Zwei-Faktor-Authentifizierung

Seit dem 14. September gilt die EU-Zahlungsrichtlinie PSD2 (Payment Services Directive 2): Online-Händler müssen ab jetzt also sicherstellen, dass sie für sämtliche Zahlungsprozesse im Web, die eine Grenze von 30 Euro übersteigen, eine sogenannte Zwei-Faktor-Authentifzierung einsetzen. Bislang musste sich der Käufer bei vielen Online-Bezahlvorgängen nur durch eine einfache Sicherheitsabfrage ausweisen. Kreditkartennummer, Ablaufdatum und Card Validation Code (CVC) reichten aus, um in einem Online-Shop einzukaufen. Bei Vorliegen von Risikofaktoren mussten Zahler eine weitere Sicherheitsabfrage zur Authentifizierung durchlaufen. Die neue Richtlinie legt jedoch fest, dass Zahler bei Transaktionen im elektronischen Geschäftsverkehr im Regelfall durch zwei Sicherheitsmerkmale, die sogenannte Zwei-Faktor-Authentifizierung, verifiziert werden müssen. Dabei existieren drei verschiedene Kategorien von Sicherheitsmerkmalen: 

Wissen: Etwas, das man weiß, wie zum Beispiel PIN oder Passwort

Besitz: Etwas, das man hat, wie zum Beispiel Kreditkarte, Smartphone etc.

Inhärenz: Etwas, das man ist, wie zum Beispiel Fingerabdruck, Gesichtserkennung, Stimme

Die neue Regelung gibt vor, dass zur Authentifizierung des Zahlers zwei Identifikationsmerkmale aus den drei Sicherheitskategorien miteinander kombiniert werden müssen. So kann eine Zahlung beispielsweise durch die Kombination von PIN-Eingabe (Wissen) und biometrischem Merkmal wie dem Fingerabdruck (Inhärenz) autorisiert werden. Ziel der des Gesetzgebers ist es, so die Sicherheit im Zahlungsverkehr zu erhöhen.

Um den Aufwand für die Transaktion von Kleinbeträgen weiter gering zu halten, gibt es eine Ausnahmeregelung. Online-Einkäufe unter 30 Euro sind – bis zur Grenze von kumulativ 100 Euro oder fünf aufeinanderfolgenden Zahlungen ‒ sind nicht von der Regelung betroffen. Für diese Beträge darf auf die starke Authentifizierung verzichtet werden.  

Zusätzlich wird es eine White List-Lösung geben. Das heißt: Zahler können bei ihrer Bank eine Liste mit denjenigen Zahlungsempfängern erstellen, die sie für vertrauenswürdig halten. Wird dann beim Online-Shopping eine Transaktion an einen der gelisteten Empfänger beauftragt, darf auf die starke Authentifizierung verzichtet werden.

Schonfrist für Kreditkartenzahlungen im Internet: Zahlungsdienstleister mit Sitz in Deutschland dürfen Online-Kreditkartenzahlungen vorerst auch nach dem 14. September 2019 ohne Starke Kundenauthentifizierung (SCA) ausführen.

Deshalb wird die BaFin für Kreditkartenzahlungen im Internet vorübergehend nicht auf eine Starke Kundenauthentifizierung bestehen. Diese Möglichkeit hat die Europäische Bankenaufsichtsbehörde (EBA) den nationalen Aufsehern eingeräumt. Verbraucher und Unternehmen können somit vorerst weiterhin online mit der Kreditkarte bezahlen.