Seit die Europäische Union ihre überarbeitete Richtlinie PSD2 für Zahlungsdienstleister eingeführt hat, wird viel über starke Kundenauthentifizierung (oder auch SCA) gesprochen. Aber was ist SCA? Wie spiegelt sich das in unseren webbasierten Transaktionen wider? Was für Herausforderungen birgt das für Unternehmen, die online tätig sind, und welche Vorteile bietet es?
Im Oktober 2015 beschloss die Europäische Union ein neues Gesetz zu Zahlungsdienstleistungen, das Verbraucher bei Online-Transaktionen oder grenzüberschreitenden Zahlungen besser schützen soll. Obwohl die ursprüngliche Implementierungsfrist verlängert wurde, ist die SCA schnell zu einem Teil unserer täglichen Web-Interaktionen mit Banken, Online-Händlern und Dienstleistern geworden.
Aber was hat diesen Übergang zu verstärkten Sicherheitsmaßnahmen motiviert? Um diese Frage zu beantworten, müssen wir die Faktoren untersuchen, die zu PSD2 geführt haben, darunter ein Wiederaufleben von Cyberbedrohungen, die Verbraucher und Unternehmen gleichermaßen betreffen.
Letztendlich müssen wir sowohl die Vorteile als auch die Herausforderungen berücksichtigen, die SCA für online tätige Anbieter und Dienstleister mit sich bringt. Und was können Banken und Finanzinstitute tun, um die SCA-Anforderungen zu erfüllen und gleichzeitig ein positives Benutzererlebnis und ein nachhaltiges Engagement zu gewährleisten?
Die starke Kundenauthentifizierung ist eine direkte Antwort auf die deutliche Veränderung des Online-Konsumverhaltens und der Bankgewohnheiten der europäischen Bürger seit dem zweiten Jahrzehnt des 21. Jahrhunderts. Sie bietet zwar ein erhöhtes Maß an Sicherheit, ist aber auch mit mehr Komplexität verbunden. Aber wie genau funktioniert das?
SCA ist einer der Eckpfeiler von PSD2. Es verlangt, dass Zahlungsdienstleister (PSP) innerhalb des EWR (Europäischer Wirtschaftsraum) Verfahren zur Multifaktor-Authentifizierung (MFA) einrichten. So wird sichergestellt, dass Kunden, die über Online-Banking-Apps und ähnliche Schnittstellen auf Zahlungsdienste zugreifen und sensible Daten teilen, tatsächlich diejenigen sind, die sie vorgeben zu sein.
Als Mindestanforderung verpflichtet die Zwei-Faktor-Authentifizierung (2FA) die Benutzer, zwei der folgenden Angaben zu machen, wenn sie eine Transaktion durchführen oder auf vertrauliches Material zugreifen:
Wissen | Besitz | Inhärenz |
Passwort | Telefon | Fingerabdruck |
PIN | Token | Gesichtserkennung |
Geheimer Fakt | Smartcard | Spracherkennung |
Diese drei Kategorien lassen sich in den folgenden Begriffen zusammenfassen:
Während letzteres bis vor wenigen Jahren noch Science-Fiction-würdig erschien, wird es heute schnell zur allgegenwärtigen Realität. Populäre Beispiele sind z. B. Apples FaceID oder die Fingerabdruck-Erkennungspads, die von Smartphone-Herstellern für den Zugriff auf ihre Geräte verwendet werden und einen traditionellen PIN-Code ersetzen.
Abgesehen von der rasanten Zunahme des Online-Konsumverhaltens bleibt jedoch die Frage, was diese erweiterten Authentifizierungsmethoden sonst noch antreibt. Und was sind die möglichen Konsequenzen für Verbraucher und Unternehmen, die online tätig sind?
Schon gewusst? Nach Angaben der Europäischen Bankenaufsichtsbehörde nutzten im Jahr 2017 über 50 % der Verbraucher in der EU Online-Banking, im Vergleich zu nur 25 % im Jahr 2007. |
Der Verbraucherschutz im Zusammenhang mit Online-Banking und Online-Handel vor Einführung der PSD2 wurde als unzureichend angesehen. Dazu gehörte die spürbare Zunahme an Raffinesse und der Anzahl an Cyberangriffen in den letzten zehn Jahren, wobei neuere Entwicklungen diesen Trend noch verschärfen. Während SCA versucht, Cyberbedrohungen zu entschärfen, kann es sich auch negativ auf die Benutzerfreundlichkeit auf Plattformen, Apps oder Webseiten auswirken.
Aber warum?
Während die Covid-19-Pandemie im Laufe des Jahres 2020 weiterhin für große Unruhe sorgte, nahmen Phishing-Betrügereien, Malware, Ransomware und verschiedene andere Arten von betrügerischen Angriffen exponentiell zu, da viele Mitarbeiter in der Dienstleistungsbranche von heute auf morgen von zu Hause aus arbeiten mussten. Schon vor der Pandemie ist die Internetkriminalität im letzten Jahrzehnt stetig gestiegen. In der „Ninth Annual Cost of Cybercrime Study“, für die mehrere Tausend Führungskräfte in 355 Unternehmen in 11 Ländern befragt wurden, gab Accenture einen Anstieg derFür die Verbraucher bedeutet die verbesserte Sicherheit ein geringeres Risiko Opfer von Betrug und Cyberangriffen zu werden. pro Unternehmen zwischen 2013 und 2018 um 67 % an. Doch nicht nur Mitarbeiter- und Unternehmensdaten fallen den Cyberkriminellen zum Opfer, auch die Zahl der Cyberangriffe auf Privatpersonen nimmt zu. PSD2 versucht, dieses Problem zu lösen.
Die inhärenten Schwachstellen der Single-Factor-Authentifizierung (SFA), wie z.B. die wiederholte Verwendung von leicht zu vergessenden Passwörtern, setzen Verbraucher allen Arten von Cyberbedrohungen aus. Banken und Zahlungsdienstleister sind somit verpflichtet, einen SCA-Mechanismus zu installieren, der sie besser vor böswilligen Angriffen schützt.
Insgesamt betrachtet bietet die SCA sowohl Vorteile als auch Nachteile für Verbraucher und Unternehmen, die online tätig sind:
VORTEILE | NACHTEILE |
Für die Verbraucher bedeutet die verbesserte Sicherheit ein geringeres Risiko Opfer von Betrug und Cyberangriffen zu werden. | SCA kann den Zugriff auf Online-Dienste und den Einzelhandel verlangsamen, wenn es ungeschickt implementiert wird. |
Auch Verbraucher, die bisher zögerten, Online-Transaktionen durchzuführen, werden durch SCA beruhigt. | Für Einzelhändler kann es zum Abbruch der Kaufabwicklung führen, wenn der Kunde den Prozess als zu unangenehm empfindet. |
SCA schafft gleiche Wettbewerbsbedingungen für online tätige Unternehmen, da die meisten SCA-konform sein müssen. | Anspruchsvollere Authentifizierungsmethoden (z.B. Gesichtserkennung) sind noch nicht weit verbreitet. |
Wenn es um die Benutzererfahrung geht, sind die potenziellen Reibungen, die durch die Multifaktor-Authentifizierung verursacht werden, für viele Unternehmen ein Thema, das ihnen Sorgen bereitet. Es stellt sich die Frage, wie können Banken und PSPs die Sicherheit der Menschen gewährleisten und gleichzeitig Benutzerfreundlichkeit aufrechterhalten?
Schon gewusst? Laut einer Analyse in 2018 von dem britischen Behavioral-Marketing-Unternehmens SaleCycle sind Finanzdienstleistungen nach dem Flug- und Reisesektor die Branche, in der Online-Konsumenten ihren Einkaufskorb am häufigsten verlassen, bevor sie eine Transaktion durchführen. |
Uber, Deliveroo, JustEat ... die Liste ist lang. In den letzten Jahren sind unzählige App-basierte Dienste entstanden, die schnellen Service, prompte Bezahlung und eine reibungslose Benutzererfahrung zu einem festen Bestandteil unseres Alltags machen. SCA hat ein kleines Dilemma für Unternehmen geschaffen, die ihrem Kundenstamm das gleiche Maß an reibungslosem Service bieten wollen, das so viele heute als selbstverständlich ansehen. Was genau kann also getan werden?
Unter PSD2 haben Online-Händler selbst keinen Einfluss darauf, wie SCA implementiert wird, diese Verantwortung liegt bei den Kartenausstellern und Bankpartnern ihrer Kunden. Dies kann zu Frustrationen führen, selbst wenn beide Parteien ein gemeinsames Interesse an der Förderung nahtloser Online-Transaktionen haben. Als die traditionellen Bankbetreiber anfingen, ihre App-basierten Online-Banking-Dienste zu entwickeln, entschieden sie sich in der Regel für eine vereinfachte Version ihrer vertrauten Desktopoberfläche, die es den Kunden ermöglicht, Überweisungen zu tätigen und ihren Kontostand mit nur wenigen Klicks abzufragen. Die Störung dieser ruhigen Online-Banking-Landschaft durch SCA und die potenzielle Beeinträchtigung der Benutzerfreundlichkeit sind nicht unbemerkt geblieben.
Unternehmen und PSPs, die die Erwartungen der Benutzer ignorieren, tun dies auf eigene Gefahr. Laut einer aktuellen Umfrage des unabhängigen UX-Forschungsinstituts Baymard im Online-Handel war ein „langer oder komplizierter Bezahlvorgang“ das am dritthäufigsten genannte Motiv für den Abbruch einer Online-Transaktion, wobei mehr als ein Fünftel der Befragten in dieser Kategorie dies als Grund angaben. Noch höher war der Anteil derjenigen, die ihren Warenkorb abbrachen, weil die Website von ihnen verlangte, „ein Konto zu erstellen“ – fast 30 %.
In einer Zeit, in der die Hürden für den Wechsel von einem Online-Händler oder -Dienstleister zu einem anderen so niedrig sind wie nie zuvor, ist das empfindliche Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit ein wichtiges Anliegen für Unternehmen, Banken und Finanzinstitute. Die angebotenen Authentifizierungsmöglichkeiten sollten möglichst breit gefächert sein und verschiedene Benutzer- bzw. Kundenprofile berücksichtigen. Dies richtig zu machen, kann sich als entscheidend dafür erweisen, ob das Kundenengagement trotz SCA weiter gedeiht oder aufgrund von als lästig empfundenen Anforderungen zu sinken beginnt.
Um die Reibung in dem Kaufprozess zu reduzieren und sicherzustellen, dass alle Nutzer und Kunden bedient werden, müssen Kartenaussteller, Banken und Zahlungsdienstleister folgende Punkte berücksichtigen:
Letztendlich müssen auch Online-Unternehmen und -Händler eine Rolle spielen, um sicherzustellen, dass SCA nicht als Hindernis wahrgenommen wird. Indem sie ihren Kundenstamm über die Sicherheitsvorteile von SCA aufklären, können auch sie ihren Kundenstamm beruhigen und die anfängliche Zurückhaltung abbauen. Letzten Endes ist SCA dazu gemacht, zu bleiben. Auch wenn es kurzzeitig zu Reibungen kommen kann im Kaufprozess, werden diese sich auch lösen im Laufe der Zeit, wenn alle Verbraucher und Unternehmen, die innerhalb des EWR tätig sind, sich an die veränderte Online-Transaktionslandschaft anpassen, die PSD2 geschaffen hat.
Schon gewusst? In einer Umfrage von 1000 britischen Karteninhabern im Jahr 2020 stellte das multinationale Zahlungsunternehmen Visa fest, dass 66% der Befragten biometrische Authentifizierungsmethoden für einfacher halten als Passwörter. |
Nur wenige Gesetze haben die Online-Transaktionslandschaft so stark verändert wie PSD1 und PSD2. Neben der Einführung eines Rahmens für neue Zahlungsdienste bietet die PSD2-Richtlinie zur starken Kundenauthentifizierung den Verbrauchern bei webbasierten Transaktionen einen größeren Schutz vor Cyberangriffen. Die Herausforderungen, die SCA-Maßnahmen in Bezug auf die Nutzererfahrung mit sich bringen, sind jedoch erheblich.
Kartenaussteller, Banken und PSPs sind verpflichtet, eine reibungslose Nutzungen und Online-Transaktionen zu gewährleisten, die durch verstärkte Sicherheitsmaßnahmen nicht behindert werden. Dies ist nicht nur in ihrem Interesse, sondern auch in dem von Finanzinstituten, Verbrauchern und online tätigen Unternehmen. Das Angebot von weitreichenden, flexiblen Authentifizierungsoptionen und die Aufklärung der Verbraucher über die Vorteile von SCA gehören zu den besten Möglichkeiten, dies zu erreichen.
Mit der Zeit werden die SCA-Methoden schneller, intuitiver und immer weiter verbreitet sein, und die anfänglichen Reibungen werden sich auflösen. Sicherheitsrisiken bleiben jedoch eine Konstante, und alle Unternehmen, die online tätig sind, sollten Vorsicht walten lassen. In Anbetracht des strengen regulatorischen Umfelds, in dem sie tätig sind, haben Finanzdienstleister eine echte Expertise im Umgang mit Sicherheitsfragen und im Schutz vor potenziellen Bedrohungen entwickelt. Ihnen kommt daher eine entscheidende Rolle bei der Sensibilisierung für diese Themen zu, damit sich Unternehmen besser schützen können.