Was die Strong Customer Authentication ändert

Seit dem 14. September gibt es eine Neuerung, die für europäische Onlinehändler und ihre Kunden einschneidende Veränderungen bringt. Die Strong Customer Authentication (SCA) ist in Kraft getreten. Die Direktive sieht vor, dass Onlinezahlungen nur noch mit einem zweiten zusätzlichen Authentifizierungfaktor abgewickelt werden können (auch bekannt als Zwei-Faktor–Authentisierung*.

Wo bisher beispielsweise die Kreditkartennummer zum Bezahlen einer Onlinebestellung ausgereicht haben, müssen Kunden nun mindestens zwei von drei Faktoren parat haben, um ihren Onlinekauf abzuschließen, ein Konzertticket zu bestellen oder einen Vertrag mit einem Streamingdienst abzuschließen. Dabei gibt es drei Gruppen von Merkmalen:

1. etwas, das der Kunde weiß (wie ein Passwort oder eine PIN)
2. etwas, das man besitzt (wie ein Smartphone) oder
3. etwas, das der Kunde selbst inhärent leisten kann (biometrische Merkmale wie zum Beispiel ein Fingerabdruck, die Iris oder das eigene Gesicht).

Mehr Schutz vor Betrug im Onlinehandel

Diese Verschärfung der Gesetze hat der Gesetzgeber (übrigens EU-weit) nicht verabschiedet, um Händler und Kunden zu ärgern, sondern um die Sicherheit beim Bezahlen zu erhöhen und es Betrügern deutlich schwerer zu machen. Denn auch wenn fast jedes der einzelnen Elemente irgendwie angreifbar ist (das Smartphone kann verloren gehen, das Passwort ausspioniert werden und selbst den Fingerabdruck kann man heimlich kopieren), trägt die Kombination unterschiedlicher Sicherheitsmerkmale signifikant dazu bei, dass Betrugsfälle im Onlinehandel verhindert werden können. Allein der Kreditkartenbetrug verursacht nämlich bereits heute Schäden in Höhe von 1,3 Milliarden Euro, schätzt die Europäische Zentralbank.

„Die starke Kundenauthentifizierung ist sicherlich nicht weniger komplex als die DSGVO“, beschreibt Guillaume Princen, Leiter des Geschäfts für Kontinentaleuropa beim Zahlungsdienstleister Stripe, die Tragweite der Neuerung. „Die übergreifende EU-Verordnung wird von den nationalen Regulierungsbehörden unterschiedlich ausgelegt. Kartennetze und Banken haben darüber hinaus ihre eigenen Regeln und Richtlinien aufgestellt. Außerdem gibt es wichtige Ausnahmen zu beachten, denn nicht immer ist die SCA erforderlich.“ Auch Ralf Gladis, Gründer und Geschäftsführer beim Payment Service Provider Computop, sieht die Novelle erst einmal positiv: „Die Vorgaben zur Strong Consumer Authentication (SCA) werden Händler und Konsumenten künftig besser vor Betrug schützen.“ Gleichzeitig warnt der Experte aber auch die Händler vor den Auswirkungen: „Wenn sich Käufer dann umständlich zweifach authentisieren müssen, kann dies aber zu Bestellabbrüchen und schlechter Conversion führen.“

So können Händler ihre Conversion hochhalten

Klar ist bereits jetzt: Es kann für den Kunden etwas komplizierter werden, online einzukaufen. Hieraus ergibt sich für die Händler die Gefahr, dass die Zahl der Kaufabbrecher steigt und den Händlern folglich Umsatz entgeht. Kompliziert wird für den Händler aber lediglich die einmalige Umsetzung. Er sollte vor allem sicherstellen, dass sein Online-Shop 3D Secure 2.0 beherrscht und zusätzliche Daten übermittelt. Damit kann die Bank nämlich eine Risikobewertung vornehmen und ihre Kunden von der Zwei-Faktor-Authentifizierung verschonen.

Davon abgesehen kann man jedem Händler aber nur dringend raten, die digitale Kassenzone zu optimieren und zu entrümpeln – mit dem Ziel die Conversion hoch zu halten. Der Kunde muss es, mehr denn je, so einfach wie möglich haben, seine Bestellung abzuschicken. Gerade kleinere Händler werden dies nicht ohne die Kooperation mit ihrem Payment Service Provider (PSP) und in vielen Fällen auch dem Anbieter der jeweiligen Shopsoftware lösen können. Die gute Nachricht ist, dass sowohl die PSPs als auch die Shopsysteme seit Monaten dieses Thema auf der Agenda haben und in allen bekannten Fällen entsprechende Workarounds bereitstellen; die schlechte, dass es inzwischen schwierig werden dürfte, noch einen freien Slot bei den meisten E-Commerce-orientierten Agenturen zu bekommen, die so etwas umsetzen.

Wenn du die erforderlichen Änderungen an deinem Webshop noch nicht umgesetzt hast, bist du allerdings beileibe nicht allein: Laut einer Stripe-Umfrage vom Juni geht jedes zweite E-Commerce-Unternehmen davon aus, den knappen Zeitplan nicht zu schaffen. Dann kann es sich, wenn du das nicht ohnehin schon tust, lohnen, das Lastschriftverfahren prominent anzubieten – denn in diesem Fall wird der Zahlungsvorgang nicht durch den Kunden, sondern durch den Zahlungsempfänger eingeleitet. Und Ralf Gladis von Computop hat noch einen Tipp für Händler, bei denen es noch mit der SCA hapert: „Händler sollten gesicherten Rechnungskauf als Alternative anbieten, denn auch der funktioniert weiter ohne SCA und ist gerade bei deutschen Kunden immer noch ein extrem beliebtes Bezahlverfahren.“

Fazit: SCA muss keine unüberwindliche Hürde für den Handel werden

Die Strong Customer Authentication ist eine Veränderung, der sich Onlinehändler jetzt stellen müssen. Sie kann unterm Strich weniger Betrugsfälle bringen und muss die Conversion nicht beeinflussen. Onlinehändler sollten aber noch mehr als sonst die Kaufabbrüche im hinteren Teil der Customer Journey, also in der Kassenzone im Blick behalten und zusätzlich Lösungen anbieten, die aus juristischen Gründen nicht unter die Pflicht zur SCA fallen.

*Die Begriffe Authentisierung und Authentifizierung werden dabei meist gleichbedeutend verwendet, obwohl sie jeweils zwei unterschiedliche Richtungen des Vorgangs beschreiben: der Kunde authentisiert sich und wird durch das System authentifiziert.