• ADACOR
  • FILOO
Adacor - IT Security

SCA – darauf müssen E-Commerce-Unternehmen achten

Unternehmen müssen jetzt zum Thema SCA (Strong Customer Authentification) aktiv werden. Denn die neuen Vorgaben für alle Onlinezahlungen in Europa gelten seit dem 14. September 2019.

Die im Mai 2018 eingeführte EU-DSGVO beeinflusst bereits nachhaltig den Umgang mit personenbezogenen Daten. Weitere Veränderungen bringt nun die Verordnung für starke Kundenauthentifizierung (SCA) mit sich, die am 14. September in Kraft trat. SCA verlangt eine zusätzliche Authentifizierungsstufe bei Onlinezahlungen. Früher reichte zur Tätigung einer Onlinezahlung eine Kreditkartennummer aus. Jetzt müssen Konsumenten mindestens zwei von drei weiteren Identifizierungsmustern angeben, um im Netz zu shoppen oder kostenpflichtige Verträge abzuschließen.

Die EBA (Europäische Bankenaufsicht) hat in Kooperation mit der EZB (Europäische Zentralbank) technische Regulierungsstandards (RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation erarbeitet. Diese gestaltet die Ziele und Anforderungen der PSD II (zweite europäische Zahlungsdienstrichtlinie) unter technischen Gesichtspunkten aus.

Abbildung: Fingerprint Scanning Identification System

Welche Transaktionen sind von der SCA betroffen?

Bei vielen Internethändlern herrscht Unsicherheit: Wann genau ist eine SCA nötig und wann nicht? Die Richtlinie betrifft in erster Linie Kreditkartenzahlungen, die online getätigt werden. Aber SCA ist nicht für jede Onlinetransaktion verpflichtend. So bilden wiederkehrende Einkäufe und Zahlungen unter 30 Euro eine Ausnahme.

Für Unternehmen bedeutet dies, frühzeitig eine Analyse ihrer Zahlungsströme durchzuführen. Damit können sie überprüfen, wie häufig und wann die zusätzlichen Authentifizierungsmerkmale abgefragt werden müssen. Onlinekäufer können das Angebot von Banken nutzen, bestimmte Unternehmen auf eine Whitelist setzen zu lassen. Damit entfällt die „lästige zusätzliche“ Abfrage bei zukünftigen Einkäufen. Die Entscheidungshoheit, ob ein Unternehmen in eine Whitelist aufgenommen wird, liegt allerdings bei der Bank.

Was bedeutet die Einführung für Konsumenten?

Nun hat die Europäische Kommission die Richtlinie nicht verabschiedet, um Onlinekäufer zu schikanieren, sondern um sie zu schützen. Im weltweiten Onlinehandel werden bis 2022 voraussichtlich 2,1 Billionen Euro umgesetzt. Mit steigendem Konsum erhöht sich auch die Gefahr für Betrugsfälle. Die EZB schätzt die Schäden durch Kreditkartenbetrug aktuell bereits auf 1,3 Milliarden Euro.

Zusätzliche Authentifizierungskriterien erhöhen die „Digitale Identität“ und damit den Verbraucherschutz. Ebenso wie bei Unterschriftskontrollen an der Ladentheke oder Gesichtskontrollen am Flughafen, ist es in der digitalen Welt notwendig, sich zu identifizieren, um Missbrauch zu verhindern.

Was macht die Identität einer Person aus? Zweifellos: Sie ist etwas Einzigartiges und Unverwechselbares. Doch sie kann – besonders im weltweiten Netz – im Prinzip leicht vorgetäuscht oder gefälscht werden. Um dies zu verhindern oder zumindest zu erschweren, gibt es Identitätsattribute, die einzigartig sind: der Fingerabdruck oder die DNA. Die personenbezogenen Daten wie Name und Geburtsdatum werden durch amtliche Dokumente wie dem Personalausweis oder Reisepass nachgewiesen. Um sich in der virtuellen Welt „auszuweisen“, gibt es verschiedene Methoden. Die Kombination aus Benutzername und Kennwort zum Beispiel. Digitale Methoden wie diese, mit denen die Identität einer Person nachgewiesen wird, werden als elektronische oder digitale Identitäten bezeichnet.

Welche digitalen Identitäten sind sicher und schützen private Daten?

Es existieren unterschiedliche Methoden für digitale Identitäten, die unterschiedliche Sicherheitsanforderungen erfüllen. Kommen Kriminelle in den Besitz eines Passworts oder einer PIN, können sie eine Identität vortäuschen und unter fremdem Namen handeln. Im Zusammenhang mit dem deutschen Personalausweis können Benutzer die Online-ID-Funktion aktivieren und ihre Daten mit einer speziellen Software verschlüsselt versenden. Kreditkarten-Transaktionen sind oft über eine zusätzlich PIN geschützt, die an ein Smartphone gesendet wird.

Laut Verordnung für starke Kundenauthentifizierung (SCA) müssen demnächst zwei der folgenden Attribute abgefragt werden:

  • etwas aus dem Bereich des persönlichen Wissens (zum Beispiel ein Passwort oder eine PIN)
  • etwas aus dem Besitz des Zahlenden (zum Beispiel ein Token oder eine Smartphone-Kennung)
  • ein biometrisches Merkmal (zum Beispiel ein Fingerabdruck oder ein Gesichtsmerkmal)

Was kommt auf Unternehmen zu?

Was den Verbrauchern zugute kommt, hat auch für Unternehmen Vorteile. Denn sie sind ebenfalls von den Schäden durch Kreditkartenbetrüger betroffen. Zusätzlich bietet die seriöse und nutzerfreundliche SCA-Implementierung die Chance, sich Wettbewerbsvorteile zu verschaffen. Haben Konsumenten den Eindruck, ihr Geld gelangt auf sicherem Weg zum Anbieter und ist die Benutzeroberfläche für die Zahlung leicht zu verstehen und zu bedienen, werden sie Onlineshops wiederholt besuchen. Ist der Onlinekaufprozess hingegen kompliziert oder zeitaufwändig, steigt das Risiko eines „Ausstiegs“ rasant an.

Für Unternehmen, die es versäumen, sich frühzeitig auf die SCA vorzubereiten, kann es teuer werden: Nicht, weil sie abgemahnt oder bestraft werden, sondern weil Transaktionen schlichtweg fehlschlagen. Und solche Reibungsverluste wirken sich negativ auf Konvertierungsraten und damit auf den Umsatz aus.

Wie bereiten sich Unternehmen auf die Verordnung vor?

Bei der SCA handelt es sich um eine EU-Verordnung. Die verschiedenen nationalen Regulierungsbehörden legen die Verordnung unterschiedlich aus. Kartennetze und Banken haben darüber hinaus eigene Regeln und Richtlinien im Zusammenhang mit der Umsetzung der SCA aufgestellt. Für viele Unternehmen ist diese Ausgangslage verwirrend.

An erster Stelle sollte bei jedem Unternehmen, das Produkte oder Dienstleistungen übers Netz vertreibt, eine Auseinandersetzung mit der Verordnung stehen und ein Abgleich der Richtlinie mit den Vorgaben der aktuellen Finanzpartner.

Aus technischer Sicht gibt es drei Vorgehensweisen, um im September 2019 auf der sicheren Seite zu stehen:

  1. Die systematische Integration und Anwendung von 3D Secure 2 (3DS2). Bei 3DS2 handelt es sich um eine Branchenlösung, die Transaktionssicherheit maximieren und einen reibungslosen Zahlungsverkehr, insbesondere auf Mobilgeräten, ermöglichen soll. Dafür müssen sich Unternehmen einen technischen Partner suchen, der 3DS2 anbietet. Das heute im Einsatz befindliche 3DS1-Verfahren („Verified by VISA“, „MasterCard Identitycheck“, JSecure“ etc.) kann bislang nur einen Faktor verifizieren und dieser muss immer zentral beim Kartenherausgeber gespeichert sein.
  2. Selbst eine angepasste Zahlungsinfrastruktur entwickeln. Diese Lösung ist für Händler mit erheblichem Aufwand verbunden. Für die Anbindung an ein Zahlungskartennetzwerk und die Verknüpfung mit SCA-kompatiblen biometrischen Zahlungsprozessen muss eine komplexe technische Infrastruktur geschaffen werden. Sowohl technisch als auch rechtlich muss gewährleistet sein, dass das System die SCA-Vorschriften und ihre Ausnahmen berücksichtigt. Je nach Online-Vertriebsstruktur müssen unterschiedlichste Zahlungsströme beachtet werden. Nur wenige große Unternehmen werden die technische und personelle Ausstattung haben, um eine solche Umsetzung rechtssicher durchführen zu können.
  3. Mit einem Zahlungsdienstleisters (PSP = Payment Service Provider) kooperieren. PSP übernehmen in der Regel das komplette SCA-Management für ihre Kunden. Onlinehändler müssen sich so nicht selbst in alle Details der Regulierung einarbeiten. Der finanzielle Rahmen für die Umstellung eines Onlineshops auf das neue Authentifizierungsverfahren bleibt kalkulierbar und überschaubar. Seriöse Zahlungsdienstleister kennen die europäischen Gesetze, Ausnahmen und Auslegungen durch die europäischen Banken und die Kartennetzwerke und schlagen für unterschiedliche Anbieter Zahlungslösungen vor, die mit SCA kompatibel sind.

Wie kann Adacor unterstützen?

Bei der Auswahl der richtigen Lösung unterstützen auch Managed Hosting Provider. Als langjährige Begleiter von Unternehmen kennen sie die Produkte, Plattformen und Datendurchsätze. Sie können Analysen erstellen und Prognosen abgeben, welche die Integration einer SCA-konformen Lösung erleichtern. Auch Adacor betreut im Managed Hosting verschiedene E-Commerce-Unternehmen. Unsere Expertenteams haben sich ausgiebig mit der SCA auseinandergesetzt. Jetzt unterstützen sie dabei, Zahlungssysteme zu integrieren und Kaufprozesse so anpassen, dass sie für Kunden komfortabel und sicher ablaufen und allen Ansprüchen der SCA genügen.

Wie Cloud Computing Unternehmen zu Siegern macht

Managed-Cloud-Lösungen bieten Unternehmen effektive Vorteile.

Sichern Sie sich jetzt mit unseren Cloud-Diensten einen Vorsprung!

Was bringt SCA für die Zukunft?

Am 14. September 2019 trat die Verordnung für starke Kundenauthentifizierung (SCA) in Kraft. Sie verlangt für den Online-Zahlungsverkehr mehr Authentifizierungskriterien als bisher. Das soll Verbraucher und Anbieter besser vor Kreditkartenbetrug im Netz schützen. Unternehmen, die sich rechtzeitig auf die Umstellung vorbereiten und ihren Kunden reibungslose Zahlungsmöglichkeiten anbieten, haben die Nase vorn. Denn mit dem steigenden Vertrauen in die Sicherheit beim Onlinekauf wird sich auch das Online-Kaufverhalten erhöhen.

Schließen Sie sich über 1.300 IT-Experten an.
Alle 14 Tage Top-Infos zu Cloud, Hosting und Management erhalten.

Tags: , , , , , ,

Verwandte Artikel