Wissen, Besitz und Inhärenz

Die Zukunft der Kundenauthentifizierung

Mirko Hüllemann ist Geschäftsführer der Heidelberger Payment GmbH, eines von der BaFin zugelassenen und beaufsichtigten Zahlungsinstituts für alle gängigen Zahlungsverfahren im Internet, das Einzelhändlern effiziente Lösungen zur Überwachung der Zahlungsströme im Omnichannel-Commerce anbietet.
Die neue, überarbeitete EU-Richtlinie für Zahlungsdienste, die sogenannte PSD2, soll im Januar 2018 in Kraft treten. Ziel ist es, elektronische Zahlungen für die Verbraucher sicherer und bequemer zu machen.

Im Februar 2016 hat die European Banking Authority (EBA) die entsprechenden regulatorisch-technischen Spezifikationen (RTS) von Oktober 2015 als Final Draft vorgelegt, den die EU-Kommission dann als verbindlich erlassen kann. Aus Sicht eines Payment Service Providers (PSP) sind zwei Aspekte besonders bedeutsam: Drittanbieter von Zahlungsdienstleistungen werden in Zukunft auf Kundenauthentifizierungsdaten der Bank zugreifen können; und auch neue, starke Kundenauthentifizierungsverfahren werden im Idealfall für den Kunden mehr Sicherheit und Komfort bei Onlinezahlungen schaffen. Aus der Möglichkeit, dem Kunden bessere Services zu bieten, könnten allen Beteiligten Wettbewerbsvorteile entstehen.

Man darf aber davon ausgehen, dass für alle Bezahlverfahren die Komplexität bis zu einem gewissen Maß steigt. Gerade für Online-Händler und Zahlungsdienstleister bieten sich durch die strengeren Bestimmungen aber auch neue Möglichkeiten. PSD2 eröffnet für alle Marktteilnehmer die Chance, sich durch neue Services im Bereich Onlinezahlung Wettbewerbsvorteile zu verschaffen. Die Gleichung wird lauten: mehr Komfort gleich mehr Kunden.

Sichere Authentifizierung des Kunden ist das "A & O" im E-Commerce.
Sichere Authentifizierung des Kunden ist das "A & O" im E-Commerce.
Foto: Talihu GmbH

EU kümmert sich um Payment Service Provider

Die erste EU-Richtlinie - Zahlungsdienste betreffend - stammte aus dem Jahr 2007: die PSD 2007/64/EC. Ein wichtiger Grund für die zweite, grundlegend überarbeitete Payment Services Directive (PSD) war es, dass die EU mit der Richtlinie nun auch die onlinebasierten Zahlungsdienste abdecken wollte. Die neue PSD2, die Richtlinie (EU) 2015/2366, hat die Europäische Kommission im Oktober 2015 beschlossen. Sie soll im Januar 2018 in Kraft treten.

Bis dahin müssen die Mitgliedsstaaten die verbindlichen Anforderungen der PSD2 in nationales Recht umsetzen. Auch wenn die regulatorisch-technischen Spezifikationen (RTS), die die European Banking Authority (EBA) im Februar 2017 als Final Draft vorgelegt hat, noch viel Freiraum bei der Umsetzung zu lassen scheinen, hat die Zahlungsdiensterichtlinie in ihrer zweiten Auflage doch unabweisbare Konsequenzen für den Bereich der Kundenauthentifizierung bei Zahlungen im Onlinehandel. Im Idealfall steigen für den Endkunden der Komfort und die Sicherheit, während sich Anbietern und Dienstleistern die Chance eröffnet, sich durch neue Services Wettbewerbsvorteile zu verschaffen.

Vier konkrete Ziel der neuen EU-Richtlinie für Payment-Dienstleister

Das generelle Ziel von PSD2 ist es, elektronische Zahlungen in Europa für die Verbraucher sicherer und bequemer zu machen. Aus Sicht der EU-Kommission bedeutet die Direktive auch einen Schritt hin zu einem digitalen Binnenmarkt, der Verbrauchern und Unternehmen zugutekommen und zum Wirtschaftswachstum beitragen soll.

Die EU-Kommission hebt vier Änderungen hervor, die sich durch PSD2 ergeben:

  1. Es wird strengere Sicherheitsanforderungen für die Auslösung und Verarbeitung elektronischer Zahlungen und den Schutz der Finanzdaten der Verbraucher geben

  2. Der EU-Zahlungsverkehrsmarkt wird für sogenannte Zahlungsauslösedienstleister und Kontoinformationsdienstleister geöffnet

  3. Die Verbraucherrechte werden in verschiedenen Bereichen gestärkt, etwa durch die Verringerung der Haftung für nicht autorisierte Zahlungsvorgänge und die Einführung eines bedingungslosen Erstattungsrechts bei Lastschriften in Euro

  4. Die Berechnung von Aufschlägen (etwa für das Recht, mit einer Karte zu zahlen) wird untersagt - unabhängig davon, ob Verbraucher das jeweilige Zahlungsinstrument in einem Geschäft oder online nutzen.

Drittanbieter und die Bankenwelt

Einer der interessantesten Aspekte der neuen EU-Richtlinie aus Sicht eines Payment Service Providers (PSP) ist die Öffnung der bislang für Drittanbieter verschlossenen Bankenwelt. Aber nicht nur die Zahlungsdienstleiter profitieren von solch einer Öffnung, auch die Banken selbst können sich mit neuen, komfortablen Services für ihre Kunden neu positionieren.

Last but not least werden sich in Zukunft auch Online-Händler im Wettbewerb noch stärker dadurch profilieren können, welche Zahlungsmöglichkeiten sie ihren Kunden bieten - und wie komfortabel die Kunden-Authentifizierung bei ihnen ist. Für Zahlungsdienstleister entsteht durch die begrenzte, aber direkte Kommunikation mit der Bankenwelt die Möglichkeit, bei Kunden-Authentifizierungsvorgängen im Online-Handel innovative Services zu bieten.

Ein mögliches Szenario: Wenn sich der Kunde im Onlinebezahlvorgang etwa mit seiner EC-Karte und per Chip-TAN authentifizieren möchte, kann ein Zahlungsinstitut diese Authentifizierung in Zukunft sofort prüfen. So werden auch ganz neue Instant-Payment-Optionen möglich. Von einem derart engen Zusammenspiel von PSPs und Finanzinstituten profitieren am Ende alle: der Online-Händler, sein Kunde, das Zahlungsinstitut und die Bank.

Gemäß Artikel 98 PSD2 obliegt es der Europäischen Bankenaufsichtsbehörde (EBA) in enger Zusammenarbeit mit der Europäischen Zentralbank (EZB), sogenannte Technische Regulierungsstandards für die Authentifizierung und die Kommunikation zu definieren. Die EBA hat diese Regulatory Technical Standards (RTS) am 23. Februar 2017 in einem Final Draft vorgelegt, damit die EU-Kommission die RTS als verbindlich erlassen kann.

Technische Regulierungsstandards der European Banking Authority (EBA)

Wie die Kommunikationsschnittstelle im Detail beschaffen sein soll, regelt auch der Final Draft der RTS der EBA zwar nicht - denn die Richtlinie selbst verlangt technische Neutralität gegenüber möglichen Internet-Kommunikationsstandards. Einige formale Anforderungen sind dennoch beschrieben, etwa der Einsatz einer geeigneten Verschlüsselung beim Datenaustausch, möglichst kurze Kommunikationsvorgänge und eindeutige Referenzen für die ausgetauschten Daten.

Auch den Dritten Zahlungsdienstleistern, die nun erstmals auf Konto- bzw. Kundendaten der Bank zugreifen dürfen, obliegen dabei besondere Pflichten. So müssen sie die Integrität und Vertraulichkeit der persönlichen Sicherheitsmerkmale und Authentifizierungscodes der Kunden gewährleisten, etwa indem sie sie ausschließlich in einer sicheren Umgebung gemäß ISO 27001 Standard für Informationsmanagement-Sicherheitssysteme verarbeiten.

Mehr Komfort und neue Services

Für Zahlungsdienstleister eröffnet diese begrenzte, aber direkte Kommunikation mit der Bankenwelt die Möglichkeit, Verbrauchern bei Kundenauthentifizierungsvorgängen im Onlinehandel andere Services bieten zu können als bisher. Ein mögliches Beispiel: Wenn sich der Kunde im Onlinebezahlvorgang etwa mit seiner EC-Karte und per Chip-TAN authentifizieren möchte, kann ein Zahlungsinstitut diese Authentifizierung in Zukunft sofort prüfen. So werden auch ganz neue Instant Payment-Optionen möglich.

Von einem derart engen Zusammenspiel von PSPs und Finanzinstituten profitieren am Ende alle Beteiligten: der Onlinehändler, sein Kunde, das Zahlungsinstitut und die Bank. Denn eine Bank, die gute, sichere Schnittstellen für Dritte Zahlungsdienstleister schafft - etwa in Gestalt einer Anwendungsprogrammierschnittstelle (API) -, positioniert sich damit näher am Bedarf des Kunden. Sie schafft die Voraussetzungen dafür, dass für ihren Kunden die Zahlung im Internet einfacher und komfortabler wird.

Neue Authentifizierungsverfahren für Kunden: sicherer und komfortabler

Der andere hochinteressante Aspekt der PSD2 sind ihre Auswirkungen auf die Kundenauthentifizierung. Bei gewissen Zahlungsverfahren werden durch die überarbeitete Direktive neue Methoden zur Kundenauthentifizierung notwendig. So dürfte etwa beim Mobile Payment eine SMS-TAN auf das Smartphone nicht mehr zulässig sein.

In Artikel 97 schreibt die PSD2 zwingend eine sogenannte starke Kundenauthentifizierung vor, wenn der Zahlende beispielsweise online auf sein Zahlungskonto zugreift oder einen elektronischen Zahlungsvorgang auslöst. Stark wird die Authentifizierung, wenn dabei wenigstens zwei von drei möglichen Kategorien herangezogen werden. Diese drei Authentifizierungskategorien sind:

  1. Wissen: etwas, das nur der Nutzer weiß (etwa ein Passwort)

  2. Besitz: etwas, das nur der Nutzer besitzt (etwa eine Chip-Karte)

  3. Inhärenz: etwas, das dem Nutzer persönlich bzw. körperlich zu eigen ist (etwa ein Fingerabdruck)

Die Forderung der PSD2 nach einer starken Kundenauthentifizierung ist dann erfüllt, wenn das Authentifizierungsverfahren zwei dieser drei voneinander unabhängigen Elemente kombiniert.

Lesetipp: Nationale Bezahlverfahren auf dem Prüfstand

Umständliche Codierung mittels 3D Secure

Schon die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) legte in ihren "Mindestanforderungen an die Sicherheit von Internetzahlungen" (MaSI), die sie im November 2015 veröffentlichte, einen Schwerpunkt auf eine starke Authentifizierung. Auch die einschlägigen Verfahren der Kreditkartenfirmen - wie der 3D Secure Code bei VISA oder der SecureCode bei MasterCard - sollen das Sicherheitsniveau erhöhen. Wobei manche Institute diese Verfahren noch um Elemente wie Push-TANs, Smartphone-Apps oder Kartenlesegeräte ergänzen, um die Sicherheit bei der Kartenzahlung im Internet weiter zu erhöhen.

Verfahren wie das bisherige 3D Secure haben allerdings einen gravierenden Nachteil: für den Kunden sind sie vergleichsweise umständlich anzuwenden. Entsprechend ungern bieten Onlinehändler sie an. Denn fast immer ziehen diese Verfahren deutlich niedrigere Konversionsraten nach sich - die Gefahr von Abbrüchen steigt. Der Nachteil für einen Händler, der sich solch einem starken Kundenauthentifizierungsverfahren verweigert, ist allerdings schon jetzt, dass er dann selbst das komplette finanzielle Risiko etwaiger Chargebacks trägt. In Zukunft wird in Europa durch die PSD2 eine Online-Kartenzahlung ohne starke Authentifizierung ganz unmöglich werden.

Selbst die starke Authentifizierung wird komfortabel

Insgesamt sollte durch PSD2 und die zwingend vorgeschriebene starke Kundenauthentifizierung das Sicherheitsniveau steigen. Der Betrug mit gestohlenen Daten wird in Zukunft schwieriger, wenn neue Verfahren sich der Kategorien Wissen, Besitz und Inhärenz bedienen, um eine starke Zwei-Faktoren-Authentifizierung zu realisieren.

Vorstellbar sind etwa schnelle Methoden wie ein Iris-Scan oder eine Videoauthentifizierung einfach per Smartphone des Kunden. Den Kombinationsmöglichkeiten setzt die PSD2 keine Grenzen. Es ist ebenso die Hoffnung der Zahlungsdienstleister wie der Händler, dass sich durch neue Verfahren die Zahl der Betrugsversuche und anschließender Rückbuchungen minimieren wird. Und aus Kundensicht sollte durch die neuen Verfahren der Komfort gegenüber tendenziell umständlichen Verfahren wie 3D Secure deutlich steigen.

Wer setzt PSD2 um?

Bleibt die Frage, wer die Umsetzung von PSD2 vorantreiben wird und in wessen Verantwortung sie letztlich liegt. Sicherlich sind durch die Direktive die Banken aufgerufen, entsprechend sichere und verfügbare Kommunikationsschnittstellen zu schaffen, aber auch viele Dritte Zahlungsanbieter werden in ihre Infrastruktur zu investieren haben, um auch auf ihrer Seite das geforderte Sicherheitsniveau zu realisieren.

Der Final Draft der RTS sieht darum vor, dass zur Schnittstelle eine Testfunktion anzubieten ist, damit Drittanbieter das Zusammenspiel mit ihren eigenen Applikationen erproben können. Nur schweigen sich die regulatorisch-technischen Spezifikationen der EBA zu den Details der technischen Ausgestaltung weitgehend aus. Und selbst wenn die EU-Kommission den RTS-Draft noch im Frühjahr 2017 annehmen sollte, wird er der PSD2-Richtlinie entsprechend erst 18 Monate später anwendbar. Da der RTS zur PSD2 allerdings als sogenannte Verordnung der EU erlassen werden soll, wäre er in sämtlichen Mitgliedsstaaten dann unmittelbar anzuwenden, ohne eine weitere nationale Umsetzung.

Neue Geschäftschancen für Zahlungsdienstleister

Nicht nur aus Sicht der Zahlungsdienstleister eröffnet PSD2 neue Chancen. Das Versprechen der neuen europäischen Richtlinie ist eine starke Kundenauthentifizierung, die die Sicherheit vor Betrug erhöht und E-Commerce-Transaktionen vereinfacht. Marktteilnehmer werden neue Verfahren der starken Authentifizierung dazu nutzen können, dem Endkunden Zahlungsoptionen beim Onlinekauf zu bieten, die ebenso sicher wie komfortabel sind. Allen Beteiligten können dadurch Wettbewerbsvorteile entstehen. Es ist also an der Zeit, sich mit PSD2 auseinanderzusetzen, sich den neuen Anforderungen anzupassen und die Chancen zu nutzen, die sich jetzt eröffnen.

Es ist auch nicht ausgeschlossen, dass PSD2 bis zu einem gewissen Grad die Marktmacht der E-Commerce-Riesen stärken wird, die die Kunden gerne und oft frequentieren. Denn die Direktive eröffnet für Endkunden die Möglichkeit, individuell ausgewählte Onlinehändler auf eine "White List" zu setzen und sie als grundsätzlich vertrauenswürdige Zahlungsempfänger zu deklarieren.

So spart sich der Endkunde die Zwei-Faktoren-Authentifizierung für jeden einzelnen Kaufvorgang. Onlinehändler sollten sich deswegen in Zukunft noch stärker um Kundenbindung bemühen und es ihren Kunden so einfach wie möglich machen, sie zu "white listen". So oder so: Es gilt, sich jetzt mit den Konsequenzen der EU-Direktive auseinanderzusetzen, sich den neuen Anforderungen anzupassen und die Wettbewerbschancen zu nutzen, die sich eröffnen. In jedem Fall sorgt PSD2 dafür, dass die nächsten Jahre spannend bleiben - für Onlinehändler und für Zahlungsdienstleister. (rw)

Lesetipp: Bessere Kundenbindung durch sichtbaren Datenschutz

Zur Startseite