Aktuelles

Strong Customer Authentication

Strong Customer Authentication

Von Thomas Waetke 2. Juni 2019

Was haben SCA, PSD II, EBA, RTS, 2FA und EZB gemeinsam? Richtig! Viel Komplexität im Onlinebanking.

Ab dem 14.09.2019 gilt die sog. starke Kundenauthentifizierung = Strong Customer Authentication = SCA. Sie soll Online-Zahlungen sicherer machen und beruht auf der zweiten Zahlungsdienste-Richtlinie = Second Payment Services Directive = PSD2.

Insbesondere wer im Internet unterwegs ist, weiß, dass er sich auf einem Rechner oder einer Webseite authentifizieren muss, z.B. indem er ein geheimes Passwort eingibt. Die Pflicht zur Starken Kundenauthentifizierung verlangt jedoch eine Authentifizierung, die nicht nur aus 1, sondern aus mindestens 2 Faktoren besteht. Das sind die 3 Faktoren, die zur Wahl stehen:

  • Etwas, das nur der Nutzer kennt, z.B. ein Kennwort, einen Anmeldenamen, eine PIN.
  • Etwas, das nur der Nutzer hat, z.B. ein Mobiltelefon, Toke, Badge oder einen TAN-Generator.
  • Etwas, das dem Nutzer persönlich anhaftet, z.B. Gesichtsmerkmale, Stimme oder ein Fingerabdruck.

Man spricht dann auch von einer Zwei-Faktor-Authentifizierung (2FA), die man teilweise schon aus dem Onlinebanking kennt.

Das Problem: Der künftige hohe Sicherheitsstandard kommt dem einfachen und für den Nutzer wenig aufwendigen „One-Click-Shopping“ nicht wirklich entgegen, wie man es aus Ticketshop, Merchandise-Shops usw. kennt.

Die PSD2 regelt, wann eine Starke Kundenauthentifizierung notwendig ist, nämlich bspw. wenn der Zahler einen elektronischen Zahlungsvorgang auslöst oder wenn er online auf sein Zahlungskonto zugreift. Daneben gibt es dann noch eine Reihe von Ausnahmen.

Beispiel

Eine “Auslösung einer elektronischen Zahlung” liegt bspw. vor, wenn mit EC- oder Kreditkarte und persönlicher PIN an der Kasse bezahlt wird. Dabei spielt es keine Rolle, ob online eine Eintrittskarte gekauft wird oder das Ticket an der Abendkasse mit Kredikarte bezahlt wird oder Merchandiseartikel gekauft werden.

Dazu gibt es u.a. zwei wichtige Ausnahmen:

  • Keine Auslösung einer elektronischen Zahlung ist gegeben, wenn mit Karte und Unterschrift bezahlt wird.
  • Auch wenn der Zahlungsbetrag maximal 30 Euro beträgt, ist eine Starke Kundenauthentifizierung notwendig.

Also:

Wer seinem Besucher oder Kunden Onlinezahlungsmöglichkeiten anbietet, sollte sich mit der Frage der Notwendigkeit einer Starken Kundenauthentifizierung auseinandersetzen.

Auch bei eventfaq?

In unserem Shop oder für unsere Veranstaltungen können Sie “nur” auf Rechnung zahlen, daher betrifft uns die Notwendigkeit der Starken Kundenauthentifizierung nicht.

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Kleingeld in Kasse: © Guido Grochowski - Fotolia.com