Beiträge

PSD2: Was ist starke Kundenauthentifizierung (SCA)?

Die Abkürzung für starke Kundenauthentifizierung ist SCA (Strong Customer Authentication). Die EU hat eine Zahlungsdienstrichtlinie mit der Bezeichnung PSD2 eingeführt, die Online-Zahlungen sicherer machen soll. Hat ein Kunde eine Ware gekauft oder eine Dienstleistung beauftragt, kann er die Zahlung online vornehmen. Dafür sind verschiedene Authentifizierungsstufen erforderlich. Für die Verifizierung von Kartenzahlungen wird ein Authentifizierungstool mit dem Namen 3D Secure 2 verwendet. Es gibt allerdings einige Ausnahmen, bei der die Authentifizierungsstufen nicht so streng sind.

Wie die starke Kundenauthentifizierung mit PSD2 funktioniert

Um mehr Sicherheit bei Online-Zahlungen zu gewährleisten, wurde die europäische Anforderung SCA entwickelt. Für die Verifizierung von Kartentransaktionen wird gegenwärtig das Authentifizierungstool 3D Secure 1 angewendet. Nimmt ein Kunde eine Online-Zahlung vor, wird er auf eine neue Internetseite weitergeleitet. Er muss dann einen Code angeben, um sicherzustellen, dass er auch wirklich derjenige ist, für den er sich online ausgibt. Wiederkehrende Transaktionen, beispielsweise die Zahlung der Strom- oder Telefonrechnung, können eine Ausnahme bilden. Die Authentifizierung mit PSD2 muss mindestens zwei der nachfolgenden Eigenschaften enthalten:

  • Etwas, das der Kunde weiß: Das kann ein Passwort, eine Zahlenabfolge, eine Passphrase, eine PIN oder eine Geheimfrage sein.
  • Etwas, das der Kunde besitzt: Ein Mobilfunkgerät, ein Wearable wie eine Smartwatch, eine Smartcard, ein Token oder ein Badge kommen in Frage.
  • Etwas Persönliches vom Kunden: Eine Iriserkennung, die Kennung der Gesichtszüge, eine Stimmerkennung oder ein Fingerabdruck können genutzt werden.

Zur Authentifizierung wird ein Einmalpasswort benötigt, das per SMS an den Kunden geschickt werden kann. Häufig wird ein Passwort vergessen. Daher kann etwas, das der Kunde besitzt, wie ein Smartphone, mit etwas Persönlichem vom Kunden wie der Iriserkennung kombiniert werden. Möchten Sie mehr Sicherheit haben, müssen Sie in die entsprechende Technik für die biometrische Authentifizierung investieren. Künftig zahlt sich diese Investition aus.

Ausnahmen bei SCA

Es gibt einige Ausnahmen von der starken Kundenauthentifizierung. Kunden können auch bei kleineren und weniger häufigen Zahlungen von mehr Sicherheit profitieren. Als Lieferant oder Dienstleister können Sie eine Ausnahme von 3D Secure 2 beantragen und dem Kunden nur bei Bedarf die starke Authentifizierung vorlegen. Das
ist bei Transaktionen von weniger als 30 Euro, Transaktionen mit geringem Risiko sowie für Abonnements und wiederkehrende Transaktionen möglich. Ab der zweiten Zahlung ist dann keine Kundenauthentifizierung mehr erforderlich.