Ab September müssen Onlinehändler Zahlungstransaktionen mit einer 2-Faktor-Authentifizierung schützen. etailment hat bei Mastercard, Visa und Netcetera nachgefragt, wie sie das am besten machen.

 Am 14. September 2019 treten die von der European Banking Authority (EBA) definierten sogenannten Regulatory Technical Standards in Kraft. Dabei gibt es bei elektronischen Zahlungen neue Anforderungen an die "starke Kundenauthentifikation (Strong Customer Authentication). Bis auf die vom Gesetzgeber definierten Ausnahmen müssen spätestens dann Zahlungstransaktionen aller von der Regulierung erfassten Zahlungssysteme "stark" abgesichert werden, das bedeutet mit einer 2-Faktor-Authentifizierung.

Biometrie soll lästige Passworteingabe überflüssig machen

Der Kreditkartenausgeber Mastercard setzt dabei auf benutzerfreundliche biometrische Authentifizierungsverfahren beispielsweise per Fingerabdruck, die die für den Konsumenten lästige Passwort-Eingabe überflüssig machen sollen.

Mastercard erläutert die Vorteile des biometrischen Bezahlens

 Durch Einbindung des neuen Sicherheitsprotokolls 3D-Secure 2.0 und Mastercard Identity Check sollen Händler demnach noch schneller und genauer überprüfen können, ob der Käufer auch tatsächlich der Inhaber der Debit- oder Kreditkarte ist. Ab April 2019 müssen alle Mastercard-Kartenherausgeber ihren Kunden entsprechende Lösungen anbieten.

"Das neue Sicherheitsprotokoll schafft für alle Beteiligten eine neue Basis. Es wird auf den unterschiedlichsten Geräten, Smartphones, Computern oder Tablets, perfekt funktionieren", verspricht Carsten Mürl, Director Product Manangement bei Mastercard. "Auch wird mit 3D-Secure 2.0 die risikobasierte Authentifizierung tiefgreifend verbessert. Das führt dann bei der Mehrzahl der Transaktionen zu einer unterbrechungsfreien 1-Klick-Bezahlung – mit der Betrugssicherheit einer authentifizierten Zahlung."

Ausnahmeregelungen nutzen

Damit Händler die Balance zwischen den neuen Sicherheitsanforderungen und einer kundenfreundlichen Zahlungsabwicklung finden, empfiehlt er aber auch die Nutzung der im Regelwerk vorgesehenen Ausnahmen bei der Transaktionsanalyse ("Risk-based authentication", RBA).

"Wir wollen damit nicht etwa die Regulatorik umgehen, sondern Ausnahmen so nutzen, wie sie erlaubt werden. Wir raten daher Händlern, sich damit vertraut zu machen", sagt Mürl. Viele wüssten gar nicht, dass die Ausnahmen den Löwenanteil in den neuen Regularien ausmachen. "Und wenn sie richtig vollzogen werden, können vermutlich bis zu 80 Prozent der Internettransaktionen weiter wie heute ohne die starke Kundenauthentifizierung mit einem Identity-Check abgewickelt werden." 

Carsten Muerl, Mastercard
© Mastercard
Carsten Muerl, Mastercard
Der Aufwand für die Einbindung eines Identity-Check halte sich in Grenzen: "Ein Händler sollte mit seinem Payment Service Provider (PSP) besprechen, wie der Identity-Check clever eingesetzt werden kann und das neue Protokoll so eingerichtet wird, dass die Ausnahmen rund um die Transaktionsrisikoanalyse auch tatsächlich genutzt werden", rät der Payment-Experte.

Risiko liegt beim  Händler

Dazu müsse der PSP die entsprechenden Zahlungen markieren ("flagen"): "Dann weiß der Kartenausgeber, dass hier eine Ausnahme vorliegt und er regulatorisch auf die starke Kundenauthentifizierung verzichten darf. Wir rechnen damit, dass die meisten Kartenherausgeber diese Ausnahmen dann auch annehmen werden." 

"Dem Händler muss klar sein, dass er das Risiko übernimmt."

Carsten Mürl, Mastercard
Das Risiko übernimmt allerdings der Händler, "und dass muss ihm auch klar sein", stellt Mürl klar. "Aber das betrifft vor allem kleinere Summen bis 30  Euro und Transaktionen, bei denen der Händler das Risiko klar einschätzen kann – da wird die Kundenfreundlichkeit dann überwiegen. Und der Kartenausgeber wird auch nicht unbedingt auf eine starke Kundenauthentifizierung bestehen".

Der Kunde könne zudem den Händler, den er aufgrund  der vergangenen Transaktionen als vertrauenswürdig kennt, auf eine Whitelist setzen. Dieses Whitelisting wollen Banken in 2019 ihren Kunden anbieten. Bei diesen Händlern darf der Kartenherausgeber auch auf die starke Kundenauthentifikation verzichten.

Darüber hinaus könne der Händler wiederkehrende Zahlungen markieren lassen und auf diese Weise die Ausnahmeregelung nutzen.

"Wir prüfen aktuell, ob auch wiederkehrende Zahlungen mit unterschiedlichen Beträgen auf die Ausnahmeliste kommen können, diese sogenannten Merchant Initiated Transactions machen immerhin rund 20 Prozent der Zahlungen im Internet aus", erläutert Mürl. Das betreffe zum Beispiel  nachträgliche Belastungen bei Mietwagen und Hotels, wenn der Zahlungspflichtige gar nicht anwesend ist.

Zeitnahe Implementierung ratsam

„Wir empfehlen allen Händlern im E-Commerce, zeitnah die aktuelle Version von 3D-Secure zu implementieren und zu nutzen“, erläutert unterdessen Volker Koppe, Head of Digital Central Europe bei Visa. "So können sich die Kunden einfach, schnell und sicher gegenüber ihrer Bank authentifizieren und den Kauf erfolgreich abschließen." 
Volker Koppe, Visa
© Visa
Volker Koppe, Visa
Das sieht auch Michael Seifert so: "Wie alles im Zahlungsverkehr bei technologischen Änderungen und neuen Standards wird auch dieses Thema etwas Zeit benötigen bevor es einigermaßen flächendeckend umgesetzt ist", ist der Geschäftsführer der Softwarefirma Netcetera GmbH in Deutschland überzeugt. "Die unterstützenden Kräfte der Kartenorganisationen, welche teilweise durch Funds, Rückzahlungen und Investitionsanträge bestimmte Maßnahmen auch finanziell auf der authentifizierung kartenherausgebenden Seite unterstützen, und die mandatorische Verpflichtung zur Umsetzung auf der Händlerseite wird schon 2019 schrittweise spürbare Verbesserungen zeigen." 
Michael Seifert, Netcetera
© Netcetera
Michael Seifert, Netcetera
Seiner Meinung nach sollten die Händler die in ihrem Onlineshop bereits integrierte Lösung für die Authentifizierung der Kunden beim Bezahlen mit dem neuen 3DS 2.0 Protokoll zügig modernisieren, um frühzeitig die Vorteile mitzunehmen.

"Die zu erwartenden weiter steigenden Transaktionszahlen sollten die Händler besser durch 3DS absichern", rät Seifert. "Vielleicht werden ja auch bald große internationale Händler daran teilnehmen, von denen man dies lange nicht geglaubt hat, und dann ist die Eile groß."

Mehr zum Thema:


Ob Einkaufen oder Coffee-to-Go, bezahlt wird zunehmend per Smartpone.
© iStock/DisobeyArt
Payment

Mobiles Bezahlen nimmt Fahrt auf


Reiseplanung und Bezahlen - chinesische Touristen brauchen dafür nur eine App.
© Torsten Silz
Mobile Payment

Was Alipay und Mercedes gemeinsam haben


Mit dem sparsamen Einsatz von Biometrie beraubt sich der Handel vieler Möglichkeiten
© Urheber: zapp2photo - fotolia.com
Biometrie

Warum sich der Handel für Gesichtserkennung einsetzen sollte