Einbußen durch starke Authentifizierung? | stores+shops

Anzeige
{{{name}}}

Vorgeschlagene Beiträge

Anzeige

Adressaten der starken Kundenauthentifizierung sind zunächst Zahlungsdienstleister, d. h. kartenherausgebende Banken, kontoführende Banken für Lastschriften und Überweisungen, Internetzahlungsdienste und Acquirer, die browserbasierte Zahlungsdienstleistungen erbringen. (Foto: Fotolia/Andrey Popov)

Einbußen durch starke Authentifizierung?

Ab dem 5. November 2015 werden Zahlungsdienstleister in Deutschland die „Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)“ befolgen müssen. Ob die dadurch erhöhte Sicherheit der Zahlungen im Internet mit einem Rückgang der Conversion Rate im E-Commerce „erkauft“ werden muss, ist noch nicht klar.

Um bei Zahlungen über das Internet drohenden Gefahren zu begegnen, erließ die EZB 2013 die „Final Secure Pay Recommendations on the Security of Internet Payments“ (EZB-Empfehlungen). Später war man überzeugt, dass die Europäische Bankenaufsichtsbehörde (EBA)  eher zuständig sei, diese Regeln zu erlassen, sodass die EBA im Dezember 2014 die „Leitlinien zur Sicherheit von Internetzahlungen“ (EBA-Leitlinien) veröffentlichte. Die Bundesanstalt für Finanzdienstleistungen (BaFin) traf die Entscheidung, die EBA-Leitlinien im Mai 2015 wortgleich als „Rundschreiben über Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)“ zu veröffentlichen und hierdurch in ihre Aufsichtspraxis zu übernehmen. Den deutschen Zahlungsdienstleistern räumte die BaFin eine Karenz ein, indem sie zusagte, dass die neuen Vorschriften erst ab dem 5. November 2015 aufsichtsrechtlich durchgesetzt würden.

Gegenstand der „MaSI“

Das bedeutendste Novum der „MaSI“ ist die starke Kundenauthentifizierung. Adressaten dieser Regelung sind zunächst Zahlungsdienstleister, d.h. kartenherausgebende Banken, kontoführende Banken für Lastschriften und Überweisungen, Internetzahlungsdienste und Acquirer, die browserbasierte Zahlungsdienstleistungen erbringen. Ein Zahlungsauslösedienst wie Giro Pay, Sofortüberweisung oder „iDeal“ müsste die starke Authentifizierung derzeit noch nicht selbst verlangen; bevor die Überweisung online ausgelöst wird, muss jedoch wohl die kontoführende Bank eine starke Authentifizierung durchführen.

Die Onlinehändler spricht die „MaSI“ nicht unmittelbar an. Zahlungsdienstleister müssen Onlinehändler aber dazu verpflichten, ein solches Verfahren der starken Authentifizierung zu ermöglichen. Allerdings kann der Onlinehändler auch selbst in die Rolle eines Zahlungsdienstnutzers kommen, wenn er zum Beispiel von seinem Pay Pal-Konto Beträge auf ein zentrales Treasury-Konto zieht und hat dann als Nutzer eine starke Authentisierung durchzuführen.

Wie funktioniert die starke Authentifizierung?

Starke Authentifizierung bedeutet, dass ein Zahlungsdienstleister zwei der drei Elemente „Wissen“, „Besitz“ oder „Inhärenz“ zur Identifizierung des Nutzers abfragen muss (deshalb auch „Zwei-Faktor-Authentifizierung“ genannt).

Das Element „Wissen“ kann zum Beispiel über ein statisches Passwort, einen Code oder eine persönliche Identifikationsnummer (PIN) erfüllt werden. Keine ausreichenden Merkmale hierfür sind Kontonummern, Kreditkartennummern oder Geburtsdatum. Die Kartenprüfnummer (CVC) einer Kreditkarte oder eine TAN sind keine Wissenselemente.

„Die neuen Regelungen stellen eine große Hürde für den E-Commerce dar.“

Dr. Matthias Terlau

Rechtsanwalt/Partner, Osborne Clarke, Köln

Das Element „Besitz“ kann beispielsweise über ein Token zur Erzeugung von Einmalpasswörtern (OTPs), einen TAN-Generator, eine Smartcard oder ein Mobiltelefon für das mobile TAN-Verfahren dargestellt werden. Entscheidend ist, dass ein unabhängiger Sachverständiger die Sicherheit des Verfahrens testet und bestätigt. Wenn ein Smartphone gleichzeitig für die Authentifizierung und für die Zahlung eingesetzt werden soll, sind besondere Sicherheitsverfahren (z.B. Kanaltrennung) erforderlich.

Inhärenz-Merkmale (Eigenschaften des Nutzers) können Fingerabdruck, Iris-Scan, das Gesicht, der Körper, die Gangart, die Stimme, der Pulsschlag sein. Möglich erscheint auch, eine einmal erfolgte Identifizierung des Nutzers über einen Online-Identservice zu nutzen.

Betroffene Zahlarten

Die Zwei-Faktor-Prüfung der Identität des Kunden haben Zahlungsdienstleister im Grundsatz dann durchzuführen, wenn der Kunde im Onlineshop die Ware oder Dienstleistung per Kreditkarte, per Lastschrift, per E-Geld (z.B. Pay Pal) oder auch per Überweisung (z.B. vermittelt über Giro Pay oder Sofortüberweisung) bezahlen will. Ein Kauf auf Rechnung oder ein Ratenkauf im Internet ist nicht erfasst.

Conversion Killer im Onlinehandel

Die starke Authentifizierung stellt Onlinehändler vor Herausforderungen. Kunden schließen einen Kaufvorgang mit höherer Wahrscheinlichkeit dann nicht ab, wenn das Zahlverfahren zu aufwändig ist. Zudem steigt für den Onlinehändler der Verwaltungsaufwand für die Zahlungsabwicklung.

Die EZB-Empfehlungen von 2013 enthielten zugunsten der Zahlungsdienstleister noch die Regelung „Comply or Explain“. Damit war eine strikte Einhaltung der EZB-Empfehlungen in dem Moment nicht erforderlich, wenn der Zahlungsdienstleister ein alternatives Verfahren verwendete, dessen gleichwertige Sicherheit er der Aufsichtsbehörde „darlegen“ konnte. Diese Regel gilt aber unter den EBA-Leitlinien und der „MaSI“ nicht, es sei denn, man kann sich auf eine Ausnahmeregelung berufen. Diese sehen vor, dass in bestimmten Fällen alternative Mechanismen zur starken Kundenauthentifizierung eingerichtet werden können. Dies gilt vor allem bei Zahlungen an „vertrauenswürdige Begünstigte“, die auf einer „White List“ autorisiert sind. Auch Transfers zwischen zwei Nutzerkonten bei demselben Zahlungsdienstleister sind ausgenommen; das setzt jedoch eine vorherige Transaktionsrisikoanalyse voraus.

Darüber hinaus sollen Kleinbetragszahlungen nicht stark authentifiziert werden müssen. Ein Kleinbetrag reicht bis 30 Euro bei innerstaatlichen Zahlungen, und wenn der Gesetzgeber oder die Regulierungsbehörde dies zulässt, bis 60 Euro. Bei voreingezahlten Instrumenten können die Gesetzgeber der einzelnen Mitgliedstaaten die Kleinbetragsgrenze bis 500 Euro erhöhen.

Für Kreditkartenzahlungen kann bei Niedrigrisikotransaktionen eine alternative Authentifizierung eingesetzt werden. Ab wann ein niedriges Risiko vorliegt, ist bisher nicht geklärt. Ausnahmen für Kleinbetragszahlungen gelten auch für Kreditkarten.

Zahlungsauslösedienste wie GiroPay oder Sofortüberweisung werden bisher nicht von der starken Authentifizierung erfasst; anders ist dies wohl für die von diesen Diensten oder über diese Dienste ausgelösten Überweisungen auf dem Wege des Onlinebankings.

Fazit

Mit den EBA-Leitlinien und den EZB-Empfehlungen verfolgen die Aufsichtsbehörden das im Grundsatz begrüßenswerte Ziel, Internetzahlungen für alle Beteiligten sicherer zu machen. Insbesondere im Hinblick auf die starke Authentifizierung stellen diese Regelungen aber eine große Hürde für den E-Commerce dar, bei der unter den Gesichtspunkten Nutzen (mehr Sicherheit) und Kosten (weniger Handel) fraglich erscheint, ob hier nicht über das Ziel hinausgeschossen wurde. Die Ausnahmeregelungen und ansonsten eine sinnvolle Auslegung dürften allerdings die gravierendsten Probleme verhindern.

Weitere Informationen: info@osborneclarke.com

Fotos: Fotolia/Andrey Popov (1), Dr. Matthias Terlau (1)

Medium Rectangle Technology 1

Anzeige

Produkt-News