Wissen, Besitz und Inhärenz
PSD2 und die Zukunft der Kundenauthentifizierung
Fortsetzung des Artikels von Teil 2
Neue Authentifizierungsverfahren: sicher und komfortabel
Der andere hochinteressante Aspekt der PSD2 sind ihre Auswirkungen auf die Kundenauthentifizierung. Bei gewissen Zahlungsverfahren werden durch die überarbeitete Direktive neue Kundenauthentifizierungsmethoden notwendig. So dürfte etwa beim Mobile Payment eine SMS-TAN auf das Smartphone nicht mehr zulässig sein. In Artikel 97 schreibt die PSD2 zwingend eine sogenannte starke Kundenauthentifizierung vor, wenn der Zahlende beispielsweise online auf sein Zahlungskonto zugreift oder einen elektronischen Zahlungsvorgang auslöst. Stark wird die Authentifizierung, wenn dabei wenigstens zwei von drei möglichen Kategorien herangezogen werden. Diese drei Authentifizierungskategorien sind:
- Wissen: etwas, das nur der Nutzer weiß (etwa ein Passwort).
- Besitz: etwas, das nur der Nutzer besitzt (etwa eine Chip-Karte).
- Inhärenz: etwas, das dem Nutzer persönlich beziehungsweise körperlich zu eigen ist (etwa ein Fingerabdruck).
Die Forderung der PSD2 nach einer starken Kundenauthentifizierung ist dann erfüllt, wenn das Authentifizierungsverfahren zwei dieser drei voneinander unabhängigen Elemente kombiniert.
Umständliches 3D Secure
Schon die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) legte in ihren „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSI), die sie im November 2015 veröffentlichte, einen Schwerpunkt auf eine starke Authentifizierung. Auch die einschlägigen Verfahren der Kreditkartenfirmen – wie der 3D Secure Code bei VISA oder der SecureCode bei MasterCard – sollen das Sicherheitsniveau erhöhen. Wobei manche Institute diese Verfahren noch um Elemente wie Push-TANs, Smartphone-Apps oder Kartenlesegeräte ergänzen, um die Sicherheit bei der Kartenzahlung im Internet weiter zu erhöhen. Verfahren wie das bisherige 3D Secure haben allerdings einen gravierenden Nachteil: für den Kunden sind sie vergleichsweise umständlich anzuwenden. Entsprechend ungern bieten Onlinehändler sie an. Denn fast immer ziehen diese Verfahren deutlich niedrigere Konversionsraten nach sich – die Gefahr von Abbrüchen steigt. Der Nachteil für einen Händler, der sich solch einem starken Kundenauthentifizierungsverfahren verweigert, ist allerdings schon jetzt, dass er dann selbst das komplette finanzielle Risiko etwaiger Chargebacks trägt. In Zukunft wird in Europa durch die PSD2 eine Online-Kartenzahlung ohne starke Authentifizierung ganz unmöglich werden.
Selbst die starke Authentifizierung wird komfortabel
Insgesamt sollte durch PSD2 und die zwingend vorgeschriebene starke Kundenauthentifizierung das Sicherheitsniveau steigen. Der Betrug mit gestohlenen Daten wird in Zukunft schwieriger, wenn neue Verfahren sich der Kategorien Wissen, Besitz und Inhärenz bedienen, um eine starke Zwei-Faktoren-Authentifizierung zu realisieren. Vorstellbar sind etwa schnelle Methoden wie ein Iris-Scan oder eine Videoauthentifizierung einfach per Smartphone des Kunden. Den Kombinationsmöglichkeiten setzt die PSD2 keine Grenzen. Es ist ebenso die Hoffnung der Zahlungsdienstleister wie der Händler, dass sich durch neue Verfahren die Zahl der Betrugsversuche und anschließender Rückbuchungen minimieren wird. Und aus Kundensicht sollte durch die neuen Verfahren der Komfort gegenüber tendenziell umständlichen Verfahren wie 3D Secure deutlich steigen.
- PSD2 und die Zukunft der Kundenauthentifizierung
- Drittanbieter und die Bankenwelt
- Neue Authentifizierungsverfahren: sicher und komfortabel
- Wer setzt PSD2 um?
Lesen Sie mehr zum Thema
