In Ergänzung zu dem Blogartikel Was ist PSD2? möchte dieser Artikel die Kundenseite beleuchten.
Denn PSD2 hat auch auf uns als Kunden und z. B. Nutzern von Bankingprodukten und -Apps einiges Neues, auf das wir vorbereitet sein sollten.
Inhalte
Vorwort
Der Artikel wurde nach bestem Wissen und Gewissen von mir erstellt und beinhaltet Informationen nach Stand April 2019.
Bitte beachte bei Lesen: es können bis inkrafttreten noch Änderungen eintreten!
Somit sind eventuelle Änderungen und Irrtümer vorbehalten und der Artikel hat keinen Anspruch auf Fehlerfreiheit.
Ich werde diesen Artikel stetig prüfen und wenn notwendig aktualisieren.
Welche Auswirkungen hat PSD2 auf Kunden?
Auf uns Kunden kommt die sog. Starke Kundenauthentifizierung, SCA für Strong Customer Authentification, zu, die uns insbesondere beim Erledigen der Bankgeschäfte online über die Webseite des jeweiligen Kreditinstitutes oder per Software vom heimischen PC oder Mac aus sowie mit Banken-Apps trifft.
Im Folgenden werde ich der Einfachheit halber nur noch von SCA sprechen – erspart auch einiges an Tipparbeit…
Starke Kundenauthentifizierung (SCA)
Die SCA kommt durch PSD2 und wird in dieser geregelt. Damit ist sie eine europäische Anforderung und soll Zahlungen, die online getätigt werden, sicherer machen.
Was verbirgt sich dahinter?
Hinter der SCA verbirgt sich eine Zwei-Faktor-Authentifizierung. Das bedeutet aus mehreren Kriterien sind zwei Kriterien heranzuziehen, um den Kunden zu authentifizieren.
Die Kriterien sind Besitz, Wissen und Inhärenz.
Unter Besitz fallen Dinge, die der Kunde hat, z. B. eine Karte (wie Kreditkarte, Bankkarte) oder Handy bzw. Smartphone.
Unter Wissen fallen Sachen, die der Kunde (von sich) weiß. Dass kann z. B. eine PIN sein.
Unter Inhärenz fallen versteht man persönliche oder körperliche Eigenschaften, wie bspw. ein Fingerabdruck oder die Gesichtserkennung.
Für die SCA bedeutet das, dass aus den o. g. drei Kriterien zwei zur Authentifizierung herangezogen werden müssen.
Wann tritt SCA in Kraft?
Beschlossen wird die SCA im Rahmen der PSD2 Absegnung.
Rechtlich verpflichtend wird sie ab 14.09.2019. Ab dem Tag muss jeder Kunde damit rechnen.
Wo und wie muss ich damit rechnen?
Online-Banking wird sich ändern!
Insbesondere das Online-Banking wird durch SCA stark betroffen sein, unabhängig davon ob man dieses per Browser auf der Webseite des Kreditinstitutes oder per Software bzw. App vornimmt.
Alle 90 Tage einmal authentifizieren
Die Vorgabe ist, dass der Kunde sich alle 90 Tage authentifizieren muss und zwar unabhängig davon, was der Kunde macht.
Das bedeutet: selbst wenn man nur eine normale Kontoabfrage durchführt, um seinen aktuellen Saldo oder seine neues Buchungen einsehen zu können, muss man als Kunde damit rechnen, per SCA sich legitimieren zu müssen. Ist bisher die Abfrage des Kontos nur an die Zugangs-PIN gebunden, muss man im Fall von SCA mit der zusätzlichen Eingabe einer TAN (Transaktionsnummer, entspricht der eigenen Unterschrift im elektronischen Format), rechnen.
Kontoaktualisierung nach 90 Tagen
Für den Fall, dass man ein Konto nur selten abfragt, z. B. ein Sparkonto mit wenigen Buchungen pro Jahr, und die letzte Abfrage 90 Tage zurückliegt, heißt es: SCA!
Bei Kontoaktualisierungen, die Buchungen von mehr als 90 Tagen zurückliefern, muss der Kunde mit einer TAN bestätigen.
Kontoaktualisierung mit Softwareprodukten
Dieses wird insbesondere bei Softwareprodukten, wie z. B. StarMoney, WISO Mein Geld oder Lexware FinanzManager interessant, wenn man als Kunde erstmals in dertigen Programmen seine Konten einrichtet und aktualisiert, denn:
Normalerweise aktualisieren diese Programme das Konto in der Art, dass sie dem jeweiligen Kreditinstitut nur mitteilen, dass sie für ein bestimmtes Konto Umsatzinformationen haben wollen und zwar *ohne* Angabe eines Abfragezeitraums. Das jeweilige Rechenzentrum ist dadurch angehalten, alle vorliegenden Umsatzinformationen zu übermitteln.
Soweit noch unspannend, doch: die Kreditinstitute in Deutschland halten für das Online-Banking Umsatzinformationen von 90 Tagen bis teilweise 2 oder Jahren rückwirkend vor.
Das Ergebnis: Nutzt man eines der oben genannten Programme erstmalig, werden fast immer Umsatzinformationen von 90 Tagen und mehr bei der ersten Aktualisierung abgeholt und damit fällt man in die SCA und wird mit der Abfrage eines zweiten Faktors (nach der PIN) behelligt.
Quo Vadis, Banking-Apps?
Wenn man die obigen Punkte liest, stellt sich die Frage, was aus den vielen tollen, nützlichen Banking-Apps, S-App & Co., wird.
Die Einfachheit mal eben sein Konto zu aktualisieren, wird eingeschränkt. Es ist nur eine Frage der Zeit, dass einen als Nutzer die SCA genau im falschen Moment dazwischenfunkt.
Mal eben im Laden fix prüfen, ob noch genug Geld da ist für Artikel 0815?
Klar, wenn Du Dein Sicherheitsmedium dabei hast!
Kartenzahlungen
Mit der Karte unterwegs zahlen
Auch wenn der 14.09.2019 noch nicht da ist, sieht es aktuell so aus, dass sich für den Kunden hier nichts ändern wird. Denn bisher ist auch heute schon so, dass der Kunde sich im Zahlungsprozess an der Kasse seines Lieblingssupermarktes mit zwei Faktoren authentifziert, nämlich mit seiner Bankkarte (Besitz) und Karten-PIN (Wissen) oder Unterschrift (Inhärenz).
Mit der Karte online zahlen
Dieses ist ein spannender Punkt. Aktuell ist es noch einfach und bequem: Bankdaten (wie IBAN und BIC) beim Online-Händler hinterlegen und einfach nur als Zahlungsoption beim Kauf wählen, fertig!
Doch wie wird es ab 14.09.2019 sein?
Die Online-Händler sind angewiesen PSD2 und damit SCA umzusetzen. Doch soll es Ausnahmen geben.
„Auch bei Kartenzahlungen im Internet muss die Starke Kundenauthentifizierung nicht immer erfolgen. Die Zahlungsdienstleister können hier die sogenannte Transaktionsrisikoanalyse durchführen. Dabei wird jede eingehende Zahlung automatisch daraufhin untersucht, ob das Betrugsrisiko gering ist. Ist das für die konkrete Zahlung zu bejahen, kann auf eine Starke Kundenauthentifizierung verzichtet werden.“ steht es auf der Webseite der BaFin, die unten in diesem Artikel verlinkt ist
Kreditkartenzahlungen
Mit der Kreditkarte unterwegs zahlen
Ähnlich wie bei der Zahlung per Bankkarte wird sich hier wenig ändern. Die Kreditkarten ausgebenden Institute und dahinter stehenden Kreditkartenprozessoren wie bspw. VISA oder mastercard haben in den vergangenen Jahren bereits einige Änderungen vorgenommen.
So ist es heute schon der Fall, dass man an der Kasse neben der Kreditkarte auch die zugehörige PIN eingeben muss.
Mit der Kreditkarte online bezahlen
Hier wird sich für den Kunden einiges ändern!
Bisher war es oftmals problemlos möglich, bei seinem Online-Händler des Vertraues einfach die Kartennummer, das Ablaufdatum und die Prüfziffer (CVS) zu hintergelen und im Bestellprozess bei der Zahlung nur noch die Kreditkarte auszuwählen.
Nach SCA stellen diese Informationen jedoch *keine* Elemente dar!
Es ist zu befürchten, dass Dank SCA in Zukunft der Bezahlvorgang um die Eingabe eines Passwortes und / oder einer TAN erweitert wird.
Fazit
Im Sinne der Steigerung der Sicherheit für Kunden, besonders beim Online-Bezahlen, warten auf uns Kunden einige Änderungen.
Ob diese auch immer im Sinne der Einfachheit und des Komfort für den Kunden sein werden, bleibt abzuwarten – ich persönlich bezweifle dieses jedoch.
Als Nutzer von Banking-Apps bin ich gespannt, wie die Hersteller mit SCA umgehen.
Empfehlung
PSD2 und SCA wird uns alle treffen. Meine Empfehlung lautet: macht Euch schlau, lest im Netz und kontaktiert Eure Bank oder Sparkasse und fragt sie aus!
Linksammlung
Starke Kundenauthentifizierung (BaFin)
BSI zum Thema „Starke Kundenauthentifizierung“ (BSI)
Erklärung von Inhärenz (Wikipedia)
Änderungen für Online-Händler (mastercard)