20.09.2019
Anpassungsdruck für Händler
1. Teil: „Das Online-Bezahlen wird sich ändern“
Das Online-Bezahlen wird sich ändern
Autor: Christiane Fröhlich
Mykhailo Matviichuk / shutterstock.com
Für Zahlungen im Web gilt nun die Pflicht zur Zwei-Faktor-Authentifizierung. Die PSD2 bringt zwar mehr Sicherheit, stellt betroffene Unternehmen jedoch vor eine Herausforderung.
Die Zwei-Faktor-Authentifizierung schreibt vor, dass elektronische Fernzahlungen - und damit viele heute übliche Bezahlvorgänge im Online-Handel - neben gängigen Merkmalen wie Benutzername und Passwort oder Kreditkartennummer, Ablaufdatum und Prüfziffer mit einem sogenannten zweiten Faktor gesichert werden müssen. Ziel ist der Schutz der Verbraucher: Die Regelung soll sicherstellen, dass nur ein autorisierter Nutzer eine Zahlung freigeben kann.
Vermehrt Kaufabbrüche
57 Milliarden Euro könnte der europäische Online-Handel im Lauf der ersten zwölf Monate nach dem Inkrafttreten der Zwei-Faktor-Authentifizierung aufgrund zusätzlicher Kaufabbrüche einbüßen, prognostizierte unlängst der Payment-Service-Provider Stripe. Ausschlaggebend für die möglicherweise hohen Verluste sei, dass viele Unternehmen bisher wenig über die Neuregelungen wüssten und nicht auf die Umstellung vorbereitet seien, so die Studien-Autoren.
2. Teil: „Betroffene Zahlarten“
Betroffene Zahlarten
Paypal, Amazon Pay und Kreditkartenunternehmen müssen ihre Verfahren so ändern, dass bei Bedarf die Abfrage eines zweiten Faktors möglich ist. Außerdem sind nicht alle beim Online-Shopping gängigen Bezahlverfahren betroffen. Die schlechte Nachricht: Die Online-Händler müssen abwarten, wann und in welcher Form die Zahlungsdienstleister die Vorgaben umsetzen.
Die gute Nachricht für Online-Händler: Prinzipiell müssen sich die Zahlungsdienstleister darum kümmern, dass die Vorgaben eingehalten werden, nicht die Händler selbst. Das heißt, Anbieter wie Nach den Vorgaben der PSD2 (Payment Services Directive2) müssen die Transaktionen nicht bei allen Bezahlverfahren durch einen zweiten Faktor gesichert werden.
- Lastschrift: Für Zahlungen via Lastschrift ist im Online-Handel nie eine Zwei-Faktor-Authentifizierung nötig. Der Grund dafür ist, dass die Zahlung nicht vom Online-Shopper angestoßen wird, sondern von dessen Gläubiger, in diesem Fall dem Shop-Betreiber. Seine Bank zieht die Lastschrift mit Erlaubnis des Online-Shoppers aktiv ein. Bei Lastschriftzahlungen im Web ändert sich also gar nichts.
- Sofortüberweisung/Giropay: Beide Online-Überweisungsverfahren basieren auf Online-Banking. Dort sind die Transaktionen über die einmaligen TANs (Transaktionsnummern) im Rahmen des Online-Banking immer mit einem zweiten Faktor gesichert, egal ob es eine Mobile TAN via SMS, eine Push-TAN in einer App oder eine Foto-TAN ist. Wichtig dabei ist lediglich, dass die TAN über ein zweites Gerät ausgegeben wird, etwa ein Smartphone. Bei den meisten Banken ist dies heute schon Standard. Für diese Zahlarten ist beim Online-Shopping keine weitere Authentifizierung nötig.
- Rechnungskauf: Wird die Rechnung für eine Bestellung im Web vom Online-Shopper mit einer Online-Überweisung bezahlt, greifen auch die Sicherungsmechanismen des Online-Bankings. Folglich ist auch beim Rechnungskauf keine zusätzliche Authentifizierung nötig. Einzige Ausnahme: Enthält die Rechnung einen Bezahl-Code, über den der Online-Shopper mit einer anderen Bezahlart wie etwa Paypal die Rechnung begleicht, greifen die Bestimmungen dieser Zahlart.
- Paypal: Paypal gilt nach eigenen Angaben als Zahlungskonto im Sinne der PSD2 und muss damit die Vorgaben zur Zwei-Faktor-Authentifizierung umsetzen. Wie das konkret aussehen wird, verrät Paypal noch nicht. Ein Team arbeite an der Umsetzung. Ziel sei, „auch künftig ein möglichst reibungsloses Bezahlerlebnis bieten zu können“, heißt es aus dem Unternehmen. Paypal sichert seinen Händlern zu, dass die Bestimmungen bis zum Stichtag erfüllt werden und dass auf die große Mehrheit der Händler kein zusätzlicher Entwicklungsaufwand zukommen wird.
Prinzipiell macht es einen Unterschied, ob die Paypal-Zahlung per Lastschrift oder per Kreditkarte abgewickelt wird. Bei einer Lastschriftzahlung ist auch hier keine Authentifizierung nötig, bei einer Kreditkartenzahlung hingegen schon. Daher wird Paypal vermutlich auch nur bei Kreditkartenzahlungen die nötige Authentifizierung einbauen. Denkbar wäre eine Einmal-TAN, die per SMS, per E-Mail oder per App ausgegeben wird. Diese Möglichkeit bietet Paypal besonders sicherheitsbewussten Kunden bereits heute an, sie wird aber wohl kaum genutzt.
Ebenso denkbar sind biometrische Verfahren wie ein Fingerabdruck oder ein Gesichts-Scan über die Paypal-App. Da viele Paypal-Nutzer sehr mobilaffin sind, ist zu vermuten, dass die schnellen Biometrie-Verfahren hier künftig eine große Rolle spielen werden.
Für Paypal Express gilt: Paypal Express wird lediglich an anderer Stelle im Checkout eingebunden, etwa im Warenkorb. Der Bezahlvorgang an sich ist aber ein gewöhnlicher Paypal-Prozess und daher auch künftig mit diesem identisch.
Bei Paypal-Zahlungen wird sich der Bezahlvorgang also ändern, wenn die Transaktion nicht per Lastschrift abgewickelt wird. Der Händler sollte im Regelfall aber keine Änderungen vornehmen müssen.
- Amazon Pay: Auch Amazon Pay will sich nicht in die Karten schauen lassen. „Wir sind uns bewusst, dass die PSD2 im September wirksam werden soll, und wir sind dabei, unsere eigenen Vorbereitungen abzuschließen. Obwohl wir nur ein Teil der Kette für Finanztransaktionen sind, tragen wir unseren Teil dazu bei, für unsere Kunden einen reibungslosen Übergang zu gewährleisten“, lautet das Statement von Amazon. Auch hier macht es einen Unterschied, ob hinter der Amazon-Pay-Transaktion eine Lastschrift oder eine Kreditkartenzahlung steht. Denkbar wäre, dass Amazon die Lastschrift als bevorzugte Zahlart nach oben setzt, um möglichst selten authentifizieren zu müssen. Für Kreditkartenzahlungen sind ähnliche Verfahren wie bei Paypal denkbar, beispielsweise eine Mobile-TAN via SMS.
- Paydirekt/Klarna: Die beiden Zahlungsanbieter Klarna und Paydirekt halten sich ebenfalls bedeckt. Paydirekt lässt lediglich verlauten, dass man vorbereitet sei und den Service „selbstverständlich auch über den 14. September hinaus rechtskonform und komfortabel“ anbieten werde. Ähnlich das Bild bei Klarna: Man bereite sich auf unterschiedliche Szenarien vor.
- Kreditkarte: Kreditkartenzahlungen müssen beim Online-Shopping künftig immer mit einem zweiten Faktor gesichert werden. Zu diesem Zweck haben sich die beteiligten Finanzpartner auf den neuen 3D-Secure-2.0-Standard geeinigt. Darüber soll die Zwei-Faktor-Authentifizierung deutlich erleichtert werden. Zahlungen ohne 3D-Secure-Absicherungen sind nicht erlaubt.
Prinzipiell ist aber auch die Absicherung über das bisher geltende 3D-Secure1-Verfahren erlaubt und möglich, das die Kreditkartenfirmen unter Bezeichnungen wie „Verified by Visa“ und „Mastercard Secure Code“ bereits vor Jahren eingeführt haben.
3. Teil: „Transaktionsrisikoanalyse“
Transaktionsrisikoanalyse
E-Mail verschickte Einmal-TANs zur Sicherung leichter eingesetzt werden können. Außerdem ermöglicht der neue Standard das Erfassen von bis zu 100 Daten zum Käufer und dem Kaufprozess. Dazu zählen die Anzahl der Transaktionen, die Warenkorbgröße, die Wiederkaufsrate, die IP-Adresse des Käufers oder die Browser-Version. Diese Daten dienen als Basis für die sogenannte Transaktionsrisikoanalyse. Eine solche Analyse können Finanzdienstleister durchführen, um das Risiko einer betrügerischen Zahlung einzuschätzen. Unterschreitet der Risikowert die vorgeschriebenen Grenzwerte, darf die Zahlung ohne Zwei-Faktor-Authentifizierung abgeschlossen werden.
Der neue 3D-Secure2.0-Standard soll die Umsetzung der starken Authentifizierung erleichtern, indem biometrische Methoden wie etwa der Fingerabdruck oder per SMS oder Allerdings kann die Transaktionsrisikoanalyse nicht auf einen einzelnen Händler bezogen durchgeführt werden. Basis ist immer die Gesamtheit aller Zahlungen mit einer Zahlart. Dennoch gehen einige Payment-Dienstleister davon aus, dass aufgrund der Transaktionsrisikoanalyse künftig bis zu 95 Prozent der Kreditkartenzahlungen ohne Zwei-Faktor-Authentifizierung durchgeführt werden könnten.
Dementsprechend groß ist das Interesse der Kreditkartenunternehmen und der Payment-Service-Provider, den 3D-Secure2.0-Standard zu etablieren. Denn wenn der Zwang zum zweiten Faktor aufgrund der Risikoanalyse wegfällt, steigt die Wahrscheinlichkeit, dass der Kunde auch weiterhin mit der Kreditkarte bezahlen will.
Für den Händler heißt das konkret: Er muss prinzipiell für Kreditkartenzahlungen ein 3D-Secure-Verfahren integrieren. De facto werden die Händler aber gut beraten sein, den neuen 2.0-Standard einzusetzen, da er einen deutlich höheren Bedienkomfort für die Online-Shopper und dadurch eine geringere Kaufabbruchquote verspricht.
Die Transaktionsrisikoanalyse ist eine der Ausnahmeregelungen in der PSD2 bei der Zwei-Faktor-Authentifizierung. Sie gilt im Übrigen nicht nur für Kreditkarten, sondern auch für andere Zahlungsdienstleister. Auch Paypal könnte nach Einschätzung von Experten über die Grundgesamtheit seiner Zahlungen eine Transaktionsrisikoanalyse durchführen, um die starke Authentifizierung in möglichst vielen Fällen zu umgehen. Ob Paypal das tun wird, ist nicht bekannt.
Kleinbeträge und Abos
Daneben hat der Gesetzgeber weitere Ausnahmen geregelt, bei denen die Pflicht zum zweiten Faktor nicht gilt. Eine dieser Ausnahmen betrifft Kleinbeträge. So ist bei Beträgen unter 30 Euro keine Zwei-Faktor-Authentifizierung nötig. Das gilt allerdings nur, solange der Kunde insgesamt nicht mehr als 100 Euro seit der letzten mit zweitem Faktor abgesicherten Transaktion über dieses Bezahlverfahren ausgegeben oder nicht mehr als fünf Zahlungen mit dieser Zahlart getätigt hat. Auch wiederkehrende Zahlungen, etwa für Abonnements, sind ausgenommen - selbst wenn es sich dabei um Zahlungen in unregelmäßigen Zeitintervallen und mit unterschiedlichen Summen handelt.
Eine weitere Ausnahme ist das sogenannte Whitelisting - ein Verfahren, bei dem der Online-Shopper vertrauenswürdige Zahlungsempfänger, also auch Shops seines Vertrauens, auf einer Liste hinterlegt, sodass bei Zahlungen in diesem Shop keine Authentifizierung nötig ist. Die Whitelists kann aber nur der Verbraucher selbst bei einem Zahlungsdienstleister führen. Das kann seine Bank, könnte aber auch Paypal sein. Es ist jedoch nicht klar, ob alle Banken solche Whitelists anbieten werden.
Inwieweit ein Händler von den Ausnahmeregelungen profitieren kann, hängt zudem vom Einzelfall ab. Shop-Betreiber sollten sich in jedem Fall bewusst sein, dass Umsetzung und Abwicklung der Ausnahmen sehr komplex sein können. So kann der Händler zum Beispiel nicht wissen, wie oft oder wie viel sein Kunde bereits ohne Authentifizierung mit dem ausgewählten Verfahren bezahlt hat, ob also die Fünfer-Regel oder die 100-Euro-Regel greift oder nicht. Auch die nötige Anbindung an die Banken, um eine Rückmeldung über ein mögliches Whitelisting automatisiert im Shop verarbeiten zu können, ist nicht zu unterschätzen.
4. Teil: „Händler sollten informieren“
Händler sollten informieren
Sind Kreditkartenzahlungen wichtig für ihn, sollte er sich mit seinem Payment-Service-Provider in Verbindung setzen. In aller Regel wird dieser zeitnah ein Update bereitstellen, mit dem das 3D-Secure2.0-Verfahren integriert wird. Parallel ist zu klären, welche Daten der Payment-Service-Provider vom Shop-Betreiber für die Transaktionsrisikoanalyse haben möchte. Hier ist der Händler gefragt, weil sein Shop-System eventuell nicht alle gewünschten Daten ausweist. Im Zweifelsfall muss er prüfen, ob und inwieweit er seine Systeme anpassen will. Eventuell ist auch ein Wechsel des Payment-Service-Providers sinnvoll.
Für Paypal-Zahlungen, die in vielen Shops eine große Rolle spielen, muss der Händler darauf vertrauen, dass Paypal rechtzeitig eine Lösung präsentieren wird. Gleiches gilt, wenn ein Händler Amazon Pay oder Paydirekt im Angebot hat. Bei den Bezahlverfahren Rechnungskauf, Lastschrift, Sofortüberweisung und Giropay sollten keine Probleme auftreten.
In jedem Fall sind Händler gut beraten, ihre Kunden über die anstehende Änderung zu informieren. Händler sollten sich daher überlegen, in welcher Form und an welcher Stelle im Shop sie ihren Kunden erklären können, warum sich der Bezahlvorgang ändert und wie er künftig aussehen wird. Eventuell sind Hilfestellungen direkt im Umfeld der gewählten Zahlart sinnvoll. Auch der Kundenservice sollte auf entsprechende Anfragen vorbereitet sein.
Zudem ist es sinnvoll, Bezahlverfahren festzulegen, die als Auffangnetz dienen, falls eine gewünschte Zahlung wegen der fehlenden Authentifizierung nicht zustande kommt. Als Ersatz kann der Händler etwa eine Zahlung via Lastschrift oder Sofortüberweisung oder auch den Rechnungskauf anbieten. Hat er bislang keine solche Verfahren im Angebot, sollte er überlegen, mindestens eine solche Zahlart einzuführen.
Auktion
136.000 Euro für ein altes iPhone
In den USA wurden Apple-Produkte und Devotionalien zu teilweise gewaltigen Summen versteigert. Eine von Steve Jobs signierte Visitenkarte brachte 167.000 Euro.
>>
Wisej
.NET Server als kostenlose Express Edition
Das Web-Framework Wisej.NET führt ab dem 1. Mai 2024 ein neues Lizenzmodell ein: Mit Wisej.NET Server Express wird dann eine neue kostenlose Einstiegsversion angeboten.
>>
Tracking
Cookie-Banner nerven immer mehr Web-User
Zwei Drittel der Internet-Nutzer wollen sich laut neuer BITKOM-Studie mit Cookie- und Tracking-Einstellungen am liebsten überhaupt nicht beschäftigen.
>>
Magic6 RSR Porsche Design
Honor bringt zweites Smartphone mit Porsche Design
Das Honor Magic6 RSR ist ein Oberklasse-Smartphone, bei dessen Entwicklung Porsche Design mit an Bord war. Entsprechend gibt es einige optische Anklänge an die klassischen Sportwagen.
>>