Starke Kundenauthentifizierung in Deutschland: Bedeutung, Anforderungen und Auswirkungen auf Online-Transaktionen

Mit der starken Kundenauthentifizierung (engl. „Strong Customer Authentication“ oder SCA) wurde vor einigen Jahren ein Standard eingeführt, der Zahlungen im Netz und im Handel sicherer machen soll.

Das Ziel ist, Betrug zu erschweren und Bankkunden besser vor Missbrauch zu schützen. Gleichzeitig sorgt SCA dafür, dass die Anforderungen der 2018 eingeführten PSD2-Richtlinie erfüllt werden.

Unser Beitrag erklärt, was hinter der starken Kundenauthentifizierung steckt und warum sie für den elektronischen Zahlungsverkehr so wichtig ist. Außerdem zeigen wir konkret, wie SCA im geschäftlichen Alltag funktioniert – von der einfachen Kartenzahlung an der Kasse bis hin zum Checkout im Online-Shop.

Was ist die starke Kundenauthentifizierung (SCA)?

Die starke Authentifizierung (SCA) ist ein zentrales Element moderner Sicherheitsstandards im elektronischen Zahlungsverkehr. Sie wurde mit der überarbeiteten Zahlungsdiensterichtlinie (PSD2) eingeführt und schreibt eine Zwei-Faktor-Authentifizierung für viele Transaktionen vor, um die Sicherheitsanforderungen im Zahlungsverkehr zu erhöhen.

Konkret bedeutet dies: Der Zugriff auf ein Zahlungskonto oder die Bestätigung einer E-Commerce-Zahlung erfordert mindestens zwei von drei möglichen Authentifizierungselementen (Wissen, Besitz und Inhärenz). Zuvor war nur eine einfache Passwortabfrage ausreichend – ohne zusätzliche Sicherheitsfaktoren.

Ein Beispiel aus der Praxis ist der Login ins Online-Banking mit Push-TAN: Hier richtet der Nutzer ein Passwort mit einem mobilen Gerät ein, das die TAN empfängt. Bei kontaktlosen Kartenzahlungen wird ab bestimmten Beträgen zusätzlich eine PIN verlangt, um die Bankkunden-Authentifizierung zu gewährleisten. Das Ziel dieser Maßnahmen ist, das Betrugsrisiko durch konsequente Kundenidentifikation im digitalen Zahlungsverkehr zu senken.

Auch Zahlungsdienstleister stehen in der Pflicht: Sie müssen nachweisen, dass ihre Betriebe die strengen Vorgaben zur Authentifizierung im E-Commerce erfüllen. Dabei spielen Themen wie elektronische Identifizierung, qualifizierte Zertifikate und eine gründliche Risikoanalyse von Zahlungen eine Rolle.

In der Praxis bedeutet die starke Kundenauthentifizierung für Händler, Banken und Kunden ein hohes Maß an Sicherheit – auch wenn der Bezahlprozess dadurch komplexer wird.

Warum SCA im Rahmen der PSD2-Regulierung eingeführt wurde

Die starke Kundenauthentifizierung ist eines der wirksamsten Werkzeuge gegen Betrugsversuche. Die Maßnahmen verbessern die Sicherheit elektronischer Zahlungen und gewährleisten die Kundenidentifikation bei Online-Bankgeschäften und digitalen Zahlungsdiensten.

Was die Sicherheitsanforderungen von PSD2 betrifft, ist zu sagen, dass die Anforderungen für Zahlungsdienstleister stark angehoben wurden. So müssen Banken und Händler heute zum Beispiel nachweisen, dass ihre Systeme SCA-konform sind. Alte Geräte, die die SCA-Normen nicht erfüllen, müssen durch neue Systeme ersetzt werden. 

Darüber hinaus müssen elektronische Identitäten eindeutig verifiziert und qualifizierte Zertifikate eingesetzt werden, um die Sicherheit der Transaktionen dauerhaft zu gewährleisten.

Ob PSD2 die Zukunft des Zahlungsverkehrs ist, weiß jetzt noch niemand. Tatsache ist aber, dass die Richtlinie das Vertrauen der Kunden in digitale Zahlungsdienste deutlich stärkt und das Betrugsrisiko im Onlinehandel nachhaltig senkt. Durch die Nutzung von elektronischer Identifizierung und qualifizierten Zertifikaten wird die Identifizierung von Zahlungsdienstleistern eindeutig und rechtssicher.

Wie SCA deutsche Unternehmen und Online-Transaktionen beeinflusst

Die Einführung der starken Kundenauthentifizierung (SCA) gemäß der PSD2-Richtlinie hat den elektronischen Zahlungsverkehr in Deutschland spürbar verändert. Im Rahmen einer Studie der Europäischen Kommission gaben 28,3 % der befragten Unternehmen an, dass sie IT-bezogene Investitionen getätigt haben, um die Anforderungen von SCA zu erfüllen. Dazu gehört nicht zuletzt die Modernisierung ihrer Technologie-Infrastruktur.

Ohne Frage sind mit der Umsetzung von SCA zahlreiche Herausforderungen verbunden. Eine Studie von BioCatch und Goode Intelligence zeigt, dass die durchschnittliche Höhe betrügerischer Kartentransaktionen in der EU zwischen Juni 2020 und April 2021 um 50 % reduziert wurde. 

Dennoch berichteten Unternehmen von erhöhten Transaktionsfehlern, abgelehnten Zahlungen und einer Zunahme von Kaufabbrüchen aufgrund der zusätzlichen Authentifizierungsschritte. 

Kernelemente der starken Kundenauthentifizierung

Die starke Kundenauthentifizierung (SCA) ist ein zentraler Bestandteil der PSD2-Richtlinie und sorgt für sichere Onlinezahlungen.

Hier sind die drei SCA-Elemente auf einen Blick:

• Wissen: Hierbei handelt es sich um Informationen, die nur der Kunde kennt, wie zum Beispiel Passwörter oder Transaktionsnummern (TANs). Sie gewährleisten, dass die Kundenidentifikation korrekt erfolgt und digitale Zahlungsdienste sicher genutzt werden können.

• Besitz: Ein physisches Gerät (meist das Mobiltelefon), das Einmalcodes empfangen kann. Dieses Element unterstützt die Zwei-Faktor-Authentifizierung und gewährleistet, dass nur der tatsächliche Inhaber auf sein Zahlungskonto zugreifen kann.

• Inhärenz: Biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung. Sie dienen der eindeutigen Authentifizierung von Bankkunden und stellen sicher, dass nur berechtigte Personen auf Zahlungskonten zugreifen können.

Die Kombination dieser Authentifizierungselemente bildet das Rückgrat von SCA. Sie sorgt nicht nur für rechtssichere Zahlungsabwicklung, sondern stärkt auch das Vertrauen der Kunden in digitale Zahlungsdienste.

Holen Sie sich die perfekte Zahlungslösung für Ihr Unternehmen

Sichern Sie sich 10 % Rabatt auf Ihre erste Bestellung, indem Sie das nachstehende Formular ausfüllen!

Wann SCA erforderlich ist – und wann Ausnahmen gelten

Die starke Kundenauthentifizierung ist innerhalb des Geltungsraums der Europäischen Union bei allen Online-Transaktionen vorgeschrieben. Unter bestimmten Bedingungen erlaubt die Richtlinie jedoch Ausnahmen, ohne die Sicherheit der Zahlungsabwicklung zu gefährden.

• Kleine Beträge: Zahlungen unter einem festgelegten Limit benötigen keine starke Kundenauthentifizierung, wenn das Betrugsrisiko gering ist.

• Wiederkehrende Zahlungen: Folgetransaktionen laufen nach einmaliger SCA automatisch ab, um den Zahlungsfluss zu vereinfachen.

• Niedriges Risiko: Transaktionen mit minimalem Betrugsrisiko können SCA-frei sein, ohne dass hierdurch die Sicherheit beeinträchtigt wird.

• Vertrauenswürdige Empfänger: Zahlungen an bekannte Zahlungskonten oder Händler gelten als zuverlässig. Ausnahmen für starke Kundenauthentifizierung sind in solchen Fällen erlaubt.

Ein typischer Fall, in dem keine starke Kundenauthentifizierung notwendig ist, ist der Kauf eines Artikels im Wert von wenigen Euro in einem Online-Shop. Wenn jedoch bei der Zahlungsabwicklung Sicherheit Vorrang hat, etwa beim Kauf eines kostspieligen Fernsehers oder einer Pauschalreise, ist es beinahe sicher, dass das SCA-Verfahren zur Anwendung kommt. 

Starke Kundenauthentifizierung: Funktionsweise im Geschäft und bei Online-Kartenzahlungen

Die starke Kundenauthentifizierung ist nicht nur eine regulatorische Notwendigkeit, sondern im modernen Zahlungsverkehr unerlässlich. Im Geschäft ist sie in der Regel unbemerkt im Hintergrund am Werk: Die Kassenterminals prüfen beim Bezahlen die Karte. Gegebenenfalls wird eine PIN abgefragt. So wird die Identität des Kunden abgesichert, ohne den Bezahlvorgang zu verlangsamen.

Bei Online-Kartenzahlungen ist der Ablauf komplexer. Oft werden hier mehrere Authentifizierungselemente kombiniert, etwa ein Passwort, eine Transaktionsnummer oder ein einmaliger Code aufs Mobiltelefon. Die Zwei-Faktor-Authentifizierung gewährleistet, dass die Person hinter der Zahlung auch wirklich berechtigt ist, das Konto zu belasten.

Für Online-Händler bedeutet die SCA mehr Sicherheit, aber auch einen erhöhten Anpassungsbedarf. Sie müssen ihre Zahlungsprozesse so gestalten, dass die Zahlungssicherheit gewährleistet ist, ohne die Kunden abzuschrecken. Moderne Shops integrieren dafür häufig einfache Pop-ups oder App-basierte Bestätigungen, die den Prozess schnell und zuverlässig machen.

Aus Sicht des Verbrauchers ist die Umstellung auf SCA nicht unbedingt komfortabel, dafür aber mit einem deutlichen Plus an Sicherheit verbunden. Die SCA verhindert unberechtigte Abbuchungen und erhöht das Vertrauen in digitale Zahlungen.

Auswirkungen von SCA auf den Checkout-Prozess und die Konversionsraten

Die Einführung der starken Kundenauthentifizierung in Deutschland unter PSD2 hat den Checkout-Prozess spürbar verändert. Banken und Händler sind sich der Anforderungen bewusst. 

Für Verbraucher, die bereits mit der Zwei-Faktor-Authentifizierung via TAN-App vertraut sind, ist der Schritt zudem meist unkompliziert. Allerdings muss die Umsetzung von SCA reibungslos erfolgen, um Abbrüche zu vermeiden.

Im Onlinehandel zeigt sich eine besondere Herausforderung: Jede zusätzliche Sicherheitsabfrage erhöht das Risiko, dass Kunden den Kauf abbrechen. Genehmigungsprozesse über Banking-Apps, Push-TAN oder photoTAN verlangsamen den Checkout, was sich negativ auf die Konversionsrate auswirken kann. Jeder Händler ist daher gut beraten, intuitive und schnelle Freigabeschritte zu implementieren.

Im stationären Handel sind die Anforderungen meist leichter zu erfüllen. Girocard und PIN genügen in den meisten Fällen den SCA-Anforderungen. Banken gewähren zudem Ausnahmen bei niedrigen Beträgen oder vertrauenswürdigen Empfängern. Die konkrete Umsetzung variiert jedoch zwischen Zahlungsdienstleistern und Bankinstituten.

Die Lösungen von myPOS zur Unterstützung der SCA-Konformität

Das Unternehmen myPOS ist der ideale Partner, wenn es um zuverlässige Transaktionssicherheit und regulatorische Konformität geht.

Das Zahlungsgerät „Go 2“ bietet Mobilität ohne Smartphone-Einsatz. Als konformes Kartenzahlungsgerät erlaubt Go 2 Händlern, kontaktlose Zahlungen, Chip-&-PIN oder digitale Wallets sicher und effizient zu verarbeiten. Mit integrierter SIM-Karte und WLAN bleibt es unabhängig und stets online.

Das Modell „Go Combo“ ergänzt die oben genannten Features durch eine Docking-Station mit Belegdruck. Das Top-Modell „Ultra“ setzt auf schnellen Thermodruck und Touch-Interface für hohe Kundenfrequenz. 

Alle Geräte bieten unbegrenztes 4G-Datenvolumen, flexible Konnektivität und erfüllen höchste Sicherheitsstandards elektronischer Zahlungen – inklusive Datenverschlüsselung.

Durch die Kombination aus einfacher Handhabung, robustem Design und zertifizierter Sicherheit sind die myPOS-Terminals eine praktikable Lösung für mobile Anwendungen und stationäre Checkouts. 

Ein zusätzliches Plus: Alle Geräte sind DSGVO-konform. Somit erfüllen die Geräte alle relevanten Datenschutz- und Sicherheitsanforderungen und können im Geschäftsalltag rechtssicher eingesetzt werden.

Starke Kundenauthentifizierung: Unser Fazit

Die starke Kundenauthentifizierung (SCA) nach PSD2 hat den elektronischen Zahlungsverkehr in Deutschland grundlegend verändert. Sie schützt Kunden vor Betrug, erhöht die Sicherheit bei Onlinezahlungen und stärkt das Vertrauen in digitale Zahlungsdienste. 

Gleichzeitig stellt sie Unternehmen vor Herausforderungen: Online-Checkouts müssen so gestaltet sein, dass zusätzliche Authentifizierungsschritte den Kaufprozess nicht unnötig verlangsamen oder die Konversionsrate mindern.

Hier bietet myPOS eine praxisnahe Lösung: Mit SCA-konformen Terminals wie Go 2, Go Combo oder Ultra können Händler kontaktlose Zahlungen, Chip-&-PIN und digitale Wallets sicher abwickeln. 

Die Geräte bieten eine einfache Handhabung, eine zertifizierte Sicherheit sowie flexible Konnektivität. Sowohl stationäre als auch mobile Zahlungen erfolgen effizient und DSGVO-konform.

Häufig gestellte Fragen