Mehr Sicherheit bei Bezahlvorgängen ist eines der wichtigsten Ziele, das die Europäische Union mit der zweiten Payment Services Directive (PSD2) erreichen will. Daher wurde mit der PSD2 die Strong Customer Authentication (SCA), zu Deutsch „Starke Kundenauthentifizierung“, eingeführt. Sie sorgt für ein Sicherheitsplus im elektronischen Zahlungsverkehr, kann sich aber nachteilig auf die Customer Experience auswirken. Damit trotz starker Schutzvorkehrungen der Kundenkomfort bei der Authentifizierung nicht auf der Strecke bleibt, können biometrische Verfahren eine Lösung sein.
Die PSD2 macht die SCA für sogenannte Zugangsgeräte und Zugangssoftware, die den Zugriff auf Online-Konten und die Auslösung von Transaktionen gewährleisten, europaweit verbindlich. Bestehende Schutzmaßnahmen wurden deshalb durch die sogenannte Zwei-Faktor-Authentifizierung um eine weitere Sicherheitsebene ergänzt. Von insgesamt drei verfügbaren Faktoren, um die Identität des Kunden zu authentisieren, sind nun zwei erforderlich.
Die drei Faktoren sind:
- Wissen, also etwas, was nur dem Kunden bekannt ist, zum Beispiel sein Passwort,
- Besitz, also etwas, was dem Kunden gehört, etwa sein Smartphone oder sein PC und
- Sein, also etwas, was den Kunden ausmacht, zum Beispiel biometrische Merkmale wie der Fingerabdruck.
Erst wenn zwei der drei Faktoren bei der Kundenauthentifizierung erfolgreich verifiziert sind, erfolgt die gewünschte Transaktion.
Die SCA und ihre Folgen für die Customer Experience
Die SCA macht den Authentifizierungsprozess also aufwendiger. Das ist nicht ohne Risiko. Denn je komplizierter eine Transaktion ist, desto höher ist auch die Gefahr für einen Kaufabbruch aufgrund einer als ungenügend empfundenen Kundenerfahrung. Und diese, englisch Customer Experience, ist wichtiger denn je. Studien zeigen, dass der Wettbewerb zwischen Unternehmen heute zu zwei Dritteln über die Kundenerfahrung ausgetragen wird.
Händler können daher bei der SCA Ausnahmen zulassen, um ihren Kunden entgegenzukommen. Zum Beispiel ist sie bei Onlinezahlungen unter 30 Euro grundsätzlich nicht erforderlich. Bei wiederkehrenden Zahlungen wie Daueraufträgen muss der Kunde die SCA nur für die erste Zahlung durchführen, wenn er sie initiiert. Ändert sich die Summe allerdings später, ist der SCA-Prozess erneut erforderlich. Zudem gibt es die Möglichkeit des sogenannten Whitelisting. Dabei fügt beispielsweise der Kunde ein Unternehmen seiner Liste von „Vertrauenswürdigen Begünstigten“ hinzu. Für Transaktionen mit Geschäftspartnern auf der Whitelist entfällt dann unabhängig von der Höhe der Summe und der Regelmäßigkeit in Zukunft die SCA.
Mit Biometrie für Sicherheit plus Komfort
Die Einführung von PSD2 und damit SCA soll verhindern, dass Käufer zu Betrugsopfern werden. Doch abgesehen davon, dass dadurch die Customer Experience leidet, haben auch Cyberbetrüger nichts unversucht gelassen, Wege zu finden, um die Sicherheitsvorkehrungen im Rahmen der SCA zu umgehen.
Die Arten der Angriffe sind vielfältig: Oft wird zum Beispiel Malware eingesetzt, um Authentifizierungssysteme auszuhebeln. Auch Social-Engineering-Attacken, bei denen die Opfer etwa mittels gefälschter Mails dazu gebracht werden, ihre persönlichen Daten herauszugeben, sind beliebt.
Unternehmen, die zur SCA verpflichtet sind, sehen sich vor eine große Herausforderung gestellt: Die Authentifizierung sicher zu machen, um Cyberkriminellen Paroli zu bieten, und dabei gleichzeitig eine gute Kundenerfahrung ohne viel Mehraufwand zu ermöglichen. Die Validierung mittels biometrischer Merkmale durch einen Scan des Fingerabdrucks oder des Gesichts birgt ein großes Potenzial, um diesen Spagat zu schaffen. Eine App auf dem Smartphone etwa lässt sich unkompliziert in das Zwei-Faktor-Authentifizierungsverfahren einbinden. Einmal eingerichtet, erfolgt die Verifizierung über den Fingerabdruck oder die Handykamera in Sekundenschnelle. Hinzu kommt, dass biometrische Merkmale nahezu fälschungssicher sind und nicht gestohlen werden oder verloren gehen können. All das macht den Einsatz biometrischer Authentifizierung zu einem guten Mittel, um beides zu gewährleisten: Sicherheit und eine angenehme Customer Experience, die den Kunden an die Unternehmensmarke bindet.
Quelle: Nevis
