Starke Kundenauthentifizierung: Sicherung digitaler Transaktionen

Die starke Kundenauthentifizierung (SCA) ist eine in Europa eingeführte Anforderung, um Online-Zahlungen sicherer zu machen und so Betrug einzudämmen.

Key Erkenntnis

• Die starke Kundenauthentifizierung ist eine europäische gesetzliche Anforderung, die eine Multi-Faktor-Authentifizierung (MFA) für Online-Zahlungen vorschreibt.
• SCA erfordert mindestens zwei Authentifizierungsfaktoren: etwas, das der Kunde weiß, hat oder ist (z. B. Passwort, Smartphone, Biometrie).
• Banken müssen nicht SCA-konforme Transaktionen ablehnen, aber es gibt bestimmte Ausnahmen für Transaktionen mit geringem Risiko, geringem Wert und wiederkehrenden Transaktionen.
• Während sie in erster Linie in Europa durchgesetzt werden, werden ähnliche Authentifizierungsmaßnahmen in anderen Ländern in Betracht gezogen oder umgesetzt, um die Sicherheit von Online-Zahlungen zu erhöhen.

Sichere Online-Zahlungen mit SCA

Mehr als die Hälfte aller betrügerischen Kartentransaktionen im einheitlichen Euro-Zahlungsverkehrsraum (SEPO), der 35 europäische Länder umfasst, betreffen Online-Transaktionen. Im Jahr 2019 wurden die Anforderungen an die starke Kundenauthentifizierung (SCA) erlassen, um Kunden und Finanzinstitute, die im Europäischen Wirtschaftsraum (EWR) tätig sind, vor Betrug und Finanzkriminalität zu schützen. 

Als Anforderung der überarbeiteten Richtlinie der Europäischen Union über Zahlungsdienste (PSD2) verlangt die SCA, dass elektronische Zahlungen, die über Zahlungsdienstleister im EWR getätigt werden, MFA erlassen, um eine zusätzliche Integration der Sicherheit hinzuzufügen.

Die Grundlagen der starken Kundenauthentifizierung

Um kontaktlose Zahlungen sicherer zu machen und Betrug zu reduzieren, wurde im Rahmen der überarbeiteten Zahlungsdiensterichtlinie (PSD2) am 14. September 2019 die SCA für Unternehmen eingeführt, die Zahlungen in Europa abwickeln. Die SCA ist eine europäische Regulierungsanforderung und erfordert die Verwendung MFA , um Zahlungen durch Hinzufügen einer zusätzlichen Authentifizierung zum Checkout-Ablauf sicherer zu machen. 

Um die SCA-Anforderungen zu erfüllen, müssen Händler während einer Online-Transaktionskasse mindestens zwei der folgenden Elemente anfordern:

• Etwas, das ein Kunde weiß: Dabei handelt es sich häufig um ein Passwort oder eine PIN.
• Etwas, das ein Kunde hat: Dabei kann es sich um ein Smartphone, eine Software oder ein Hardware-Token handeln.
• Etwas, das ein Kunde ist: Dabei handelt es sich in der Regel um ein biometrisches Formular, wie z. B. einen Fingerabdruck, einen Netzhautscan oder eine Gesichtserkennung.

Banken sind verpflichtet, Transaktionen abzulehnen, die die SCA-Anforderungen nicht erfüllen. Durch die Verwendung dynamischerer Datenpunkte kann die Identität eines Kunden genauer überprüft werden. 

Vor den SCA-Anforderungen konnten Banken nur nach einem statischen Passwort fragen. SCA verwendet MFA, um Online-Transaktionen sicherer zu machen.

SCA-Governance und Compliance: Wer ist verantwortlich?

Die Europäische Bankenaufsichtsbehörde (EBA) innerhalb der Europäischen Union (EU). In Großbritannien ist die Financial Conduct Authority (FCA) für die IT zuständig.

Banken und Finanzinstitute, nicht Händler, müssen die SCA-Konformität gemäß den PSD2-Vorschriften einhalten und aufrechterhalten. Wenn sie nicht konforme Transaktionen nicht ablehnen, riskieren sie, gegen das Gesetz in ihrem Land zu verstoßen. 

Die Implementierung von SCA-Vorschriften während dieser Transaktionen kann von der Art der Transaktion abhängen. Online-Debit- und Kreditkartentransaktionen basieren häufig auf 3D Secure 1 (3DS1) oder dem sichereren 3D Secure 2 (3DS2). Lokale Zahlungsmethoden und E-Wallets verwenden häufig ihre eigenen spezifischen SCA-konformen Authentifizierungsmethoden.

Mit dem 3DS2, der von den meisten europäischen Kredit- und Debitkartenunternehmen unterstützt wird, wird nach dem Checkout durch die Bank ein zusätzlicher Authentifizierungsschritt hinzugefügt. Dazu gehören in der Regel ein einmaliger Code, der an das Smartphone des Kunden gesendet wird, oder die Authentifizierung per Fingerabdruck in seiner Mobile-Banking-App. Digitale Geldbörsen und internationale E-Wallets wie Apple Pay und Google Pay können ebenfalls die SCA-Anforderungen unterstützen. 

Wann ist eine starke Kundenauthentifizierung erforderlich?

Unternehmen müssen eine starke Kundenauthentifizierung für "kundeninitiierte" Transaktionen, einschließlich Banküberweisungen und Online-Einkäufe, implementieren. Sie müssen SCA jedoch nicht auf "vom Händler initiierte" Transaktionen anwenden, wie z. B. wiederkehrende Lastschriften.

SCA-Anforderungen

Die SCA gilt für europäische Online-Zahlungen, wenn sich sowohl die Bank des Karteninhabers als auch das Unternehmen in Europa befinden. Dies erfordert, dass Online-Käufer während des Bezahlvorgangs einen zusätzlichen Authentifizierungsschritt durchführen.

Regionen, die die SCA-Konformität für Online-Zahlungen vorschreiben:

• Europäischer Wirtschaftsraum (EWR)
• Vereinigtes Königreich (UK)
• Marokko

Die EU hat SCA im Jahr 2019 eingeführt, aber in vielen Bereichen wurde die Durchsetzung verzögert, bis die Unternehmen sich daran halten konnten. So hat beispielsweise das Vereinigte Königreich die SCA-Implementierung auf den 14. März 2022 verschoben. Die Regulierungsbehörden verzögerten die Durchsetzung, um die Unterbrechungen für die Händler zu minimieren und die Reibungsverluste für die Verbraucher zu verringern.

Ausnahmen vom SCA

In einigen Fällen kann eine SCA-Ausnahme verwendet werden. Der Händler beantragt bei der Abwicklung der Transaktion eine Ausnahmegenehmigung bei der Bank oder dem Kreditkartenunternehmen. 

Der Händler kann das Risikoniveau einschätzen und feststellen, ob die Transaktion außerhalb des SCA-Scopings liegt. Wenn dies der Fall ist, kann die IT von der zusätzlichen Integration der Authentifizierung ausgenommen werden. Dies kann in einigen Fällen wünschenswert sein, da die SCA-Authentifizierungsvorschriften mehr Reibungsverluste für den Kunden und mehr potenzielle Kundenabbruchraten für den Händler bedeuten können. 

Zu den gängigen Ausnahmen von den SCA-Vorschriften gehören die folgenden:

• Transaktionen mit geringem Risiko: Wenn die Betrugsschwelle des Anbieters oder der Bank unter der folgenden Schwelle liegt:  
  • 0,13 % für Transaktionen unter 100 €
  • 0,06 % für Transaktionen unter 250 €
  • 0,01 % für Transaktionen unter 500 €
• Transaktionen mit geringem Wert: Transaktionen unter 30 € oder 100 € kumulativ auf derselben Karte sind ausgenommen. Allerdings muss die ausstellende Bank die Anzahl der Ausnahmen im Auge behalten.  
• Wiederkehrende Transaktionen: Wenn es sich bei der Transaktion um einen festen Betrag handelt und sie wiederholt wird, nachdem die ursprüngliche Transaktion die SCA-Anforderungen erfüllt hat, sind zusätzliche Transaktionen ausgenommen. Da diese fest und wiederkehrend sind, können sie unter "vom Händler initiierte" Transaktionen fallen und fallen daher nicht mehr unter das Scoping der SCA.  
• Vertrauenswürdige Begünstigte: Der Kunde kann bestimmte Händler auf eine Whitelist setzen, die von seiner Bank geführt wird, was ihn von der Einhaltung der SCA-Vorschriften befreit.  
• B2B-Transaktionen: Transaktionen zwischen zwei Unternehmen können von der SCA ausgenommen werden, wenn ein Zahlungsinstrument verwendet wird, das für B2B-Transaktionen bestimmt ist.

Wie oben erwähnt, fallen "vom Händler initiierte" Transaktionen, die keine direkte Kundenbeteiligung beinhalten, nicht unter das Scoping der SCA-Vorschriften. Die Aufsichtsbehörden schließen Telefon- und Versandhandelstransaktionen vom Scoping aus, da sie nicht als elektronisch gelten.

Die SCA gilt nicht für Kartenaussteller oder Karteninhaber mit Sitz außerhalb des EWR, Monacos oder des Vereinigten Königreichs.

Globale Perspektiven zur starken Kundenauthentifizierung

Andere Finanzaufsichtsbehörden in Ländern außerhalb der Europäischen Union, Marokko und dem Vereinigten Königreich wollen ebenfalls eine starke Kundenauthentifizierung einführen. 

Zum Beispiel hat die Reserve Bank of India einen "zusätzlichen Authentifizierungsfaktor" für Transaktionen ohne Karte vorgeschrieben, die in der Regel online stattfinden.

In Australien blockierte die Australian Competition & Consumer Commission (ACCC) Bemühungen, 3D Secure verpflichtend zu machen, da es Beschwerden gab, wonach die Technologie die UX stören und möglicherweise zu Umsatzeinbußen bei den Händlern führen würde.

Mit dem technologischen Fortschritt und der Zunahme von Finanzbetrug werden wahrscheinlich weitere Länder höhere Authentifizierungsstufen für Online-Käufe einführen, darunter Protokolle wie die SCA.

Wie sich SCA entwickelt hat

Die europäischen Regulierungsbehörden hatten ursprünglich eine starke Kundenauthentifizierung für digitale Zahlungen in der Finanzdienstleistungsbranche vorgeschrieben. Seitdem haben andere Märkte freiwillig IT für finanzielle und nicht-finanzielle Transaktionen eingeführt. 

Zu den Branchen, die SCA verwenden, gehören:

• Finanzdienstleister
• Gesundheitswesen
• Produzierende Industrie
• Einzelhandel
• Transport und Logistik

Benutzereinwilligung: Ein wesentlicher Bestandteil von SCA

Eine Genehmigung nach Aufklärung ist erforderlich, um Zahlungen und andere Arten von sensiblen Transaktionen zu autorisieren. SCA schreibt vor, dass der Benutzer vor jeder Autorisierung den Zahlungsempfänger und den Zahlungsbetrag anzeigen muss.

Verstehen vor der Autorisierung

Wenn es um Finanztransaktionen geht, schreibt SCA vor, dass der Benutzer wichtige Details klar sehen muss, bevor er seine Genehmigung erteilt. Dazu gehören:

• Die Identität des Empfängers
• Der genaue Betrag, der überwiesen wird

Durch die Präsentation dieser Informationen im Voraus stellt SCA sicher, dass die Benutzer bewusste und fundierte Entscheidungen über ihre Transaktionen treffen.
 

Über Finanztransaktionen hinaus

Das Prinzip der informierten Zustimmung geht über den Finanzsektor hinaus. Jede sensible Transaktion, die personenbezogene Daten oder Sicherheitseinstellungen beinhaltet, kann von diesem Ansatz profitieren. Dazu gehören:
 

• Ändern von Kontosicherheitsparametern
• Aktualisieren von Benutzerprofilinformationen (z. B. Wohnadresse)
• Gewähren des Zugriffs auf personenbezogene Daten

Dynamische Verknüpfung in SCA

Dynamic Linking, eine Sicherheitsfunktion in PSD2, erhöht die Transaktionssicherheit, indem sichergestellt wird, dass die genehmigten Details mit der endgültigen Transaktion übereinstimmen.

So funktioniert die IT:

• Verknüpft Transaktionsdetails mit der Genehmigungsaufforderung
• Ermöglicht es dem Benutzer, die Genauigkeit der Transaktion vor der Genehmigung zu überprüfen
• Hilft, Transaktionsmanipulationen zu verhindern

Prozess:

• Der Zahler veranlasst eine Zahlung
• Die Transaktion ist mit dem vom Zahler angegebenen Betrag und Zahlungsempfänger verknüpft
• Durch die dynamische Verknüpfung wird ein eindeutiger "Authentifizierungscode" für die Transaktion generiert

Bedeutung des Authentifizierungscodes:

• Spezifisch für den Zahlungsempfänger und den Betrag der Transaktion
• Überweisungen durch Zahlungs- und Autorisierungsprozesse
• Jede Änderung der Zahlungsdaten (Betrag oder Zahlungsempfänger) macht den Code und die Transaktion ungültig

Zusätzliche SCA-Ressourcen

Ausführlichere Informationen zu SCA und den damit verbundenen Vorschriften finden Sie unter:

• EU-Regulierungsstandard für elektronische Zahlungen
• Technischer Standard hinter PSD2 und SCA
• Auf den Websites von Mastercard und Visa finden Sie Einzelheiten zu ihren SCA-Compliance-Ansätzen

FAQs

F: Was ist eine starke Authentifizierung? 

A: starke Authentifizierung ist eine Methode zur sicheren Verwaltung von Kundendaten, die die Identität eines Benutzers über Passwörter hinaus bestätigt. Die IT kombiniert zwei unabhängige Faktoren, um die Identität und den Zugriff einer Person zu bestätigen.

F: Was ist die schwächste Form der Authentifizierung? 

Ein: Passwörter gelten im Allgemeinen als die schwächste Form der Authentifizierung, da es Probleme wie Passwortermüdung, Wiederverwendung über Konten hinweg und Anfälligkeit für Phishing-Angriffe gibt.

F: Ist 3DS in den USA obligatorisch? 

A: 3D Secure ist in den Vereinigten Staaten nicht gesetzlich vorgeschrieben, obwohl einige Händler freiwillig IT einführen, um Betrug und Rückbuchungen zu reduzieren.

Starke Kundenauthentifizierung beginnt mit Okta

Erfahren Sie, wie Okta's cloudbasierte Authentifizierung Benutzern Höchstmaß Sicherheit mit benutzerfreundlichen Faktoren wie Biometrie und Push-Benachrichtigung bietet.