Über das Internet werden täglich unzählige Waren und Dienstleistungen per Kreditkarte bezahlt. Nicht zuletzt hatte auch die Corona-Pandemie einen entscheidenden Einfluss auf die Beliebtheit des Online-Handels. In der Vergangenheit kam es bei Zahlungen mit Kreditkarten jedoch immer wieder zu Betrugsfällen. Zu einfach konnten die Prüfziffer und Kartennummer ausgespäht werden.
Die im Jahr 2019 beschlossenen Vorgaben der EU-Zahlungsrichtlinie (PSD2) sollten an dieser Stelle anknüpfen und Zahlungen zukünftig sicherer gestalten. Bereits im Jahr 2019 stellte die BaFin fest, dass ein „erheblicher Anpassungsbedarf für den Handel bestehe“. Aus diesem Grund gewährte die BaFin den Unternehmen eine Übergangsfrist für die Umstellung der internen Prozesse bis Ende 2020. Seit Beginn des Jahres 2021 wurden die Sicherheitsanforderungen für Kreditkartenzahlungen im Internet in vielen Punkten strenger reguliert. In vollem Umfang gelten die Regelungen bereits seit dem 15. März 2021.
Mitunter wurde in den Vorgaben der EU-Zahlungsrichtlinie (PSD2) in diesem Zuge die Zwei-Faktor-Authentifizierung zur verpflichtenden Sicherheitsvorrichtung. Im Rahmen der Zwei-Faktor-Authentifizierung muss ein Kunde mit zwei voneinander unabhängigen Sicherheitsmerkmalen nachweisen, dass er der rechtmäßige Inhaber einer Kreditkarte ist.
Funktionsweise der Zwei-Faktor-Authentifizierung
Jede Kreditkarte muss zunächst für dieses Sicherheitsverfahren registriert werden. Dies kann im Onlinebanking durch den Kunden selbst oder bei der Ausgabe der Kreditkarte durch das Kreditinstitut erfolgen. Der Kunde legt sich auf ein TAN-Verfahren fest, welches er zukünftig für seine Transaktionen nutzen möchte. Gängig sind hierbei Bestätigungen per SMS-TAN, mobileTAN, das Onlinebanking in der App oder biometrische Verfahren mit dem Smartphone. Für Kunden entsteht durch dieses System der entscheidende Vorteil, seine Kreditkartentransaktionen reklamieren zu können. Bei etwaigen Missbräuchen oder dem Verlust der Kreditkarte kann sie von dem ausgebenden Institut sofort gesperrt werden.
SMS-TAN – ein gängiges Freigabeverfahren
Im Rahmen der Freigabe per Transaktionsnummer (Tan) gibt es unterschiedliche Verfahren der Kreditkarten-Anbieter. Die gängigsten sind:
- Mastercard: "Mastercard Identity Check"
- Visa: "Verified by Visa"
- American Express: "Safekey"
Mit diesem Verfahren werden die Zahlungen mit einer einmal gültigen Transaktionsnummer (Tan) bestätigt. Die SMS-TAN ist ein Verfahren, welches aufgrund der praktischen Handhabung und schnellen Abwicklung sehr beliebt ist. Den Authentifizierungscode erzeugen entweder die Systeme des Zahlungsdienstleisters über eine SMS-TAN oder ähnliche Verfahren. Alternativ kann der Kunde selbst über ein Gerät zur Erzeugung des Codes verfügen. Die bei einer Zwei-Faktor-Authentifizierung zum Einsatz kommenden Elemente müssen voneinander unabhängig sein. Dies bedeutet, dass die Kompromittierung eines Faktors keine Auswirkungen auf die Sicherheit des anderen haben darf.
Die Daten zur Authentifizierung müssen nun zudem aus verschiedenen Authentifizierungsmöglichkeiten stammen – Wissen, Besitz und Inhärenz. Wissen bezeichnet ein Detail, welches nur der Kunde weiß. Dies ist in der Regel die PIN. Der Besitz ist hingegen etwas, das nur der Kunde besitzt, wie beispielsweise eine SmartCard. Inhärenz beschreibt ein Merkmal, welches den Kunden individuell und unverwechselbar macht. Dies kann der Fingerabdruck oder die Gesichtserkennung des Smartphones sein.
Die durch das PSD2 erhöhte Sicherheit geht in der Regel zulasten der gewohnten Bequemlichkeit. Onlinezahlungen werden künftig komplizierter, da zusätzliche Daten eingegeben und weitere Kanäle zum Freigabeverfahren genutzt werden müssen. Dennoch ist die Zwei-Faktor-Authentifizierung ein großer und bedeutender Schritt in Richtung Sicherheit.
