Online-Händler sind nur unzureichend auf starke Kundenauthentifizierung vorbereitet

Ab dem 14. September 2019 tritt nicht nur die PSD2 endgültig in Kraft, sondern in diesem Zusammenhang wird auch die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) bei Zahlungen im Internet obligatorisch. Laut einer Studie von ibi research ist ein Großteil der befragten Online-Händler nicht oder nur unzureichend darauf vorbereitet. Nur gut die Hälfte der Händler nutzt etwa bei Kreditkartenzahlungen das Verfahren 3-D Secure. Viele Händler fürchten durch die starke Kundenauthentifizierung zudem steigende Abbruchraten im Bezahlvorgang.

Für die Studie wurden 247 Online-Händler im Juli und August 2019 von ibi research befragt. Ein Drittel von ihnen gab an, sich noch nicht genauer mit der starken Authentifizierung befasst zu haben, 28 Prozent kennen die gesetzlichen Anforderungen noch nicht. Lediglich 19 Prozent haben die Bezahlprozesse in ihrem Online-Shop bereits angepasst. Fast ein Drittel der Befragten sieht dafür keinen Bedarf, obwohl viele von ihnen Kartenzahlung und/oder PayPal als Zahlungsverfahren anbieten und damit von der Neuregelung betroffen sind.

Wann ist die starke Kundenauthentifizierung verpflichtend?

Die starke Kundenauthentifizierung wird immer dann gefordert, wenn ein Kunde eine elektronische Zahlung auslösen möchte, sei es stationär am Point-of-Sale oder online. Dafür müssen zukünftig immer mindestens zwei der drei Faktoren Wissen (z. B. PIN oder Passwort), Besitz (z. B. Smartphone) und Inhärenz (z. B. Fingerabdruck) verlangt werden. So soll sichergestellt werden, dass es sich bei dem Benutzer tatsächlich um den Berechtigten handelt.

Starke Kundenauthentifizierung ist grundsätzlich für jede elektronische Zahlung obligatorisch, unter bestimmten Voraussetzungen sind aber Ausnahmen möglich. „Zwar entscheidet darüber der kontoführende Zahlungsdienstleister. Dennoch ist es wichtig, dass der Händler die Ausnahmen kennt, etwa um den Kunden zu informieren. Das ist aktuell oft nicht der Fall“, erklärt Nils Deichner, der bei ibi research für das Forschungsprojekt verantwortlich war. Die verschiedenen Ausnahmen sind laut der Studie mehr als jedem dritten Online-Händler nicht bekannt.

Ausnahmen von der starken Kundenauthentifizierung im E-Commerce

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sieht noch erheblichen Anpassungsbedarf bei Zahlungsempfängern von Kartenzahlungen im Online-Handel. Deshalb gewährt sie für Kartenzahlungen einen zeitlich begrenzten Aufschub, nennt aber kein Enddatum (wir berichteten).

Grundsätzlich ist aber jeder elektronische Zahlungsvorgang mit starker Kundenauthentifizierung durchzuführen. Bei Vorliegen bestimmter Ausnahmen kann darauf verzichtet werden. Ob eine solche Ausnahme angewendet wird, entscheidet allerdings nicht der Online-Händler, sondern immer der kontoführende Zahlungsdienstleister, also in den meisten Fällen die Bank des Kunden.

1.Vertrauenswürdige Empfänger (Whitelisting): Kunden können Händler auf eine Positivliste von vertrauenswürdigen Zahlungsempfängern setzen, die von ihrer Bank oder Sparkasse geführt wird. Solche Whitelist-Händler sind dann von der starken Kundenauthentifizierung ausgenommen.

2.Kleinbetragszahlungen: Auf eine starke Kundenauthentifizierung kann verzichtet werden, wenn der Einzelbetrag der Online-Zahlung nicht größer als 30 €, der Gesamtbetrag der früheren Online-Zahlungen seit der letzten starken Kundenauthentifizierung nicht größer als 100 € oder die Anzahl der aufeinanderfolgenden Online-Zahlungen seit der letzten starken Kundenauthentifizierung nicht größer als fünf ist.

3.Wiederkehrende Zahlungen: Beim Anlegen, Ändern sowie Auslösen von Serien wiederkehrender Zahlungen (gleicher Betrag und gleicher Zahlungsempfänger, z. B. bei Daueraufträgen) ist eine starke Kundenauthentifizierung erforderlich. Bei nachfolgenden Auslösen weiterer Zahlungen innerhalb einer Serie ist dann keine starke Kundenauthentifizierung mehr erforderlich.

4.Transaktionsrisikoanalyse: Dabei wird jede Zahlung untersucht und ein Betrugsrisiko ermittelt. Wenn das Risiko gering ist und der Zahlungsdienstleister eine bestimmte Betrugsrate nicht überschreitet (abhängig von Betrag und Zahlungsverfahren), kann der Zahlungsdienstleister auf eine starke Kundenauthentifizierung bei Zahlungen bis maximal 500 € verzichten.

Händler rechnen mit steigenden Abbruchraten

Derzeit bricht rund jeder fünfte Kunde der Befragten den Kauf während des Bezahlprozesses ab. 84 Prozent der Händler rechnen damit, dass dieser Wert durch die starke Kundenauthentifizierung in Zukunft steigen wird. „Für Händler sind Abbrüche während des Bezahlprozesses eine Katastrophe, denn sie verlieren dadurch ihren eigentlich schon sicheren Umsatz. Händler sollten daher im Rahmen der Umstellung ihre Bezahlprozesse besonders im Blick haben“, so Deichner weiter.

Gehört biometrischen Verfahren die Zukunft?

Ein großes Problem sind vergessene Zugangsdaten. Händler nennen das als einen der häufigsten Gründe für den Abbruch während des Bezahlprozesses. Durch die starke Kundenauthentifizierung wird sich noch verschärfen. Eine mögliche Lösung könnte der vermehrte Einsatz von biometrischen Verfahren zur Authentifizierung sein. So erwarten auch 67 Prozent der Händler, dass diese Verfahren in Zukunft an Bedeutung gewinnen werden. Kunden müssen sich dann nicht mehr unzählige Passwörter merken.

 

Die vollständige Studie „Starke Kundenauthentifizierung. Der deutsche Online-Handel vor dem 14. September 2019“ steht ab sofort nach Angabe von Kontaktdaten hier kostenlos zum Download zur Verfügung.pp