entwurf der technischen Regulierungsstandards (RTS) veröffentlichte. Die neuen Regulierungsstandards sollen die Bestimmungen der überarbeiteten Zahlungsdiensterichtlinie – kurz: PSD2 (Payment Service Directive) – konkretisieren.

Laut dieser Richtlinie sind in der Zukunft bestimmte Kontozugriffe sowie Zahlungen nur in Verbindung mit einer starken Kundenauthentifizierung (Strong Customer Authentification, SCA) möglich. Hierunter versteht man die Authentifizierung des Kunden unter Zuhilfenahme von zwei oder mehr Faktoren aus verschiedenen Kategorien, zum Beispiel:

  • Wissen (PIN etc.)
  • Besitz (Karte etc.)
  • Inhärenz (Fingerabdruck etc.)

Doch was bedeuten die neuen technischen Regulierungsstandards für Banken und damit letztendlich auch für den Kunden? Wir wird sich die SCA (Strong Customer Authentification = Starke Kundenauthentifizierung) im EU-weiten Massenzahlungsverkehr auswirken? Gerade in diesem Zusammenhang stellen sich diverse weitere Fragen:

  • Wird es zukünftig möglich sein, kontaktlose Zahlungen an der Ladenkasse auch ohne Eingabe einer PIN zu tätigen? Und, wenn ja, bis zu welcher Höhe?
  • Bis zu welchem Betrag können Fernzahlungen – z. B. über das Internet oder ein Mobiltelefon – getätigt werden, die nur mit einem einzigen Faktor zu bestätigen sind?
  • Und wie sieht es bei Zahlungen an sogenannten „Unbedienten Terminals“ im Transportwesen aus? Hierzu zählen beispielsweise Fahrkartenautomaten, Mautstellen und Automaten für Parkgebühren.
  • Und nicht zuletzt: Wie hoch müssen die Sicherheitsmechanismen ausfallen, wenn Bankkunden Transaktionen zwischen eigenen Konten beim gleichen Institut vornehmen oder Zahlungen vertrauenswürdige Dritte leisten?

Fragen über Fragen – von denen wir zumindest die wichtigsten in diesem Ratgeber aufgreifen und so knapp wie möglich (aber so umfangreich wie nötig) beantworten möchten.

Surftipp: Zum Girokonto-Vergleich

Derzeitiger Stand der Dinge

Im Februar dieses Jahres wurde der finale Entwurf der RTS durch die EBA veröffentlicht. Der finale Inhalt steht jedoch erst dann fest, wenn die EU-Kommission den Entwurf angenommen hat. Bis dahin sind Änderungen grundsätzlich möglich. Nach der Annahme stehen allerdings noch Prüfungen an, sowohl durch das Europäische Parlament als auch durch den Rat.

Außerdem gilt eine Übergangsfrist von 18 Monaten nach Inkrafttreten. Erst nach deren Verstreichen ist die Anwendung der RTS für Banken und andere Finanzdienstleister verpflichtend – vorausgesetzt der Entwurf passiert alle zuvor genannten Instanzen erfolgreich.

Hintergrundinfos zu PSD & PSD2

2018
© thinkstock by Pe3check

Das Kürzel PSD2 kennzeichnet die Zahlungsdiensterichtlinie 2015/2366, welche die PSD Richtlinie 2007/64/EG ersetzt. Es handelt sich hierbei um eine EU-Richtlinie, die von der Europäischen Kommission (Generaldirektion Binnenmarkt) zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern in der Europäischen Union (EU) und im Europäischen Wirtschaftsraum (EWR) verwaltet wird. Ziel der Richtlinie ist es, den europaweiten Wettbewerb und die Beteiligung von Nichtbanken am Zahlungsverkehr zu erhöhen und gleiche Wettbewerbsbedingungen zu schaffen, indem der Verbraucherschutz sowie die Rechte und Pflichten der Zahlungsanbieter und -nutzer harmonisiert werden.

Die SEPA (Single Euro Payments Area) ist eine Selbstregulierungsinitiative des im European Payments Council vertretenen europäischen Bankensektors, die die Harmonisierung von Zahlungsverkehrsprodukten, Infrastrukturen und technischen Standards (u. a. BIC, IBAN, EMV Chipkarten / Terminals usw.) definiert. Die PSD gibt den rechtlichen Rahmen vor, innerhalb dessen sich alle Zahlungsdienstleister bewegen müssen.

Der Zweck der PSD gegenüber den Verbrauchern besteht darin, die Kundenrechte zu erhöhen, schnellere Zahlungen zu garantieren (z. B. Überweisungen spätestens am nächsten Tag ab dem 1. Januar 2012), Erstattungsansprüche zu beschreiben und klarere Informationen über Zahlungen zu geben. Obwohl es sich bei der PSD um eine Maximalharmonisierungsrichtlinie handelt, lassen bestimmte Elemente unterschiedliche Optionen der einzelnen Länder zu.

Der endgültig verabschiedete Text der PSD trat am 25. Dezember 2007 in Kraft und sollte von allen EU- und EWR-Mitgliedstaaten bis spätestens 1. November 2009 in nationales Recht umgesetzt werden.

Woraus besteht die Zahlungsdiensterichtlinie?

Die PSD besteht aus zwei Hauptteilen:

  • Die Marktregeln erörtern die Art von Organisationen, welche Zahlungsdienste anbieten können. Dies sind z. B. Kreditinstitute und bestimmten Behörden (etwa Zentralbanken und Regierungsstellen) sowie sogenannte „E-Geld-Institute“, die im Jahr 2000 durch die E-Geld-Richtlinie geschaffen wurden. Speziell hierfür schuf man die neue Kategorie „Zahlungsinstitute“, welch eigene Aufsichtsregeln besitzt. Organisationen, die keine Funktion als Kreditinstitut oder EMI erfüllen, können in jedem EU-Land, in dem sie niedergelassen sind, eine Zulassung als Zahlungsinstitut beantragen (sofern sie bestimmte Kapital- und Risikomanagementanforderungen erfüllen) und dann ihre Zahlungsdienste ohne zusätzliche PI-Anforderungen in anderen EU-Mitgliedstaaten einführen.
  • Die „Regeln für das Geschäftsgebaren“ legen fest, welche Transparenz der Informationszahlungsdienstleister bieten muss. Hierzu zählen zum Beispiel Gebühren und Wechselkurse sowie Transaktionsreferenzen und die maximale Ausführungszeit. Ebenso werden die Rechte und Pflichten von Zahlungsdienstleistern und Nutzern, die Autorisierung und Durchführung von Transaktionen, die Haftung bei unbefugter Nutzung von Zahlungsinstrumenten, die Rückerstattung von Zahlungen, der Widerruf von Zahlungsaufträgen und die Wertstellung von Zahlungen festgelegt.

Surftipp: Die novellierte EU-Zahlungsdienstrichtline (PSD II)


Jedes Land muss eine Behörde benennen, die für die Beaufsichtigung der PIs zuständig ist und die Einhaltung der in nationales Recht umgesetzten Verhaltensregeln überwacht.

Die PSD wurde jeweils 2009 (EG-Verordnung 924/2009) und 2012 (EU-Verordnung 260/2012) aktualisiert. In einem Umsetzungsbericht von 2013 wurde festgestellt, dass die PSD die „Bereitstellung einheitlicher Zahlungsdienste in der EU“ erleichtert und die Rechts- und Produktionskosten für viele Zahlungsdienstleister gesenkt hat. Allerdings wurden die erwarteten Vorteile noch nicht vollständig realisiert. Weiterhin stellte man fest, dass das Update 2009 gut funktioniert. So folgten die Gebühren für 100 Euro-Überweisungen einem weiteren Abwärtstrend auf 0,50 Euro im Durchschnitt des Euro-Währungsgebiets für online eingeleitete Überweisungen und blieben mit 3,10 Euro für am Bankschalter eingeleitete Überweisungen recht niedrig.

Allerdings gilt die PSD gilt nur für Zahlungen innerhalb des Europäischen Wirtschaftsraums, nicht aber für Transaktionen in oder aus Drittländern. Zudem lassen die Ausnahmen von der PSD die Nutzer in etlichen Situationen ungeschützt. Diesem (und anderen) Problemen soll sich die folgende Überarbeitung annehmen.

Einführung der überarbeiteten Richtlinie für Zahlungsdienste (PSD2)

Im Oktober 2015 wurde der Vorschlag der Europäischen Kommission, sicherere und innovativere Zahlungen im EU-Raum zu schaffen (PSD2, EU-Richtlinie 2015/2366), vom Europäischen Parlament verabschiedet. Die neuen Vorschriften sollen den Verbraucher beim Online-Zahlen besser schützen sowie die Entwicklung und Nutzung innovativer Online- und Mobilzahlungen, beispielsweise durch ein offenes Bankwesen, fördern. Und auch grenzüberschreitende europäische Zahlungsdienste sollen sicherer gemacht werden.

Am 16. November 2015 verabschiedete schließlich auch der Rat der Europäischen Union die PSD2. Die Mitgliedstaaten hatten ab diesem Zeitpunkt zwei Jahre Zeit, um die Richtlinie in nationales Recht umzusetzen. Am 13. Januar 2018 ist die PSD2 schlussendlich in Kraft getreten.

Was sind RTS der EBA?

Die Europäische Kommission hat im November 2017 die delegierte Verordnung über technische Regulierungsstandards (RTS) verabschiedet. Diese Standards enthalten detaillierte Spezifikationen, um die strengen Sicherheitsanforderungen für Zahlungsdienstleister in der EU zu erfüllen. Die Standards beziehen sich auf die PSD2-Richtlinie sowie andere Mechanismen zur Gewährleistung der Transaktionssicherheit wie eIDAS und Trust Services.

Die Hauptausrichtung des RTS lautet wie folgt:

  • Sicherstellung einer starken Kundenauthentifizierung (SCA) gemäß der überarbeiteten Richtlinie über Zahlungsdienste (allgemein bekannt als PSD2). Dies erfordert die Übernahme bestimmter Sicherheitselemente, einschließlich derjenigen, die im Rahmen von eIDAS vorgesehen sind.
  • Definition von Ausnahmen von SCA für bestimmte Fälle auf der Grundlage von Transaktionsbetrag, Risiko, Modus und anderen Merkmalen. Damit ist eine risikoadäquate Behandlung der Geschäfte gewährleistet. Eine solche differenzierte Behandlung gewährleistet ein optimales Gleichgewicht zwischen Sicherheit und Geschwindigkeit.
  • Gewährleistung der Vertraulichkeit und Integrität der Benutzerdaten.
  • Schaffung offener und standardisierter Kommunikationskanäle zwischen allen Beteiligten – AISPs, PISPs, Banken, Finanzinstituten, Zahlungsempfängern, Zahlern und anderen Dienstleistern gemäß PSD2. Dies gewährleistet nicht nur eine angemessene Sicherheit, sondern stellt auch die AISPs und PISPs auf die gleiche Stufe wie die Finanzinstitute.

Die Idee dahinter ist, eine sichere Umgebung für die Zahlungsabwicklung zu schaffen und finanziellen Betrug sowie Diebstahl zu verhindern. Dies geschieht durch starke Kundenauthentifizierung und Transaktionsüberwachung, mit der Betrugsfälle schnell und sicher aufzudecken sind.

Surftipp: Die besten Kreditkarten im Vergleich

Wissen, Besitz und Inhärenz

Die für eine starke Kundenauthentifizierung erforderlichen Elemente sind im RTS in Wissen, Besitzt und Inhärenz aufgeteilt. Diese Elemente müssen unabhängig voneinander sein. So kann das Betrugsrisiko verringert werden, auch wenn einer der Faktoren „gefährdet“ ist. Eine Kombination mehrerer Faktoren, die über einen sicheren Kanal übertragen werden, kann das höchstmögliche Maß an Sicherheit für Finanztransaktionen gewährleisten.

Qualifizierte Siegel und Zertifikate

Die Standards schreiben die Verwendung qualifizierter elektronischer Siegel und qualifizierter Websiteauthentifizierungen für die Kommunikation zwischen Zahlungsdienstleistern vor. Diese Elemente sind in den Anhängen III und IV der eIDAS-Verordnung detailliert definiert und bieten das hohe Maß an Sicherheit, welches für Finanztransaktionen erforderlich ist.

Zertifikate zur Website-Authentifizierung spielen eine sehr wichtige Rolle bei der Gewährleistung der Sicherheit und Integrität von Online-Transaktionen. Kein Wunder also, dass fast zwei Drittel aller Websites diese Zertifikate nutzen. Qualified Certificates for Website Authentication (QWAC) bieten zusätzliche Sicherheit, die im Rahmen der eIDAS-Verordnung definiert wurde und nun durch RTS für den Zahlungsverkehr vorgeschrieben wird.

Sichere und offene Kommunikationskanäle

2018
© thinkstock by Natali Mis

PSD2 wurde entwickelt, um gleiche Wettbewerbsbedingungen zu gewährleisten und Innovationen in der Zahlungsverkehrsbranche zu fördern. Eine sichere und offene Kommunikation zwischen Finanzinstituten und Zahlungsdienstleistern ist eine wichtige Voraussetzung für die Gewährleistung von Fairness. Die technischen Standards schreiben die Existenz mindestens einer Schnittstelle vor, die Finanzinstitute bereitstellen müssen, um Informationen sicher zu senden und zu empfangen. Darüber hinaus müssen das Leistungsniveau und die Verfügbarkeit der Schnittstelle zuverlässig und sicher beschaffen sein.

Über die EBA

Die European Banking Authority (EBA) ist die Bankenaufsichtsbehörde der Europäischen Union. Ihr Sitz befindet sich in London. Sie führt unter anderem Stresstests bei europäischen Banken durch, um Schwachstellen in den Kapitalstrukturen der Banken zu finden und aufzudecken und die Transparenz des europäischen Finanzsystems insgesamt zu erhöhen.

Die EBA wurde am 1. Januar 2011 gegründet. Sie übernahm direkt nach der Gründung alle Aufgaben und Zuständigkeiten des Ausschusses der Europäischen Bankaufsichtsbehörden (CEBS). Nach dem Rückzug von Großbritannien aus dem Referendum der Europäischen Union wird die EBA in Kürze nach Paris umziehen.

Aufgaben und Befugnisse der EBA

Die EBA hat die Befugnis, nationale Regulierungsbehörden zu überstimmen, wenn sie ihre Banken nicht ordnungsgemäß regulieren. Aufgabe der EBA ist es zudem, Regulierungsarbitrage zu verhindern und den Banken einen fairen Wettbewerb in der gesamten EU zu ermöglichen.

Eine der Hauptaufgaben der EBA besteht darin, durch die Verabschiedung verbindlicher technischer Standards und Leitlinien zur Schaffung eines einheitlichen europäischen Regelwerks im Bankwesen beizutragen. Das einheitliche Regelwerk zielt darauf ab, ein Paket harmonisierter Aufsichtsregeln für Finanzinstitute in der gesamten EU bereitzustellen, um gleiche Wettbewerbsbedingungen zu schaffen und den Einlegern, Anlegern und Verbrauchern einen hohen Schutz zu bieten.

Die Behörde spielt auch eine wichtige Rolle bei der Förderung der Konvergenz der Aufsichtspraktiken, um eine harmonisierte Anwendung der Aufsichtsregeln zu gewährleisten. Schließlich ist die EBA damit beauftragt, Risiken und Schwachstellen im EU-Bankensektor insbesondere durch regelmäßige Risikobewertungsberichte und europaweite Stresstests zu bewerten.

Weitere Aufgaben, die im Mandat der EBA festgelegt wurden, sind:

  • Untersuchung der angeblich falschen oder unzureichenden Anwendung des EU-Rechts durch die nationalen Behörden.
  • Entscheidungen zu treffen, die sich an einzelne zuständige Behörden oder Finanzinstitute in Notsituationen richten.
  • Vermittlung zur Beilegung von Meinungsverschiedenheiten zwischen den zuständigen Behörden in grenzüberschreitenden Situationen.
  • Unabhängiges Beratungsgremium für das Europäische Parlament, den Rat oder die Kommission.
  • Übernahme einer führenden Rolle bei der Förderung von Transparenz, Einfachheit und Fairness auf dem Markt für Finanzprodukte oder -dienstleistungen für Verbraucher im gesamten Binnenmarkt.

Zur Erfüllung dieser Aufgaben kann das EBA eine Reihe von regulatorischen und nicht regulatorischen Maßnahmen erlassen, darunter verbindliche technische Standards, Richtlinien, Empfehlungen, Stellungnahmen und Ad-hoc- oder regelmäßige Berichte. Die verbindlichen technischen Normen sind Rechtsakte, welche bestimmte Aspekte eines EU-Rechtstextes (Richtlinie bzw. Verordnung) spezifizieren und auf eine kohärente Harmonisierung in bestimmten Bereichen abzielen. Das EBA entwickelt einen Entwurf, der schließlich von der Europäischen Kommission gebilligt und angenommen wird. Im Gegensatz zu anderen Dokumenten wie Leitlinien oder Empfehlungen ist das BTS in allen Mitgliedstaaten rechtsverbindlich und unmittelbar anwendbar.

Common Reporting (COREP)

Der sogenannte COREP ist der standardisierte Berichtsrahmen der EBA für die Berichterstattung nach der Eigenkapitalrichtlinie. Sie deckt Kreditrisiken, Marktrisiken, operationelle Risiken, Eigenmittel etc. ab. Der Berichtsrahmen wurde von fast allen europäischen Ländern übernommen. Regulierte Institutionen sind regelmäßig verpflichtet, COREP-Berichte sowohl auf Einzel- als auch auf konsolidierter Basis einzureichen.

Als Folge des geplanten Rückzugs des Vereinigten Königreichs aus der Europäischen Union arbeitete die Europäische Kommission an Plänen, das EBA aus dem Vereinigten Königreich zu verlagern, um den Sitz innerhalb der übrigen EU-Mitgliedstaaten beizubehalten. Als zukünftige Standorte standen Brüssel, Dublin, Frankfurt, Luxemburg, Paris, Prag, Wien und Warschau zur Auswahl. Schließlich wurde im November 2017 Paris als neuer Standort durch Verlosung ausgewählt.

Was versteht die EBA unter „starker Kundenauthentifizierung“ und welche Vorschriften macht sie hierzu?

Starke Authentifizierung wird oft mit Zwei-Faktor-Authentifizierung oder allgemeiner mit Multi-Faktor-Authentifizierung gleichgesetzt. Eine starke Authentifizierung ist jedoch nicht unbedingt eine Multi-Faktor-Authentifizierung. Das Einholen mehrerer Antworten auf Fragen kann zwar als starke Authentifizierung angesehen werden, wenn der Prozess jedoch nicht auch Faktoren wie „Etwas, das Sie haben“ bzw. „Etwas, das Sie sind“ mit einbezieht, wird er nicht als Multi-Faktor-Authentifizierung betrachtet. Es wurden ergänzende Leitlinien zu diesem Thema herausgegeben, in denen klargestellt ist:

„Per Definition erfordert eine echte Multifaktor-Authentifizierung den Einsatz von Lösungen aus zwei oder mehr der drei Kategorien von Faktoren. Die Verwendung mehrerer Lösungen der gleichen Kategorie würde keine Multifaktor-Authentifizierung darstellen.“

Eine weitere, häufig anzutreffende Klasse von Definitionen bezieht sich auf einen kryptographischen Prozess, genauer gesagt auf die Authentifizierung auf Basis eines Challenge-Response-Protokolls. Diese Art der Definition bezieht sich nicht unbedingt auf die Zwei-Faktor-Authentifizierung, da der in einem Challenge-Response-Authentifizierungsschema verwendete geheime Schlüssel einfach aus einem Passwort (ein Faktor) abgeleitet werden kann.

Eine dritte Klasse von Definitionen besagt, dass eine starke Authentifizierung jede Form der Authentifizierung darstellt, bei der die Überprüfung ohne Übertragung eines Kennworts durchgeführt wird.

Die vierte Klasse, die in den Ländern der EU und der SEPA-Zone rechtlich verankert wurde, ist die der Europäischen Zentralbank für die Fernauthentifizierung (online bzw. mobil). Bereits im Januar 2013 hat die Europäische Zentralbank (EZB) verbindliche Richtlinien herausgegeben, die alle Zahlungsgateways, Emittenten, gemeinsamen Emittenten und Institute, die gemeinsam die als „Payment Service Provider (PSPs)“ definierte Gruppe bilden, verpflichteten, innerhalb einer definierten Frist eine starke Kundenauthentifizierung einzuführen. Die Anforderungen beziehen sich auf Remote-Kreditkartentransaktionen (online, mobil und im Internet), einschließlich e-Mandate, eWallets, gespeicherte Wertkarten und Überweisungen.

Wo gelten die Richtlinien der EZB?

2018
© thinkstock by nito100

Die verbindlichen Richtlinien der EZB gelten innerhalb des einheitlichen Euro-Zahlungsverkehrsraums (SEPA), der die EU-Mitgliedstaaten sowie die Schweiz, Norwegen, Liechtenstein, Island und Monaco umfasst. Besonders hervorzuheben ist, dass PSPs, die keine starke Authentifizierung implementieren, für Kreditkarten- und andere Betrugsfälle in ihren Netzwerken haftbar sind.

Die Europäische Kommission hat einen Gesetzesentwurf zur Zahlungsdiensterichtlinie veröffentlicht. Es handelt sich hierbei um die Version „PSD2“, welche für alle Online-Transaktionen eine starke Authentifizierung gemäß den EZB-Richtlinien vorschreibt. Hierbei handelt es sich um eine wichtige Änderung für den Betrieb von Online-Transaktionen innerhalb des SEPA-Raums und eine weltweite Neuerung.

Die Definition der EZB bzgl. einer starker Kundenauthentifizierung ist ein Verfahren, das auf der Verwendung von zwei oder mehr der folgenden Elemente basiert:

  1. Wissen: Etwas, das nur der Benutzer kennt, z. B. ein statisches Passwort, einen Code oder eine persönliche Identifikationsnummer.
  2. Eigentum: Etwas, das nur der Benutzer besitzt, z. B. einen Token, eine Chipkarte oder ein Mobiltelefon.
  3. Inhärenz: Etwas, das der Benutzer ist, z. B. ein biometrisches Merkmal (Fingerabdruck, Iris-Scan etc.).

Darüber hinaus müssen die ausgewählten Elemente voneinander unabhängig sein, d. h. der Bruch des einen beeinträchtigt den anderen nicht. Mindestens eines der Elemente sollte nicht wiederverwendbar und nicht reproduzierbar sein (mit Ausnahme von Inhärenz), und nicht über das Internet entwendet werden können. Das Verfahren der starken Kundenauthentifizierung sollte so gestaltet sein, dass die Vertraulichkeit der Authentifizierungsdaten gewahrt bleibt. Mehr dazu am Ende dieses Ratgebers.

Surftipp: Zum Depot-Vergleich

Unterschied zu anderen Verfahren zur Kundenauthentifizierung

Die EZB unterscheidet sich in ihrer Anwendung der starken Kundenauthentifizierung von der Zwei-Faktor-Authentifizierung, wie sie z. B. bei Twitter oder Google eingesetzt wird. Der Unterschied besteht insbesondere darin, dass die starke Authentifizierung der EZB immer auf eine Person (oder ein Unternehmen) zurückgeführt werden kann, die in Übereinstimmung mit den für ein Konto bei einem Finanzdienstleister geltenden Gesetzen zur Bekämpfung der Geldwäsche und Terrorismusfinanzierung identifiziert wurde. So ist es zwar möglich, ein Konto unter einem Pseudonym bei Twitter, Apple, Google usw. zu eröffnen und verschiedene Faktoren wie Mobiltelefon, Biometrie, andere E-Mail-Adressen oder wissensbasierte Authentifizierung hinzuzufügen, aber es ist nicht möglich, ein Bankkonto oder Kreditkartenkonto zu eröffnen, ohne vorher gemäß den gesetzlichen Anforderungen identifiziert worden zu sein. Bestimmte Faktoren können dem Konto hinzugefügt werden, nachdem es eröffnet und die Person identifiziert wurde.

Die Anforderungen der EZB sind technologieneutral, um Innovation und Wettbewerb zu fördern. Der öffentliche Einreichungsprozess bei der EZB hat drei Lösungen identifiziert, von denen zwei auf der Reliance-Authentifizierung basieren. Die dritte Lösung stellt eine neue Variante von 3-D Secure (Verwendung von Einmalpasswörtern) dar.

Hier eine (nicht abschließende) Auswahl von Kartensystemen, für die die Anforderungen der EZB in der EU bzw. im SEPA-Raum gelten:

  • American Express
  • Bancomat
  • Cashlink
  • Cofidis
  • Debitkarten
  • Diners Club International
  • Girocard
  • JCB International
  • LaserCard
  • MasterCard Europe
  • PIN
  • Multibanco
  • Visa Europe

Wie ist der Ablauf einer sogenannten „Starken Kundenauthentifizierung“?

Mit dem Vorgang zur starken Kundenauthentifizierung muss ein nur einmalig verwendbarer Authentifizierungscode generiert werden. Die Anforderungen an diesen Code lauten wie folgt:

  • Er darf keine auf einem der genannten Elemente (Wissen, Besitz und Inhärenz) bzw. den damit verbundenen Informationen basieren.
  • Es darf nicht möglich sein, basierend auf dem ausgegebenen Autentifizierungscode einen neuen Authentifizierungscode zu generieren.
  • Es muss sichergestellt sein, dass der Authentifizierungscode nicht gefälscht werden kann.

Das Verfahren zur starken Kundenauthentifizierung enthält außerdem einen Mechanismus, mit dem der Zeitraum des Zugriffs auf ein Zahlungskonto beschränkt werden kann. Weiterhin wird die Zahl der möglichen Fehlversuche innerhalb eines ebenfalls definierten Zeitraums eingeschränkt.

Weitere Sicherheitsmechanismen, die bei der Durchführung der starken Kundenauthentifizierung zum Tragen kommen, sind:

  • Die Kommunikationsverfahren werden gegen unerlaubte Datenzugriffe und Manipulation geschützt.
  • Betrügerische Zahlungstransaktionen können vor der Durchführung erkannt, geblockt oder ganz vermieden werden.
  • Die Sicherheit des Kundenauthentifizierungsverfahrens wird regelmäßig von internen und/oder externen, zertifizierten Prüfern getestet und evaluiert.

Wo muss eine starke Kundenauthentifizierung erfolgen und welche Ausnahmen gibt es?

Grundsätzlich gilt: Die Verantwortung für die Authentifizierung des Benutzers (Konsumenten) liegt bei den Payment Service Providern (PSPs), genauer gesagt dem Acquirer oder PSP des zu zahlenden Händlers (Zahlungsempfänger) und dem Emittenten oder PSP des Zahlungsinstruments des Konsumenten (Zahlers).

Es wird erwartet, dass der PSP des Händlers die starke Kundenauthentifizierung (SCA) initiiert, denn wenn der Zahlungsempfänger (oder sein PSP) SCA nicht akzeptiert, muss er dem PSP des Zahlers den entstandenen finanziellen Schaden ersetzen (z. B. im Falle einer betrügerischen Transaktion). Der PSP des Verbrauchers kann weiterhin auf SCA bestehen, wenn sie nicht vom Zahlungsempfänger initiiert wird, da der Zahler nur dann für etwaige Vermögensschäden haftet, wenn er betrügerisch gehandelt hat.

Die Haftung für die starke Kundenauthentifizierung liegt daher bei den PSPs, die die notwendige Infrastruktur und Sicherheitsmaßnahmen einführen müssen, um die für eine starke Kundenauthentifizierung spezifizierten Verfahren unterstützen zu können.

Darüber hinaus müssen die PSPs ihre bestehenden Betrugsüberwachungsmechanismen kontinuierlich überwachen und optimieren, um ihre Betrugsraten unter dem im RTS festgelegten Referenzwert namens „Freistellungsschwellenwert“ zu halten.

Anwendungsbereich der starken Kundenauthentifizierung bei Zahlung in/aus Drittländern

2018
© thinkstock by tumsasedgars

Der Anwendungsbereich von PSD2 umfasst auch Zahlungen in und aus Drittländern außerhalb der EU, bei denen sich einer der PSPs in der EU befindet. PSD2 wirkt sich also auf einen PSP aus, wenn Gelder auf einem Verrechnungskonto einer seiner in der EU domizilierten Einheiten gutgeschrieben werden, und die erforderlichen Informationen dieser Einheit zur Verfügung stehen (für eingehende Zahlungen), bzw. bis das Verrechnungskonto belastet wird (für ausgehende Zahlungen).

Auch wenn die Verantwortung bei den PSPs liegt, bedeutet das nicht, dass die Handelsunternehmen nicht betroffen sind. Sie müssen ihre Technologien aktualisieren und die Integration der von ihnen akzeptierten Zahlungsmethoden ändern, um eine starke Kundenauthentifizierung durch ihren PSP für die Transaktionen ihrer Kunden zu ermöglichen.

Wann wird die starke Kundenauthentifizierung nun konkret benötigt?

Grundsätzlich muss die starke Kundenauthentifizierung bei allen Verfahren zur elektronischen Zahlung angewendet werden – abgesehen von den Ausnahmen, die nachfolgend dargestellt werden.

Die Absicht der starken Kundenauthentifizierung besteht nicht nur darin, Online-Zahlungsbetrug zu reduzieren, sondern auch darin, das Vertrauen der Verbraucher zu stärken und die Entwicklung des E-Commerce insgesamt zu fördern. Trotzdem ist eine starke Kundenauthentifizierung nicht für jeden Zahlungsvorgang erforderlich. Um sicherzustellen, dass die SCA verhältnismäßig verwendet wird, sehen die technischen Regulierungsstandards einen Katalog von Ausnahmen vor, bei denen die SCA nicht angewendet werden muss. Die wichtigsten dieser Ausnahmen sind:

Vertrauenswürdige Begünstigte

Zahler können eine Liste der vertrauenswürdigen Begünstigten (Zahlungsempfänger) erstellen. Die starke Kundenauthentifizierung muss dann nur einmalig ausgeführt werden, nicht erneut für Zahlungen an einen bereits angelegten, vertrauenswürdigen Begünstigten.

Wiederkehrende Transaktionen

Eine starke Kundenauthentifizierung wird nicht benötigt, wenn ein Zahler eine Reihe von wiederkehrenden Zahlungen für denselben Betrag an denselben Zahlungsempfänger leistet. Die SCA wird in diesem Fall nur auf die erste Zahlung an das Unternehmen angewandt, nicht aber auf Nachzahlungen.

Geringwertige Transaktionen

Der Zahler im elektronischen Fernzahlungsverkehr wird von der starken Kundenauthentifizierung befreit, wenn der Transaktionsbetrag 30.- Euro nicht übersteigt und der kumulierte Betrag oder die Anzahl der elektronischen Zahlungstransaktionen seit dem letzten Authentifizierungsvorgang 100.- Euro bzw. fünf aufeinanderfolgende Zahlungstransaktionen nicht übersteigt.

Transaktionen mit geringem Risiko

Zahlungsdienstleister (PSPs) müssen über Transaktionsüberwachungsmechanismen verfügen. Eine starke Kundenauthentifizierung muss nicht bei elektronischen Zahlungsvorgängen angewendet werden, wenn die Transaktionsüberwachung des Zahlungsdienstleisters die Transaktion als risikoarm identifiziert. Dabei werden die Bedingungen, unter denen eine Transaktion als risikoarm angesehen werden kann, in den RTS definiert. Zu diesen Bedingungen zählen z. B.:

  • Die Betrugsrate des PSP für die Art der Transaktion
  • Die ETV für die Betrugsrate
  • Die Echtzeit-Risikoanalyse des PSP (einschließlich Auffälligkeiten im Verhaltens des Zahlers, dem früheren Ausgabenmuster, des Standorts des Zahlers und des Zahlungsempfängers).

Ziel der Ausnahmen ist es, die Verzögerungen und Unterbrechungen der Bezahlvorgänge zu minimieren, die sich dadurch ergeben, dass eine unnötige starke Kundenauthentifizierung durchgeführt wird. Das Verfahren soll also nur dann angewandt werden, wenn das entsprechende Sicherheitsniveau unbedingt eingehalten werden muss.

Was bedeutet die starke Kundenauthentifizierung für Handelsunternehmen?

Die starke Kundenauthentifizierung ist für Handelsunternehmen nicht nur eine organisatorische Belastung, sondern eröffnet auch eine Reihe von Möglichkeiten und bringt einige Vorteile für den Anwender:

  • Es ergibt sich ein verstärkter Wettbewerb zwischen den Zahlungsanbietern, was dem Unternehmen eine größere Auswahl von Anbietern ermöglicht. In der Folge kann auch die Auswahl an Zahlungsmethoden erweitert werden, die das Unternehmen akzeptiert.
  • Das Volumen an betrügerischen Transaktionen verringert sich.
  • Es ergibt sich ein gesteigertes Kundenvertrauen.
  • Aus den genannten Punkten kann sich ein Umsatzsteigerungspotenzial ergeben.

Es gibt jedoch auch einige Nachteile – zumindest in den frühen Phasen der Umsetzung bzw. Durchsetzung der SCA – sowie einige Maßnahmen, die Unternehmen ergreifen müssen, um die Vorteile der SCA zu nutzen. Hier einige Beispiele:

Es können Aktualisierungen von Technologien und Plattformen erforderlich werden, um die SCA-Methoden zu integrieren.

Die SCA hat das Potenzial, die Konversionsraten im E-Commerce zu beeinflussen. Daher müssen Händler, E-Commerce-Anbieter und PSPs eng zusammenarbeiten, um ein reibungsloses Einkaufserlebnis zu gewährleisten.

Die Betrugsraten der einzelnen Zahlungsdienstleister werden einen erheblichen Einfluss auf das Volumen der Transaktionen haben, die eine starke Kundenauthentifizierung erfordern. Daher werden findige Handelsunternehmen dies als einen wichtigen Faktor bei der Auswahl ihres PSP betrachten. Eine niedrige Betrugsrate bedeutet, dass der PSP die Nutzung risikoarmer Ausnahmen erhöhen kann, wodurch die Zahl der Umstände für den Kunden und damit die Unterbrechung des positiven Kundenerlebnisses minimiert wird.

Was bedeutet SCA für Acquirer, Emittenten und Zahlungsdienstleister?

Grundvoraussetzung für jeden Zahlungsdienstleister ist die Unterstützung der starken Kundenauthentifizierung. Ein Dienstleister, der die SCA nicht unterstützt, wird von den Aufsichtsbehörden mit Strafen belegt. PSPs müssen außerdem sicherstellen, dass sie über eine effektive Transaktionsüberwachung sowie Risikoanalyse und Betrugskontrolle verfügen. Damit können die Betrugsraten niedrig gehalten und somit die Anwendung der SCA auf ein Minimum beschränkt werden.

Wie bereits erwähnt, wird die Fähigkeit eines Zahlungsdienstleisters, so viele Transaktionen wie möglich ohne SCA durchzuführen, entscheidend für ein reibungsloses Kauferlebnis sein. So kann die Konversion (Kaufrate) maximiert werden.

Es ist also ein Balanceakt zwischen Händlern mit geringerem Risiko im Vergleich zu Händlern mit höherem Risiko. Händler mit höherem Risiko können zwar in der Regel auch höhere Margen erzielen, müssen gleichzeitig aber auch höhere Betrugsraten einkalkulieren. Bei Händlern mit geringerem Risiko ist es genau umgekehrt.

Auswirkung der starken Kundenauthentifizierung auf den Verbraucher: Wie wird der Schutz der persönlichen Sicherheitsmerkmale sichergestellt?

Der Verbraucher wird in den meisten Fällen kaum durch die starke Kundenauthentifizierung beeinflusst – in Zukunft noch weniger, wenn weitere innovative und noch schnellere Verfahren und Methoden wie Iris-Scans oder die Videoauthentifizierung per Smartphone des Kunden flächendeckend eingeführt werden.

Der wichtigste Aspekt für den Verbraucher ist jedoch: Durch die PSD2 und die damit zwingend vorgeschriebene starke Kundenauthentifizierung wird das Sicherheitsniveau für alle elektronische Zahlungen steigen. Der Diebstahl von und der Betrug mit gestohlenen Daten wird in Zukunft deutlich schwieriger werden, wenn sich die neuen Verfahren den genannten Kategorien Wissen, Besitz und Inhärenz bedienen, um so eine starke Authentifizierung zu ermöglichen.

Die PSPs und Händler garantieren dabei für die Sicherstellung der Vertraulichkeit aller persönlichen Daten und die Integrität der Authentifizierungscodes während des gesamten Authentifizierungsvorgangs. Dabei werden die Vertraulichkeit und Integrität der Sicherheitsmerkmale über ihren gesamten Lebenszyklus garantiert.

Diese Sicherstellung wird u. a. durch die Einführung des Vertrauensniveaus „substanziell“ für entsprechende Zugangsgeräte bzw. Zugangssoftware erreicht. So kann z. B. bei einer starken Kundenauthentifizierung in Verbindung mit dem Einsatz dedizierter Geräte (etwa einem TAN-Generator) das Vertrauensniveau „substanziell“ problemlos erreicht werden. Allerdings erlauben die RTS unter bestimmten Voraussetzungen auch den Einsatz von nicht dedizierten Mehrzweckgeräten für Transaktionen – z. B. Smartphones, Tablets etc. In diesem Fall wird ein hardwaretechnisch geschützter und separierter Bereich zur Verarbeitung und Speicherung der personalisierten Sicherheitsmerkmale genutzt, die für die SCA notwendig sind. Damit kann das Vertrauensniveau „substanziell“ ebenfalls erreicht werden.

Weiterführende Links


Girokonto

 

Sie möchten ein Girokonto eröffnen? Oder wird Ihr aktuelles Girokonto Ihren Ansprüchen nicht gerecht? Sie suchen ein günstiges Girokonto mit attraktiven Konditionen?

Jetzt vergleichen und Geld sparen!

Erfahren Sie mehr »

Festgeldkonto

 

In unserem Festgeld-Vergleich stellen wir Ihnen zahlreiche Festgeld-Anbieter mit lukrativen Konditionen vor. Unsere Empfehlung: Jetzt vergleichen und Rendite sichern.

Alle Festgeldkonten auf einen Blick!

Erfahren Sie mehr »

Kreditkartenkonto

 

Bargeldloses Bezahlen im europäischem In- oder Ausland und zusätzlich von attraktiven Zusatzleistungen profitieren? Mit einem Kreditkartenkonto ist das möglich.

Kreditkartenkonten jetzt vergleichen!

Erfahren Sie mehr »

Copyright © 2024 by Konto.org. All Rights reserved.

»