Die Fortschritte bei den digitalen Technologien und das Wachstum des Internets haben zu einer explosionsartigen Zunahme der Online-Kriminalität geführt. Während herkömmliche Straftaten wie Einbrüche und Autodiebstahl weiter zurückgehen, hat sich Online-Betrug schnell zum häufigsten Verbrechen im Vereinigten Königreich entwickelt, dem fast jeder Zehnte zum Opfer fällt.
Kriminelle haben ihre Strategien verlagert, und die Online-Kriminalität hat es ihnen ermöglicht, Tausende von Opfern gleichzeitig von fast jedem Ort der Welt aus anzugreifen. Mithilfe von Phishing, Malware und einer Vielzahl anderer Taktiken können sich Kriminelle Zugang zu den Bankkonten von Menschen verschaffen, indem sie sie dazu bringen, ihre Passwörter und persönlichen Daten preiszugeben.
Diese Online-Delikte können verheerende Auswirkungen auf die Opfer haben, und in einigen Fällen sind sich die Betroffenen nicht einmal bewusst, dass sie Opfer eines solchen Angriffs geworden sind, bis sie feststellen, dass ihr Bankkonto leergeräumt wurde.
Die Finanzdienstleistungsbranche hat stark in neue Maßnahmen zum Schutz der Kunden im Internet investiert, was dazu beigetragen hat, dass mehr als 1,6 Milliarden Pfund an unberechtigtem Betrug verhindert werden konnten. Trotz dieser Investitionen gelang es Cyberkriminellen im Jahr 2018 jedoch immer noch, 1,2 Mrd. GBP durch Betrug und Scams zu stehlen.
Im Januar 2018 wurde eine neue EU-Zahlungsdiensterichtlinie (PSD2) eingeführt, die neue Gesetze zur Stärkung der Verbraucherrechte und zur Reduzierung von Online-Betrug vorsieht. Dies war eine Aktualisierung der vorherigen ersten Zahlungsdiensterichtlinie (PSD1), die 2009 eingeführt wurde. Die aktualisierte Fassung der Richtlinie wurde durch den Anstieg des elektronischen Handels und technologische Innovationen im Zahlungsverkehrssektor vorangetrieben.
Was ist die starke Kundenauthentifizierung nach PSD2?

Ein Schlüsselelement der PSD2 ist die Einführung zusätzlicher Sicherheitsauthentifizierungen für Online-Transaktionen von mehr als 30 Euro, bekannt als starke Kundenauthentifizierung (SCA). In der Vergangenheit konnten Kunden beim Online-Checkout einfach ihre Kartennummer und einen CVC-Verifizierungscode eingeben. Nach den neuen PSD2-Vorschriften müssen die Kunden jedoch eine zusätzliche Form der Identifizierung vornehmen.
Was ist die Voraussetzung für eine starke Kundenauthentifizierung?
Nach der neuen Verordnung müssen alle elektronischen Zahlungsvorgänge mit mindestens zwei von drei möglichen Methoden authentifiziert werden:
- Wissen: Etwas, das nur der Benutzer kennt - Beispiel: Ein Passwort
- Besitz: Etwas, das nur der Nutzer besitzt - Beispiel: Mobiltelefon, Token oder Kartenlesegerät
- Inhärenz: Etwas, das der Benutzer ist - Beispiel: Biometrisch - Fingerabdruck, Gesichtserkennung, Stimmerkennung
Wo kommt die starke Kundenauthentifizierung zum Einsatz?

SCA gilt nur für Transaktionen im Europäischen Wirtschaftsraum (EWR), wenn sowohl der Zahler als auch der Zahlungsempfänger in dieser Region ansässig sind. Befindet sich einer der beiden außerhalb Europas, so muss sich der Zahlungsdienstleister in Europa nach besten Kräften bemühen, SCA anzuwenden.
Was ist eine SCA-Zahlung?
Die starke Kundenauthentifizierung wird für vom Kunden veranlasste Online-Zahlungen innerhalb Europas gelten. Dies bedeutet, dass die meisten Kartenzahlungen und alle Banküberweisungen SCA erfordern werden.
Die derzeit gängigste Methode zur Authentifizierung einer Online-Kartenzahlung ist 3D Secure. Dieser Dienst wird von mehreren Kreditkartenanbietern angeboten und bietet den Kartennutzern zusätzlichen Schutz, indem eine weitere Ebene des Passwortschutzes eingeführt wird. Zu den Nachteilen der derzeitigen Methode gehört die Verwendung einer anderen URL für den Pop-up-Bildschirm, die als Phishing-Site missverstanden werden könnte. Außerdem kann es schwierig sein, sich mehrere Passwörter für verschiedene Karten zu merken.
Um diese Herausforderungen zu bewältigen und die neuen SCA-Anforderungen zu erfüllen, wurde eine aktualisierte Version von 3D Secure von den europäischen Banken übernommen. Das neue 3DSecure2 ist mobilfreundlich und unterstützt die Verwendung biometrischer Daten, was zu einer Verbesserung der allgemeinen Benutzerfreundlichkeit beiträgt.
Welche Ausnahmen gibt es von der starken Kundenauthentifizierung?

Die PSD2 wurde so konzipiert, dass SCA für alle Online-Transaktionen zur Pflicht wird. Einige Ausnahmeregelungen werden jedoch dazu beitragen, eine reibungslose Zahlungsabwicklung zu gewährleisten und das richtige Gleichgewicht zwischen Komfort für den Verbraucher und Betrugsprävention zu finden.
Zu den Ausnahmen gehören:
- Transaktionen mit geringen Beträgen - Transaktionen unter 30 € sind von der SCA befreit. Versucht der Kunde jedoch, mehr als fünf aufeinanderfolgende Kleinbetragszahlungen vorzunehmen, oder übersteigt der Gesamtwert der Zahlungen 100 €, wird SCA verlangt.
- Wiederkehrende Transaktionen - Wenn ein Kunde eine regelmäßige Zahlung desselben Betrags an dasselbe Unternehmen leistet, ist SCA nur für die erste Transaktion erforderlich. Ändert sich der Betrag, ist 3D Secure für jeden neuen Betrag erforderlich.
- Händler auf der Whitelist - Verbraucher haben die Möglichkeit, Unternehmen auf eine Whitelist vertrauenswürdiger Begünstigter zu setzen. Nach Abschluss der ersten Authentifizierung werden alle weiteren Transaktionen von der Authentifizierung ausgenommen.
- Transaktionen mit geringem Risiko - Transaktionen mit geringem Risiko, die in Echtzeit geprüft wurden, können ohne SCA verarbeitet werden. Diese Entscheidung wird auf der Grundlage der durchschnittlichen Betrugsquote des Kartenausstellers getroffen, der letztlich entscheidet, ob SCA erforderlich ist.
- Versand- und Telefonbestellungen (MOTO) - Versand- und Telefonbestellungen gelten nicht als elektronische Zahlungen und sind daher von der SCA ausgenommen.
- Unternehmenszahlungen - Wenn eine Transaktion von einem Unternehmen und nicht von einem Verbraucher initiiert wird, ist keine separate Authentifizierung erforderlich.
Wann tritt die starke Kundenauthentifizierung der PSD2 in Kraft?
Die Umsetzung von PSD2 Strong Customer Authentication wird am 14. September 2019 in Kraft treten.
In der vergangenen Woche hat die britische Finanzaufsichtsbehörde Financial Conduct Authority (FCA) zugestimmt, die Durchsetzung der neuen Online-Zahlungsverordnung um 18 Monate zu verschieben. Die Unternehmen werden bis März 2021 Zeit haben, die neue Funktion tatsächlich umzusetzen.
Der Aufschub wurde gewährt, nachdem der Druck von Branchenverbänden zugenommen hatte, die davor warnten, dass Kartenaussteller, Zahlungsunternehmen und Online-Händler nicht genug Zeit hätten, um die Änderungen umzusetzen, und dass dies Auswirkungen auf die Kunden haben könnte.
Die FCA erklärte, dass sie keine Maßnahmen gegen Unternehmen ergreifen wird, die während dieses Zeitraums gegen die neuen Rechtsvorschriften verstoßen, sofern sie nachweisen können, dass sie Maßnahmen zur Einhaltung des Systems ergriffen haben. Nach Ablauf der 18-monatigen Schonfrist werden alle Online-Zahlungen den neuen Sicherheitsmaßnahmen unterliegen.
Schlussfolgerung
Es besteht kein Zweifel daran, dass die Umsetzung der PSD2 große Veränderungen für Zahlungsdienstleister mit sich bringen wird. Viele werden ihre Systeme ändern müssen, um 3D Secure2 und andere SCA-Methoden verarbeiten zu können, wobei sie sorgfältig zwischen den Komfort- und Sicherheitsanforderungen ihrer Kunden abwägen müssen. Indem die neue Verordnung jedoch dazu beiträgt, die Betrugsraten in der Branche zu senken, wird sie das Vertrauen der Verbraucher stärken und letztlich die Zahlungsabwicklung für die Kunden insgesamt verbessern.
MetaCompliance zeichnet sich auf dem Markt durch höchste Qualität bei Sensibilisierungsschulungen für Cybersicherheit aus. Unsere Produkte tragen direkt zur Lösung von Problemen rund um Cyberbedrohungen und unternehmerische Governance bei, indem sie Benutzern die Einhaltung von Cybersicherheit und Compliance erleichtern. Auf Nachfrage zeigen wir Ihnen gerne genauer die Transformationsmöglichkeiten bei Cybersicherheitsschulungen in Ihrem Unternehmen auf.