Stichtag 14. September 30.07.2019, 10:48 Uhr

Zwei-Faktor-Authentifizierung: Worauf Händler sich vorbereiten müssen

Ab September gilt die Pflicht zur Zwei-Faktor-Authentifizierung beim Bezahlen im Web. Es gibt aber einige Ausnahmen und eventuell auch Übergangsfristen. Was Händler jetzt wissen müssen.
(Quelle: shutterstock.com/Mykhailo Matviichuk)
Nur noch rund drei Monate, dann ist es so weit: Die EU-Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2) tritt am 14. September 2019 in Kraft und mit ihr die Regelungen zu der sogenannten Zwei-Faktor-Authentifizierung. Wir haben zusammengetragen, was Händler zum Thema Zwei-Faktor-Authentifizierung wissen müssen. 

Für Kreditkarten: der 3DSecure2.0-Standard

Größere Veränderungen stehen durch die Pflicht zur Zwei-Faktor-Authentifizierung bei Kreditkartenzahlungen an. Bereits vor einigen Jahren haben Kreditkartenunternehmen unter Bezeichnungen wie „Verified by Visa“ und „Mastercard Secure Code“ den 3D-Secure1-Standard eingeführt. Das Verfahren sollte Kreditkartenzahlungen durch einen vom Verbraucher hinterlegten PIN-Code als zusätzliches Identitätsmerkmal sicherer machen. Das bislang freiwillige Verfahren gilt aber als sehr unkomfortabel und hat sich daher nicht durchgesetzt. 
Mit der EU-Zahlungsdiensterichtlinie PSD2 wird nun auch für Kreditkartenzahlungen die Zwei-Faktor-Authentifizierung vorgeschrieben. Daher haben sich die ­beteiligten Akteure auf den neuen 3D-Secure2.0-Standard geeinigt. Er soll die Umsetzung der starken Authentifizierung erleichtern, indem biometrische Methoden wie etwa der Fingerabdruck oder per SMS oder E-Mail verschickte Einmal-TANs zur Sicherung leichter eingesetzt werden können. Außerdem ermöglicht der neue Standard das Erfassen von bis zu 100 Daten zum Käufer und dem Kaufprozess. Dazu zählen etwa die Anzahl der Transaktionen, die Warenkorbgröße, die Wiederkaufsrate, die IP-Adresse des Käufers, die verwendete Browser-Version und Ähnliches.

Transaktionsrisikoanalyse ermöglicht Ausnahmen 

Diese dienen als Basis für die ­sogenannte Transaktionsrisikoanalyse. Eine solche Transaktionsrisikoanalyse können Finanzdienstleister durchführen, um das Risiko einer betrügerischen Zahlung einzuschätzen. Unterschreitet der Risikowert die vorgeschriebenen Grenzwerte, darf die Zahlung ohne Zwei-Faktor-Authentifizierung abgeschlossen werden. Je mehr Daten zur Verfügung stehen, desto leichter ist die ­Risikoanalyse und desto seltener ist eine starke Authentifizierung nötig. 
Allerdings kann die Transaktionsrisikoanalyse nicht auf einen einzelnen Händler bezogen durchgeführt werden. Basis ist immer die Gesamtheit aller Zahlungen mit einer Zahlart. Dennoch gehen einige Payment-Dienstleister davon aus, dass aufgrund der Transaktionsrisikoanalyse künftig bis zu 95 Prozent der Kreditkartenzahlungen ohne Zwei-Faktor-Authentifizierung durchgeführt werden könnten.
Dementsprechend groß ist das Interesse der Kreditkartenunternehmen und der Payment Service Provider (PSP), den 3D-Secure2.0-Standard zu etablieren. Denn wenn der Zwang zum zweiten Faktor aufgrund der Risikoanalyse wegfällt, steigt die Wahrscheinlichkeit, dass der Kunde auch weiterhin mit der Kreditkarte bezahlen will. Es steht also für die Kreditkartenunternehmen und die Payment Service Provider, die ja oftmals die Kreditkartenzahlungen für die Online-Händler abwickeln und daher an jeder Transaktion mitverdienen, viel Geld auf dem Spiel. 

Christiane Fröhlich
Autor(in) Christiane Fröhlich



Das könnte Sie auch interessieren