Vorerst dürfen Kreditkartenzahlungen im Internet auch nach dem 14. September 2019 ohne starke Kundenauthentifizierung ausgeführt werden. Dies hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in einer Stellungnahme bekanntgegeben. Sie will damit einen reibungslosen Übergang auf die neuen Anforderungen ermöglichen. Die Europäische Bankenaufsichtsbehörde EBA hatte den nationalen Aufsehern diese Möglichkeit eingeräumt. Wie lange diese Karenzzeit dauern wird, ist noch nicht bekannt. Natürlich erwartet die BaFin, dass alle Marktteilnehmer die Vorgaben schnellstmöglich umsetzen. Die kartenausgebenden Banken in Deutschland sind nach Einschätzung der BaFin auf die neuen Vorgaben aus Brüssel vorbereitet. Anders aber sieht es bei den Unternehmen aus, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen. Hier sieht die deutsche Aufsichtsbehörde noch „erheblichen Anpassungsbedarf“. Die Novalnet AG erfüllt als eines der führenden Zahlungsinstitute in Europa bereits die Richtlinien für eine starke Kundenauthentifizierung.

PSD 2 – Was ist das?

Die sogenannte Payment Services Directive 2 (kurz PSD 2) ist eine von der EU beschlossene Zahlungsdiensterichtlinie. Sie soll für einen sicheren und innovativen Zahlungsverkehr in Europa sorgen, indem sie höhere Sicherheitsstandards bei Online-Transaktionen einführt und Drittanbietern von Finanzdienstleistungen, die keine Banken sind, den Zugriff auf Bankkonten ermöglicht. Ersteres soll durch eine verbesserte Kundenauthentifizierung erfolgen.

Was ist die Strong Customer Authentification (SCA) bzw. Zwei-Faktor-Authentifizierung (2FA)?

Unter Strong Customer Authentification (SCA), auf deutsch: starke Kundenauthentifizierung oder auch als Zwei-Faktor-Authentifizierung (2FA) bezeichnet, versteht man die fortan geltenden stärkeren Sicherheitsbestimmungen über zwei Faktoren bei Zahlungen im Internet. Zur Verifizierung einer Zahlung ist also nicht länger nur die Eingabe eines Passworts oder ähnliches erlaubt. Ab sofort ist zusätzlich die Eingabe einer einmalig generierten TAN oder eine Authentifizierung per Fingerabdruck oder Gesichtsscan Pflicht. Diese Neuerung betrifft die Zahlung per Kreditkarte und teilweise per PayPal. Hinter PayPal stehen die Zahlungsarten Lastschrift und Kreditkarte. Bei einer Lastschriftzahlung ist keine Authentifizierung nötig, bei einer Kreditkartenzahlung hingegen schon – zumindest, sobald die Übergangsfrist der BaFin abgelaufen ist. Wie PayPal die Vorgaben zur Zwei-Faktor-Authentifizierung genau umzusetzen gedenkt, ist noch nicht konkret bekannt. Derzeit arbeitet das Unternehmen nach eigener Aussage noch an der Umsetzung. Bei Online-Überweisungen ist die Zwei-Faktor-Authentifizierung sowieso schon lange Pflicht. Neben der Lastschrift ist auch der Kauf auf Rechnung nicht von den Änderungen betroffen, hier bleibt alles beim Alten. Aufgrund dessen und durch die Fristverschiebung der BaFin sind die Auswirkungen der PSD 2 zunächst begrenzt. Allerdings wird die starke Kundenauthentifizierung auch für Kreditkartenzahlungen in absehbarer Zeit zur Pflicht werden.

Neues Verfahren 3D-Secure 2

Das digitale Sicherheitsprotokoll 3D-Secure 2 gewährleistet fortan bei Kreditkartenzahlungen im Internet eine starke Kundenauthentifizierung. Entwickelt wurde der neue Sicherheitsstandard von den Kreditkartengesellschaften, wie Visa und Mastercard. 3D-Secure 2 muss in Zahlungsprozessen mit Kreditkarte integriert sein, ansonsten drohen in Zukunft Fehler bei der Zahlungsabwicklung.

Die neuen Regeln im Überblick

Doch was ist die Zwei-Faktor-Authentifizierung nun genau? Die neuen Vorgaben schreiben vor, dass viele im Online-Handel heutzutage übliche Bezahlvorgänge fortan neben den gängigen Merkmalen – z.B. Kreditkartennummer, Ablaufdatum und Prüfziffer oder Benutzername und Passwort – mit einem sogenannten zweiten Faktor gesichert werden müssen.

Dabei sind immer zwei von drei Faktoren zu verwenden. Beim ersten Faktor „Wissen“ muss der Kunde ein Passwort oder eine PIN-Nummer eingeben, um online auf sein Konto zuzugreifen. Beim zweiten Faktor „Besitz“ ist beispielsweise ein Smartphone notwendig, auf dem eine Transaktionsnummer empfangen werden kann. Der dritte Faktor „Inhärenz“ (Sein) kann ein biometrisches Merkmal sein – ein Fingerabdruck (Touch-ID), die Gesichtserkennung (Face-ID), die Stimm- oder die Iriserkennung. Um eine Zahlung nach den neuen Vorgaben freigeben zu können, muss also zum Beispiel ein Passwort mit einem Fingerabdruck oder eine Einmal-TAN mit einem Smartphone gekoppelt werden.

Die Absicht dahinter ist klar: Es soll nur ein autorisierter Nutzer eine Zahlung freigeben können. Die neuen gesetzlichen Regelungen sorgen also für noch mehr Sicherheit im E-Commerce. Jedoch stehen sie den jahrelangen Bemühungen der Zahlungsdienstleister um schlanke Bezahlprozesse entgegen, denn ein zweiter Faktor erfordert zwingend einen weiteren Schritt im Bezahlprozess. Einige Experten und Händler fürchten daher, dass mehr Kunden als bisher ihren Online-Einkauf abbrechen, wenn das Bezahlen dadurch zu lange dauert. Wie die Auswirkungen in der Praxis aussehen, muss sich allerdings erst noch zeigen. Es ist auch durchaus denkbar, dass viele sicherheitsbewusste Verbraucher den zweiten Faktor gerne in Kauf nehmen. Mehr Sicherheit im Internet erfordert eben auch etwas mehr Aufwand. Dies bedeutet nicht, dass bei Kreditkartenzahlungen die Abbruchrate steigt.

Was müssen Kunden der Novalnet AG beachten?

Onlinehändler, die Ihre Transaktionen über die Novalnet AG abwickeln, müssen sich um nichts kümmern. Der Zahlungsanbieter aus Ismaning hat das neue Verfahren 3D-Secure 2 bereits für die Zahlungsabwicklung seiner Kunden umgesetzt. Um eine Kreditkartenzahlung über Novalnet zu veranlassen, gibt der Karteninhaber im Zahlungsformular des Händlers seine Kartendaten ein. Die Novalnet-Plattform erkennt, ob eine Authentifizierung erforderlich ist. Bei Bedarf authentifiziert Novalnet den Karteninhaber über 3D Secure 2 mit einer eigens generierten TAN oder einem biometrischen Merkmal (Touch ID o.ä.). Sobald seine Identität bestätigt wurde, kann die Karte belastet werden. Dieser dynamische Authentifizierungsschritt kann meist problemlos in die bestehenden Checkout-Abläufe integriert werden.