SCA: Doppelt hält besser oder zu viel des Guten?

Mit der PSD2 wurde die Strong Customer Authentication eingeführt. Warum steht die SCA jedoch oft im Widerspruch zur reibungslosen Customer Journey?

Aug 18, 2022 - 3 Min.

Mit der zweiten Zahlungsdiensterichtlinie beziehungsweise der zweiten Payment Services Directive (PSD2) wurde auch die Starke Kundenauthentifizierung oder auch Strong Customer Authentication (SCA) eingeführt. Ziel der SCA ist es, die Sicherheit im elektronischen Zahlungsverkehr zu erhöhen. So wurden Banken bei Online-Zahlungen verpflichtet, eine zusätzliche Prüfung durchzuführen, um die Identität des Verbrauchers zu bestätigen. Was hinter dem Begriff SCA steckt und warum die Sicherheitsmassnahmen in einem Spannungsverhältnis zu einer reibungslosen Customer Journey stehen, lesen Sie hier: 

Was steckt hinter der SCA

Auf Basis der Einführung von PSD2 wurden in ganz Europa die Sicherheitsanforderungen zur Starken Kundenauthentifizierung für sogenannte Zugangsgeräte und Zugangssoftware, die den Zugriff auf Online-Konten und die Auslösung von Transaktionen gewährleisten, verbindlich. Sie ist immer dann erforderlich, wenn ein Kunde online auf sein Bankkonto zugreifen will, einen elektronischen Zahlungsvorgang einleiten möchte oder Massnahmen auf einem Remote-Kanal durchführt, die ein Risiko von Zahlungsbetrug oder anderem Missbrauch beinhalten könnten. 

Die Starke Kundenauthentifizierung bietet eine weitere Sicherheitsebene, wenn Kunden beispielsweise Überweisungen beim Onlinebanking tätigen. Die Schutzmassnahmen wurden auf eine Zwei-Faktor-Authentifizierung erweitert, sodass die Identität des Kunden verifiziert werden kann. Das bedeutet, dass aus insgesamt drei verfügbaren Kategorien zwei Arten der Überprüfung erforderlich sind. 

Die drei Kategorien beziehen sich auf: 

  • Wissen, also etwas, was nur dem Kunden bekannt ist. Beispiele hierfür sind die PIN oder auch ein Passwort oder die Antwort auf eine Sicherheitsfrage
  • Besitz, also etwas, was nur dem Kunden gehört: Beispiele hierfür sind das Smartphone, der PC oder das Tablet
  • Inhärenz, also etwas, was den Kunden ausmacht: Beispiele hierfür sind biometrische Merkmale wie das Gesicht oder der Fingerabdruck 

Erst wenn zwei der drei Formen der Kundenauthentifizierung erfüllt sind, kann die Zahlung abgeschlossen werden. 

Die Ausnahmen der Regel: Wann die SCA nicht greift 

Die Starke Kundenauthentifizierung gilt nicht immer und es gibt Ausnahmen. Um die Zahl der Kaufabbrüche zu reduzieren, können Händler ihre Kunden entlasten: Bei Onlinezahlungen unter 30 Euro ist die SCA grundsätzlich nicht erforderlich. Es gibt bei manchen Fällen auch ein „aber“: Führt der Kunde fünf oder mehr Zahlungen unter 30 Euro hintereinander aus oder beträgt die Summe mehrerer kleinerer Zahlungen mehr als 100 Euro, ist die Authentifizierung notwendig. 

Bei wiederkehrenden Zahlungen wie Daueraufträgen muss der Kunde die SCA nur für die erste Zahlung durchführen, wenn er sie initiiert. Ändert sich die Summe allerdings bei der wiederkehrenden Zahlung, muss der Prozess der Starken Kundenauthentifizierung erneut durchgeführt werden. 

Zudem gibt es die Möglichkeit des sogenannten Whitelisting. Wie der Name schon vermuten lässt, stellt es das Gegenteil zum sogenannten „Blacklisting“ dar und Zahlungsvorgänge können so verkürzt werden. Hier fügt beispielsweise ein Kunde ein Unternehmen einer Liste von „Vertrauenswürdigen Begünstigten“ hinzu. So können Endkunden bei einem Checkout-Prozess ein Kontrollkästchen anhaken, damit ein bestimmter Händler oder ein bestimmtes Unternehmen auf der „Whitelist“ ergänzt wird. So entfällt bei Zahlungsvorgängen unabhängig von der Höhe der Summe und der Regelmässigkeit die Starke Kundenauthentifizierung. 

Auch in anderen Fällen ist die SCA nicht notwendig. Die Frage, die sich aber stellt: Wenn so viele Ausnahmen gemacht werden, entstehen dadurch nicht neue Schwachstellen? 

Wo Licht ist, ist auch Schatten

Mit der Einführung von PSD2 und damit auch der Starken Kundenauthentifizierung sollte verhindert werden, dass Käufer zu Betrugsopfern werden. Auf der anderen Seite stehen die Kaufabbrüche, die infolge der Strong Customer Authentication vermehrt verzeichnet wurden. Die Sicherheit der Kunden und eine reibungslose Customer Journey stehen damit in einem Spannungsverhältnis. 

Cyberbetrüger haben hart daran gearbeitet, Schwachstellen und Wege zu finden, um die Sicherheitsvorkehrungen rund um die zweite Zahlungsdiensterichtlinie zu umgehen. In Dark-Web-Foren werden Tipps ausgetauscht und Vorträge angeboten, wie sich SCA umgehen lassen. Und die Arten der Angriffe dafür sind vielfältig: Eine Methode, die oft angewendet wird, ist der illegale Zugriff auf Software oder Firmware, bei denen Betrüger Malware nutzen, um Authentifizierungssysteme auszuhebeln. Die nötigen Informationen zu den Schwachstellen lassen sich im Dark Web erwerben. 

Weitere Angriffsarten sind Social-Engineering-Attacken. Dabei wird der Mensch als schwächstes Glied in der Sicherheitskette ausgenutzt: Mithilfe von E-Mails, SMS-Nachrichten, Nachrichten auf den sozialen Medien oder einem persönlichen Anruf werden die Opfer dazu gebracht, ihre persönlichen Daten herauszugeben. Bei Authorized-Push-Payment-Betrügereien (APP) löst die manipulierte Person unter Anleitung des Kriminellen die Transaktion selbst aus. Diese Art des Betrugs ist häufig erfolgreich, weil die Methode auf eine Person abzielt und nicht auf das Sicherheitsprotokoll selbst. 

Das Spannungsverhältnis zeigt, dass Cyberkriminelle immer Wege finden werden, um bestehende Sicherheitsverfahren zu umgehen. Dennoch sollte bei der Sicherheitsfrage der Komfort des Kunden nicht vergessen werden. Biometrische Verfahren wie der Fingerabdruck sind ein bewährtes Mittel, um beides zu gewährleisten: Die Sicherheit und die reibungslose Customer Journey.

 

Die digitale Customer Experience als Erfolgsfaktor