Warum ist eine starke Kundenauthentifizierung (SCA) wichtig?

Seit die Europäische Union ihre überarbeitete Richtlinie PSD2 für Zahlungsdienstleister eingeführt hat, wird viel über starke Kundenauthentifizierung (oder auch SCA) gesprochen. Aber was ist SCA? Wie spiegelt sich das in unseren webbasierten Transaktionen wider? Was für Herausforderungen birgt das für Unternehmen, die online tätig sind, und welche Vorteile bietet es?

Im Oktober 2015 beschloss die Europäische Union ein neues Gesetz zu Zahlungsdienstleistungen, das Verbraucher bei Online-Transaktionen oder grenzüberschreitenden Zahlungen besser schützen soll. Obwohl die ursprüngliche Implementierungsfrist verlängert wurde, ist die SCA schnell zu einem Teil unserer täglichen Web-Interaktionen mit Banken, Online-Händlern und Dienstleistern geworden.

Aber was hat diesen Übergang zu verstärkten Sicherheitsmaßnahmen motiviert? Um diese Frage zu beantworten, müssen wir die Faktoren untersuchen, die zu PSD2 geführt haben, darunter ein Wiederaufleben von Cyberbedrohungen, die Verbraucher und Unternehmen gleichermaßen betreffen.

Letztendlich müssen wir sowohl die Vorteile als auch die Herausforderungen berücksichtigen, die SCA für online tätige Anbieter und Dienstleister mit sich bringt. Und was können Banken und Finanzinstitute tun, um die SCA-Anforderungen zu erfüllen und gleichzeitig ein positives Benutzererlebnis und ein nachhaltiges Engagement zu gewährleisten?

Was ist denn eine starke Kundenauthentifizierung überhaupt?

Die starke Kundenauthentifizierung ist eine direkte Antwort auf die deutliche Veränderung des Online-Konsumverhaltens und der Bankgewohnheiten der europäischen Bürger seit dem zweiten Jahrzehnt des 21. Jahrhunderts. Sie bietet zwar ein erhöhtes Maß an Sicherheit, ist aber auch mit mehr Komplexität verbunden. Aber wie genau funktioniert das?

SCA ist einer der Eckpfeiler von PSD2. Es verlangt, dass Zahlungsdienstleister (PSP) innerhalb des EWR (Europäischer Wirtschaftsraum) Verfahren zur Multifaktor-Authentifizierung (MFA) einrichten. So wird sichergestellt, dass Kunden, die über Online-Banking-Apps und ähnliche Schnittstellen auf Zahlungsdienste zugreifen und sensible Daten teilen, tatsächlich diejenigen sind, die sie vorgeben zu sein.

Als Mindestanforderung verpflichtet die Zwei-Faktor-Authentifizierung (2FA) die Benutzer, zwei der folgenden Angaben zu machen, wenn sie eine Transaktion durchführen oder auf vertrauliches Material zugreifen:

Diese drei Kategorien lassen sich in den folgenden Begriffen zusammenfassen:

• Wissen– dies bezieht sich auf Passwörter, PIN-Nummern oder Informationen, die nur der Benutzer oder Kunde bereitstellen kann.
• Besitz – dies bezieht sich auf etwas, das der Benutzer bei sich trägt, einschließlich Mobiltelefonen, Token oder Smartcards, die zur Übermittlung angeforderter Informationen verwendet werden können.
• Inhärenz – dies bezieht sich auf die physischen Eigenschaften des Benutzers, wie z.B Gesichts-, Stimm- oder Fingerabdruckerkennung.

Während letzteres bis vor wenigen Jahren noch Science-Fiction-würdig erschien, wird es heute schnell zur allgegenwärtigen Realität. Populäre Beispiele sind z. B. Apples FaceID oder die Fingerabdruck-Erkennungspads, die von Smartphone-Herstellern für den Zugriff auf ihre Geräte verwendet werden und einen traditionellen PIN-Code ersetzen.

Abgesehen von der rasanten Zunahme des Online-Konsumverhaltens bleibt jedoch die Frage, was diese erweiterten Authentifizierungsmethoden sonst noch antreibt. Und was sind die möglichen Konsequenzen für Verbraucher und Unternehmen, die online tätig sind?

Warum wurde SCA eingeführt?

Der Verbraucherschutz im Zusammenhang mit Online-Banking und Online-Handel vor Einführung der PSD2 wurde als unzureichend angesehen. Dazu gehörte die spürbare Zunahme an Raffinesse und der Anzahl an Cyberangriffen in den letzten zehn Jahren, wobei neuere Entwicklungen diesen Trend noch verschärfen. Während SCA versucht, Cyberbedrohungen zu entschärfen, kann es sich auch negativ auf die Benutzerfreundlichkeit auf Plattformen, Apps oder Webseiten auswirken.

Aber warum?

Während die Covid-19-Pandemie im Laufe des Jahres 2020 weiterhin für große Unruhe sorgte, nahmen Phishing-Betrügereien, Malware, Ransomware und verschiedene andere Arten von betrügerischen Angriffen exponentiell zu, da viele Mitarbeiter in der Dienstleistungsbranche von heute auf morgen von zu Hause aus arbeiten mussten. Schon vor der Pandemie ist die Internetkriminalität im letzten Jahrzehnt stetig gestiegen. In der „Ninth Annual Cost of Cybercrime Study“, für die mehrere Tausend Führungskräfte in 355 Unternehmen in 11 Ländern befragt wurden, gab Accenture einen Anstieg derFür die Verbraucher bedeutet die verbesserte Sicherheit ein geringeres Risiko Opfer von Betrug und Cyberangriffen zu werden. pro Unternehmen zwischen 2013 und 2018 um 67 % an. Doch nicht nur Mitarbeiter- und Unternehmensdaten fallen den Cyberkriminellen zum Opfer, auch die Zahl der Cyberangriffe auf Privatpersonen nimmt zu. PSD2 versucht, dieses Problem zu lösen.

Die inhärenten Schwachstellen der Single-Factor-Authentifizierung (SFA), wie z.B. die wiederholte Verwendung von leicht zu vergessenden Passwörtern, setzen Verbraucher allen Arten von Cyberbedrohungen aus. Banken und Zahlungsdienstleister sind somit verpflichtet, einen SCA-Mechanismus zu installieren, der sie besser vor böswilligen Angriffen schützt.

Insgesamt betrachtet bietet die SCA sowohl Vorteile als auch Nachteile für Verbraucher und Unternehmen, die online tätig sind:

Wenn es um die Benutzererfahrung geht, sind die potenziellen Reibungen, die durch die Multifaktor-Authentifizierung verursacht werden, für viele Unternehmen ein Thema, das ihnen Sorgen bereitet. Es stellt sich die Frage, wie können Banken und PSPs die Sicherheit der Menschen gewährleisten und gleichzeitig Benutzerfreundlichkeit aufrechterhalten?

Sicherheit versus Benutzerfreundlichkeit, eine unmögliche Gleichung?

Uber, Deliveroo, JustEat ... die Liste ist lang. In den letzten Jahren sind unzählige App-basierte Dienste entstanden, die schnellen Service, prompte Bezahlung und eine reibungslose Benutzererfahrung zu einem festen Bestandteil unseres Alltags machen. SCA hat ein kleines Dilemma für Unternehmen geschaffen, die ihrem Kundenstamm das gleiche Maß an reibungslosem Service bieten wollen, das so viele heute als selbstverständlich ansehen. Was genau kann also getan werden?

Unter PSD2 haben Online-Händler selbst keinen Einfluss darauf, wie SCA implementiert wird, diese Verantwortung liegt bei den Kartenausstellern und Bankpartnern ihrer Kunden. Dies kann zu Frustrationen führen, selbst wenn beide Parteien ein gemeinsames Interesse an der Förderung nahtloser Online-Transaktionen haben. Als die traditionellen Bankbetreiber anfingen, ihre App-basierten Online-Banking-Dienste zu entwickeln, entschieden sie sich in der Regel für eine vereinfachte Version ihrer vertrauten Desktopoberfläche, die es den Kunden ermöglicht, Überweisungen zu tätigen und ihren Kontostand mit nur wenigen Klicks abzufragen. Die Störung dieser ruhigen Online-Banking-Landschaft durch SCA und die potenzielle Beeinträchtigung der Benutzerfreundlichkeit sind nicht unbemerkt geblieben.

Unternehmen und PSPs, die die Erwartungen der Benutzer ignorieren, tun dies auf eigene Gefahr. Laut einer aktuellen Umfrage des unabhängigen UX-Forschungsinstituts Baymard im Online-Handel war ein „langer oder komplizierter Bezahlvorgang“ das am dritthäufigsten genannte Motiv für den Abbruch einer Online-Transaktion, wobei mehr als ein Fünftel der Befragten in dieser Kategorie dies als Grund angaben. Noch höher war der Anteil derjenigen, die ihren Warenkorb abbrachen, weil die Website von ihnen verlangte, „ein Konto zu erstellen“ – fast 30 %.

In einer Zeit, in der die Hürden für den Wechsel von einem Online-Händler oder -Dienstleister zu einem anderen so niedrig sind wie nie zuvor, ist das empfindliche Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit ein wichtiges Anliegen für Unternehmen, Banken und Finanzinstitute. Die angebotenen Authentifizierungsmöglichkeiten sollten möglichst breit gefächert sein und verschiedene Benutzer- bzw. Kundenprofile berücksichtigen. Dies richtig zu machen, kann sich als entscheidend dafür erweisen, ob das Kundenengagement trotz SCA weiter gedeiht oder aufgrund von als lästig empfundenen Anforderungen zu sinken beginnt.

Um die Reibung in dem Kaufprozess zu reduzieren und sicherzustellen, dass alle Nutzer und Kunden bedient werden, müssen Kartenaussteller, Banken und Zahlungsdienstleister folgende Punkte berücksichtigen:

1. Nicht alle mobilen Betriebssysteme (OS) sind auf dem neuesten Stand

• Anbieter oder Benutzer aktualisieren ihr Betriebssystem möglicherweise nicht automatisch, wenn erforderlich.
• SCA auf Plattformen oder Apps sollte auch dann funktionieren, wenn ein Betriebssystem nicht auf dem neuesten Stand ist.

2. Nicht jeder besitzt ein Smartphone

• Ältere Menschen ohne smarte Geräte können einen erheblichen Teil des Kundenstamms eines Unternehmens ausmachen. SCA-Methoden sollten dies widerspiegeln.
• Wenn Push-Benachrichtigungen nicht möglich sind, sollten Einmalpasswörter (OTP) durch automatische Rückrufe oder SMS-Nachrichten ermöglicht werden.

3. SCA ist für wiederkehrende Transaktionen nicht erforderlich

• Wiederkehrende Daueraufträge für Gebühren- oder Abonnementkonten müssen die SCA-Anforderungen nur einmal erfüllen.
• Wiederkehrende Lastschriften, die vom Zahlungsempfänger initiiert werden, sind hier ausgenommen.

4. Biometrische Lösungen sind verfügbar

• Accurate facial or fingerprint recognition are the most secure forms of authentication.
• They are also the most compatible with a fluid user journey.
• Third-party digital ID service providers offer solutions that directly integrate into existing app interfaces or platform infrastructures.

5. Anleitungen beruhigen

• Es ist wichtig, den Kunden Informationen darüber zu geben, wann und wo SCA erforderlich ist.
• Das Ziel, Cyberbedrohungen und Betrug zu reduzieren, kann die Relevanz von SCA verdeutlichen.
• Kunden sollten darauf hingewiesen werde, ihre mobilen Geräte, Betriebssysteme und persönlichen Daten regelmäßig zu aktualisieren, um eine reibungslose SCA.Erfahrung zu gewährleisten.

Letztendlich müssen auch Online-Unternehmen und -Händler eine Rolle spielen, um sicherzustellen, dass SCA nicht als Hindernis wahrgenommen wird. Indem sie ihren Kundenstamm über die Sicherheitsvorteile von SCA aufklären, können auch sie ihren Kundenstamm beruhigen und die anfängliche Zurückhaltung abbauen. Letzten Endes ist SCA dazu gemacht, zu bleiben. Auch wenn es kurzzeitig zu Reibungen kommen kann im Kaufprozess, werden diese sich auch lösen im Laufe der Zeit, wenn alle Verbraucher und Unternehmen, die innerhalb des EWR tätig sind, sich an die veränderte Online-Transaktionslandschaft anpassen, die PSD2 geschaffen hat.

Nur wenige Gesetze haben die Online-Transaktionslandschaft so stark verändert wie PSD1 und PSD2. Neben der Einführung eines Rahmens für neue Zahlungsdienste bietet die PSD2-Richtlinie zur starken Kundenauthentifizierung den Verbrauchern bei webbasierten Transaktionen einen größeren Schutz vor Cyberangriffen. Die Herausforderungen, die SCA-Maßnahmen in Bezug auf die Nutzererfahrung mit sich bringen, sind jedoch erheblich.

Kartenaussteller, Banken und PSPs sind verpflichtet, eine reibungslose Nutzungen und Online-Transaktionen zu gewährleisten, die durch verstärkte Sicherheitsmaßnahmen nicht behindert werden. Dies ist nicht nur in ihrem Interesse, sondern auch in dem von Finanzinstituten, Verbrauchern und online tätigen Unternehmen. Das Angebot von weitreichenden, flexiblen Authentifizierungsoptionen und die Aufklärung der Verbraucher über die Vorteile von SCA gehören zu den besten Möglichkeiten, dies zu erreichen.

Mit der Zeit werden die SCA-Methoden schneller, intuitiver und immer weiter verbreitet sein, und die anfänglichen Reibungen werden sich auflösen. Sicherheitsrisiken bleiben jedoch eine Konstante, und alle Unternehmen, die online tätig sind, sollten Vorsicht walten lassen. In Anbetracht des strengen regulatorischen Umfelds, in dem sie tätig sind, haben Finanzdienstleister eine echte Expertise im Umgang mit Sicherheitsfragen und im Schutz vor potenziellen Bedrohungen entwickelt. Ihnen kommt daher eine entscheidende Rolle bei der Sensibilisierung für diese Themen zu, damit sich Unternehmen besser schützen können.