Was Sie über SCA (Strong-Customer-Authentication) wissen müssen und wie Sie sich am besten darauf vorbereiten!
SCA – Ein Überblick über eine der tiefgreifenden Veränderungen unserer Zeit
Das Jahr 2019 bringt eine große Veränderung für den Online-Handel mit sich. Gegen Ende des Jahres beginnt mit der neuen SCA-Richtlinie für Transaktionen laut vielen Experten eine neue Zeitrechnung für Konsumenten und Dienstleister. Ähnlich wie im Zuge der DSGVO im letzten Jahr bricht für Online-Händler und Zahlungsdienstleister eine Zeit der Umwälzungen an.
Die SCA (Strong-Customer-Authentication) oder starke Kundenauthentifizierung soll für mehr Sicherheit und Transparenz im finanziellen Bereich sorgen, um Verbraucher zu schützen und die Anzahl von Betrugsfällen zu senken. Was im Prinzip gut und vernünftig klingt, birgt für so manche Branche einen enormen Rattenschwanz. Wer von den Neuerungen profitiert und wer letzten Endes darunter leidet, ist noch nicht konkret abzusehen. Doch was hat es mit SCA eigentlich auf sich? Welche Neuerungen stecken wirklich in dem Konzept? Und welche Auswirkungen sind erwartbar?
Was ist SCA?
Die Abkürzung SCA steht für Strong-Customer-Authentication (auf Deutsch = Starke Kundenauthentifizierung). Dieser Begriff bezeichnet eine Methode zur Authentifizierung von Verbrauchern im Rahmen einer finanziellen Transaktion. Mittels Authentifizierung soll die Rechtmäßigkeit der Zahlung gewährleistet werden. Verbraucher müssen ihre Authentizität im Zuge der SCA mit mindestens zwei von drei eindeutigen Faktoren belegen.
Bei den drei Faktoren handelt es sich um:
- Etwas, das der Verbraucher weiß (wie eine PIN oder ein Passwort)
- Etwas, das der Verbraucher hat (wie ein Smartphone oder ein Tablet)
- Etwas, das der Verbraucher ist (zum Beispiel mittels Gesichtserkennung oder via Fingerabdruck)
Die drei Faktoren verbinden also passive Daten mit der aktiven Verifikation des Verbrauchers.
Im Zuge der SCA muss der Verbraucher mittels zweier Faktoren nachweisen, dass die Transaktion von einer dazu befugten Person, zum Beispiel dem Inhaber, durchgeführt wird.
Ein Beispiel
Ein Verbraucher möchte teure Konzerttickets per Kreditkarte kaufen. Im Rahmen der Buchung muss er oder sie die Handynummer angeben. Im Anschluss wird vom Zahlungsdienstleister ein Link an die Handynummer geschickt, der in den Online-Banking-Bereich führt. Hier stößt der Verbraucher nach der Eingabe seines Passworts auf eine TAN, die er auf der Webseite eingeben muss, um die Zahlung zu bestätigen. Hierdurch wird mehrfach sichergestellt, dass es sich bei dem Verbraucher auch wirklich um den Inhaber der Kreditkarte handelt. Ein Betrugsversuch wird somit mit hoher Wahrscheinlichkeit frühzeitig unterbunden. Jemand, der die Karte missbrauchen will, muss 1. über das Handy des Inhabers verfügen und 2. das Passwort für den Online-Banking-Bereich haben, um an die TAN zu gelangen. Die starke Kundenauthentifizierung verhindert in diesem Fall, dass der Inhaber der Karte zu Schaden kommt.
Wann wird die SCA verbindlich für die meisten Internettransaktionen?
Eine flächendeckende Einführung der SCA steht schon lange im Raum. Seit der Zweiten Zahlungsdiensterichtlinie (PSD2) rechnen Kreditunternehmen und Zahlungsdienstleister mit der baldigen Etablierung der SCA. In diesem Jahr soll es soweit sein. Die Verordnung zur Durchsetzung der SCA in vielen Gebieten des Handels tritt am 14. September 2019 in Kraft. Sie betrifft Zahlungsdienstleister, die ihren Kunden einen Internetzugriff auf die Geldreserven ermöglichen. Ab dem 14. September 2019 dürfen europäische Banken keine Zahlungen mehr gestatten, die SCA erfordern und die Vorgaben nicht erfüllen. Außerdem umfasst sie elektronische Finanztransaktionen, deren Urheber der Zahlende ist. Dies bringt gravierende Veränderungen für den Onlinebereich mit sich, die in ihrem ganzen Ausmaß noch nicht sicher zu präzisieren sind. Wirtschaftsexperten streiten sich erbittert im Hinblick auf die potenziellen Zukunftsszenarien. Eines ist sicher: Im September dieses Jahrs beginnt ein neues Kapitel im Onlinehandel.
Ab dem 14. September 2019 gilt die neue Verordnung zur Durchsetzung der starken Kundenauthentifizierung (SCA) im Rahmen der Zweiten Zahlungsdiensterichtlinie (PSD2).
Worauf basiert die flächendeckende Einführung der SCA?
Seit dem 13. Januar 2018 gilt die Zahlungsdiensterichtlinie PSD2. Vom Europäischen Rat für die gesamte EU verabschiedet, mussten nationale Gesetzgeber ihre Vorgaben entsprechend der PSD2 bis zum Stichtag abändern. In Deutschland wurde sie mit dem Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie realisiert. Mit der PSD2 sollen die Pflichten von Zahlungsdienstleistern klar und deutlich definiert und Zahlungsvorgänge sicherer gestaltet werden. Hierbei wird unter anderem auf die starke Kundenauthentifizierung als eines der sichersten Authentifizierungsverfahren gesetzt.
Die flächendeckende Einführung der SCA stellt nach der Verabschiedung der DSGVO einen weiteren Meilenstein in der gesetzlichen Regulierung von wirtschaftlichen Vorgängen im Internet dar. Ging es bei der DSGVO vorrangig um den Schutz personenbezogener Daten, kümmert sich die PSD2 mit der Etablierung der SCA um die Sicherstellung der Rechtmäßigkeit von Zahlungen, vor allem im virtuellen Bereich.
Ist die SCA selbst innovativ?
Die Methode der SCA ist an sich nichts Neues. Viele Banken fordern zum Beispiel bei Transaktionen via Kreditkarte, dass sich der Kunde im Zuge des Zahlungsprozesses verifiziert. Es handelt sich hierbei um die schon bekannte Zwei-Faktor-Authentifizierung, die in der Vergangenheit bereits zum Ausbau der Internetsicherheit beigetragen hat. Die Verwendung von mindestens zwei Faktoren schlägt sich auch im Prinzip der SCA nieder. Mindestens zwei von drei Faktoren müssen erfüllt sein. So weit, so gut. Neu aber ist die juristische Verpflichtung für Shopbetreiber und Banken, Zahlungen mittels SCA abzuwickeln, um die Rechtmäßigkeit des Zahlungsvorganges abzusichern.
Wie verbreitet ist SCA?
Seit dem Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie Anfang 2018 haben sich die Verhältnisse noch nicht umfassend geändert. Nicht einmal die Hälfte aller Online-Händler ist überhaupt mit den heutigen Verordnungen vertraut. Dabei drohen mittlerweile Abmahnungen bei Zuwiderhandlung. Dies wiederum wirkt sich nicht nur auf den Ruf eines Shops aus, sondern auch auf die Position bei den Suchmaschinen. Die DSGVO (Datenschutzverordnung) der EU und die PSD2 sehen vor, dass die Zwei-Faktor-Authentifizierung zur Standardmethode der Personenverifikation wird. Umso erschreckender ist die grundsätzliche Unwissenheit der Händler, denn schon seit antiken Zeiten gilt: Unwissenheit schützt vor Strafe nicht.
Dementsprechend wichtig ist eine umfassende Einarbeitung in die Thematik. Wer für die Zukunft rechtskonform und gut vorbereitet aufgestellt sein möchte, sollte sich Zeit nehmen und sich weiterbilden, zum Beispiel beim Fachverband deutscher Webseiten-Betreiber (FdWB).
Die Bildungslage von Webseitenbetreibern zu DSGVO, PSD2 und SCA ist nach wie vor erschreckend. Wer den Überblick behalten möchte, sollte sich weiterbilden oder von professionellen Beratungsstellen wie dem FdWB schulen lassen!
Warum ist SCA wichtig?
Im Zeitalter digitaler Zahlungswege stellen Datenklau und Betrugsversuche ein großes Risiko dar. Betrüger haben dank der Möglichkeit zu kontaktlosem Datenklau mannigfaltige Wege, um auf fremde Konten zuzugreifen. Europäische Institutionen wie die Europäische Bankenaufsicht (EBA) oder die Europäische Zentralbank (EZB) haben daher ein System für die Authentifizierung bei der Nutzung von Zahlungswegen entworfen, das vom Europäischen Rat verabschiedet wurde.
Die SCA soll gewährleisten, dass Transaktionen via Kreditkarte oder EC-Karte, vor allem im Internet, nur von den Inhabern selbiger durchgeführt werden können. Die Bedeutung von Sicherheitsmodellen wie der SCA liegt also im Verbraucherschutz. Mittels SCA können fremde Zugriffe auf Geldmittel minimiert werden, indem Verbraucher persönliche Daten zur Verifizierung ihres Kaufinteresses eingeben müssen.
Was sind die Risiken von SCA?
Shopbetreiber sind an einer Umsatzmaximierung interessiert. Diese ist selbstverständlich an die Zahl der erfolgreichen Verkäufe gekoppelt. Ein Klick und schon ist das Produkt im Warenkorb. Schnell die Bankdaten eingetippt und die Lieferung kann eingeleitet werden. Dieses lange gültige und beliebte Modell ist hilfreich für Shopbetreiber, aber riskant für Verbraucher. Die Verwendung von Konten durch Dritte ist hier relativ leicht möglich. Schon heute müssen die Kreditkarteninformationen deshalb meistens via TAN verifiziert werden. Dies schützt zwar den Verbraucher, verlängert jedoch den Bestellprozess. Die mögliche Folge: Abnehmendes Interesse seitens des Kunden aufgrund der zusätzlich Bestelldauer. Viele Webseitenbetreiber befürchten, dass die Umsatzzahlen zurückgehen. Diese Sorge ist jedoch bei günstigem Verlauf der SCA unbegründet, da sich die Vorgaben auf den gesamten Verband der Onlineshops erstrecken und Bestellprozesse somit allgemein verlängert werden.
Die Einführung der verbindlichen SCA könnte den Kaufprozess deutlich verzögern und das Kaufinteresse der Interessenten drastisch senken.
Die Chancen der SCA
Der erste Vorteil findet sich selbstverständlich in einer verbesserten Sicherheitslage. SCA wirkt als Kontrollinstrument daran mit, dass Datenmissbrauch verringert wird. Der Verbraucher kann unbeschwert und mit einem besseren Gefühl Käufe im Online-Bereich tätigen, ohne sich wegen der Möglichkeit eines Datenklaus durch Dritte zu sorgen.
Auf lange Sicht gewährleisten sichere Zahlungswege sowohl für Verbraucher als auch für Anbieter einen berechenbareren Markt mit weniger Risiken. So senken verifizierte Käufe das Risiko einer Reklamation und sorgen somit für eine optimierte und vereinfachte Bilanzierung. Die SCA bringt also auch für Online-Händler Chancen mit sich.
Was bedeutet die SCA für den Online-Handel?
Viele Händler peilen One-Click-Shopping mit hohen Erfolgsraten beim finalen Transaktionsabschluss an. Dies wird durch SCA erheblich eingeschränkt, da die Finalisierung von Käufen an eine zweifache Authentifizierung gebunden und dadurch langwieriger ist. Sinkende Verkaufszahlen sind jedoch auch nicht im Sinne der Urheber des Gesetzes. SCA soll also Wirtschaftserfolge und Sicherheit ausbalancieren. Das Ziel sieht eine Zunahme der Sicherheit beziehungsweise eine Senkung der Betrugsfälle bei möglichst gleichbleibender Konjunktur vor. Wenn SCA durch die juristischen Vorgaben zur verbindlichen Praxis wird, fallen Nachteile gegenüber illegalen Konkurrenten ohnehin weg. Händler könnten letztendlich ebenso von der Strong-Customer-Authentication profitieren wie ihre Kunden. Eine unkonventionelle Folge der SCA könnte außerdem eine Rückkehr zum Lastschriftverfahren sein. SCA wird nur fällig, wenn der Kunde eine Zahlung aktiv in Auftrag gibt. Wenn der Verkäufer das Geld einzieht, fällt die SCA weg.
Die potenziellen Konsequenzen der Strong-Customer-Authentication (SCA) sind verwirrend und zahlreich. Wer Probleme bei der Orientierung hat, ist gut beraten, einen Experten zu konsultieren. Kostenfreie Beratungsstellen wie der Fachverband deutscher Webseiten-Betreiber (FdWB) kümmern sich darum, offene Fragen zu klären und die Sachlage zu verdeutlichen. Der FdWB oder eine vergleichbare Anlaufstelle helfen bei der Umstellung auf die neuen Voraussetzungen und vermitteln IT-Dienstleister und Webdesigner, die Shops und Webseiten modern und richtlinienkonform aufstellen.
Eine Rückkehr zum alten Modell? Das Lastschriftverfahren könnte eine Renaissance erfahren.
Wann gilt die SCA nicht?
Es gibt einige Fälle, in denen SCA auch nach den neuen europäischen Richtlinien nicht erforderlich ist. So müssen beispielsweise kontaktlose Zahlungen am Point of Sale (z. B. im Geschäft) nicht durch eine SCA bestätigt werden, wenn der Zahlungsbetrag nicht 50 Euro überschreitet. Außerdem verfügen Kontoinhaber über die Möglichkeit, im Online-Banking-Bereich Listen mit vertrauenswürdigen Verkäufern bzw. Webseiten anzulegen. Gleichzeitig können auch die Banken die Initiative ergreifen und ihren Kunden vertrauenswürdige Händler empfehlen. Auf diese Weise zahlen sich Glaubwürdigkeit, Qualität und Zuverlässigkeit eines Händlers aus, indem die zeitraubende SCA vermieden wird. Überweisungen auf das eigene Konto bzw. Fernzahlungen bis zu einer Höhe von 30 Euro erfordern ebenfalls keine Verifikation durch SCA.
Für weitere Informationen lohnt es sich, eine professionelle Anlaufstelle wie den Fachverband deutscher Webseiten-Betreiber (FdWB) zu kontaktieren. Bei Profis wie dem FdWB erfahren Sie im Detail, wie die Umstellung auf die Strong-Customer-Authentication abläuft, welche Konsequenzen diese mit sich bringt und wie Sie sich darauf vorbereiten können. Darüber hinaus führt der FdWB ein Verzeichnis-Portal über seriöse und zuverlässige IT-Dienstleister und Webdesigner. Webseitenbetreiber können hier schnell und effizient durch ein Feld geeigneter Webdesigner und IT-Dienstleister navigieren. Der FdWB hilft im Zuge dessen auch bei der Vermittlung.
Fazit
Die Einführung der Strong-Customer-Authentication für die meisten webbasierten Transaktionsprozesse ist zweifelsohne einer der größten Einschnitte für den Online-Handel. Wer letzten Endes davon profitiert und ob sich die Rate der Betrugsfälle damit signifikant einschränken lässt, ist im Ganzen noch nicht vollends abzusehen. Vom Grundsatz her stehen die Chancen jedoch nicht schlecht, dass sowohl Verkäufer als auch Käufer von der neuen europäischen Richtlinie profitieren könnten.
Die Umstellung für Händler ist gleichwohl enorm. Das sogenannte One-Click-Shopping, mit dem Interessenten binnen kürzester Zeit zu Konsumenten werden, gehört wohl der Vergangenheit an. Es gilt, die Interessenten mit spannenden Angeboten, Qualität und unterhaltsamen Inhalten an sich zu binden und Lust auf den beschwerlicheren Transaktionsprozess zu machen. Eines ist gewiss: Wer sich der neuen Richtlinie verweigert, bewegt sich juristisch durchaus in gefährlichem Fahrwasser. Abmahnungen und schlimmeres drohen, wenn die Vorgaben missachtet werden.
Glücklicherweise können sich Webseitenbetreiber an Beratungsstellen wie den Fachverband deutscher Webseitenbetreiber (FdWB) wenden, um sich in das Thema einzuarbeiten und mit den neuen Voraussetzungen konform zu gehen. Egal in welchem Ausmaß und wie erfolgreich die SCA letztlich realisiert wird, der Online-Handel bleibt ein Feld, auf dem Gesellschaft und Justiz fieberhaft nach neuen Möglichkeiten zur Sicherheitsoptimierung fahnden.