EU will eigene Payment-Welt erschaffen

Sicherheit: Die PSD2 soll Mindeststandards für elektronische Zahlungen definieren.

Die Europäische Kommission hat den „Digitalen Binnenmarkt“ ins Zentrum ihrer politischen Agenda gerückt und steht der Digitalen Wirtschaft deshalb nun beständig im Weg. Es ließen sich diverse Belege für diese Zuspitzung anführen – von der Lebensmittelinformations-Verordnung (LMIV) bis hin zum geplanten Geoblockingverbot. Zuständigkeitshalber beschränkt sich BargeldlosBlog auf ein abschreckendes Beispiel aus der Welt des Zahlungsverkehrs: Die Novellierung der europäischen Zahlungsdiensterichtlinie (PSD2).

Die PSD2 sollte den Wettbewerb im Payment-Markt befördern. Stattdessen droht das Bezahlen im Internet nun für alle komplizierter zu werden. Wenn sich die Vorstellungen der Europäischen Bankenaufsicht (EBA) durchsetzen, wäre es mit dem „One-Click-Shopping“ in Europa bald vorbei – und nicht nur das.

Kurzgefasst ergibt sich aus dem Entwurf der EBA für die Regulatory Technical Standards (RTS) zur starken Kundenauthentifizierung, dass elektronische Zahlungen über 10 Euro ab 2018 generell mit einer Zwei-Faktor-Autorisierung (2FA) abgesichert werden müssen. Sämtliche Zahlvorgänge müssten auf einem zweiten Weg – PIN und TAN, Passwort und Token, etc. – bestätigt werden. Die „strong customer authentification“ (SCA) verlangt stets mindestens zwei Merkmale aus den Bereichen Wissen (z.B. Kennwort), Besitz (z.B. Karte) oder Biometrie (z.B. Fingerabdruck) zur Durchführung einer Zahlung.

Die Verbände der betroffenen Wirtschaftskreise laufen Sturm gegen den Entwurf. 39 Interessenverbände haben den Vizepräsidenten der EU-Kommission Valdis Dombrovsk in einem Brandbrief  Ende November aufgefordert, die EBA-Pläne zu stoppen. Sie warnen vor dem unbequemen Unfug, der sich in etablierte und funktionierende Sicherheitschecks und Risikoverteilungen einmischt und obendrein Innovationen im Wege stünde.

Überraschende Abkehr vom „risikobasierten Ansatz“

In einer öffentlichen Anhörung bei der EBA im September dieses Jahres kam es für viele Marktteilnehmer völlig überraschend, dass die Aufsichtsbehörde vollständig auf einen „risikobasierten Ansatz“ verzichten will und die 2FA grundsätzlich bei Transaktion über 10 Euro vorschreibt.

In der öffentlichen Konsultation warnen Verbände aus der Kartenindustrie in ihren Stellungnahmen sogar davor, dass auch Kartenzahlungen im stationären Handel aufgrund der unscharfen Definitionen im EBA-Entwurf ab 2018 in Europa nicht mehr möglich wären. Selbst der internationale EMV-Standard der Kreditkartenindustrie genüge den Vorgaben der Londoner-Beamten nicht.

Die EBA und die Europäische Zentralbank (EZB) erstatteten dem ECON-Ausschuss des EU-Parlaments am 29. November einen Bericht über die Ergebnisse der öffentlichen Konsultation. BargeldlosBlog liegt ein inoffizielles Protokoll der Sitzung vor. Danach gingen rund 200 Stellungnahmen mit insgesamt 260 Bedenken und Bitten um Klarstellungen ein; „mehr als je zuvor“ in der freilich noch recht kurzen EBA-Geschichte. 147 Stellungnahmen wurden inzwischen veröffentlicht. Die EBA verspricht eine Zusammenfassung und will aufzeigen, welche Anregungen sie aufgreift und welche nicht.

Die drei Kernpunkte der Kritik am EBA-Daft

Drei Kernpunkte sind laut den Ausführungen des EBA-Chairman Andrea Enria Gegenstand der Kritik und der weiteren Überlegungen:

Andrea Enria, Chef der Europäischen Bankenaufsicht (Foto: EBA)

(1) Die 10 Euro-Bagatellgrenze. Hier will die EBA prüfen, ob man die richtige Balance gefunden hat und nicht vielleicht eine Schüppe drauflegen kann.

(2) Der direkte Zugang zum Bankkonto für Dritte. Eigentlich das Kernstück der betreffenden RST. Unter welchen Voraussetzungen dürfen Dritte auf ein Bankkonto zugreifen, um Zahlungsdienstleistungen im Auftrag des Inhabers abzuwickeln? Hier ist der EBA unklar, was mit „direct access“ gemeint ist und man würde gerne die Ansicht des EU-Parlaments hierzu hören.

(3) Ausnahmen von der starken Kundenauthentifizierung. Viele Stellungnahmen kritisieren nach Darstellung des EBA-Chefs, dass die Ausnahmen für das 2FA-Erfordernis (Art. 97, 98 der PSD2) zu eng gefasst seien und kein „risikobasierter Ansatz“ möglich sei, um zu entscheiden, ob eine starke Kundenauthentifizierung erforderlich ist oder nicht. Die EBA „however“ ist jedoch der Auffassung, dass der „risikobasierte Ansatz“ kein Ersatz sondern nur eine Ergänzung der 2FA sein kann! Man habe gar kein Mandat aus der PSD2, Ausnahmen von der starke Kundenauthentifizierung zu definieren und sieht sich diesbezüglich einer falschen Erwartungshaltung ausgesetzt. Anders gesagt: Es wird wohl kein Weg an der EBA vorbeigehen, der das One-Click-Shopping und „frictionless Payment“ nicht begräbt. In London hat man den PSD2-Text ganz anders verstanden als es sich der Markt erhofft hat – und für selbstverständlich erachtete.

Die Position von EZB und EU-Kommission

Etwas moderater zeigte sich dagegen der Vertreter der EZB, Pierre Petit, Deputy Director General, in der Sitzung. Die Notwendigkeit, die Sicherheit von Zahlungstransaktionen zu gewährleisten, bedeute nicht, dass es nicht auch Ausnahmen von der 2FA geben könne. Man arbeite in der EZB aktuell an dem Thema, heißt es in dem inoffiziellen Protokoll.

Ein Vertreter der EU-Kommission betonte dagegen vor dem EP-Ausschuss, dass die Zwei-Faktor-Autorisierung die Grundvoraussetzung dafür war, den Paymentmarkt mit der PSD2 für neue Marktteilnehmer zu öffnen und Innovation und Wettbewerb zu schaffen. Kartenbetrug sei nach wie vor ein Problem und Kartenzahlungen im Internet stünden für 70 Prozent des gesamten Betrugs in diesem Bereich. Hier müsse man mit Blick auf die Betrugskosten handeln, so Oliver Salles, Head of Unit of Retail Financial Services and Payments bei der Generaldirektion FISMA. Die Kommission stelle sich daher „nicht unbedingt“ gegen den RST-Entwurf der EBA. „Die PSD2 wird die Payment Landschaft verändern. Darauf müssen sich Banken und Fintechs einstellen und Energie, Geld und Gehirnschmalz (‚Skills‘) investieren“, so Salles.

Da hat er sicher Recht. Was er nicht sagte: Wer die Betrugskosten trägt, regelt das jeweilige Zahlverfahren bisher in eigener, privatwirtschaftlicher Verantwortung selbst, weder der Steuerzahler noch die EZB werden für Missbrauchskosten herangezogen. Was die Frage aufwirft, warum sich die Politik hier überhaupt zu einer Regulierung genötigt fühlt. Marktversagen? Und: Auch Händler und Kunden müssen sich auf eine neue Zahlungsverkehrswelt einstellen, wenn sich die EBA mit ihren Vorstellungen durchsetzt  – bequemer, schneller und innovativer wird es mit den strengen staatlichen Sicherheitsstandards sicher nicht. Vielleicht nicht einmal signifikant sicherer.

Wie geht es weiter mit der PSD2?

Verfahrenstechnisch: Die ursprünglich für Januar geplante Vorlage der RTS durch die EBA verzögert sich laut dem Protokoll zunächst einmal „due to a lack of resources“ auf Februar 2017. Die EBA muss im Rahmen der PSD2 insgesamt elf RTS zu unterschiedlichen Themen erarbeiten. Das ist insofern haarig, als dass die nationale Umsetzung der PSD2 ohne die EBA-Vorgaben nicht beginnt. Einen Referentenentwurf wird es erst geben, wenn klar ist wohin die Reise geht, hatte der zuständige Referatsleiter im BMF Michael Findeisen vor Monaten klargestellt (Korrektur hierzu siehe Update unten).

Blöd für die „rechtsunterworfenen“ Marktteilnehmer, die den Kladderadatsch bis Januar 2018 auf die Straße bringen müssen, ohne zu wissen, ob Payment in Europa künftig über einen holpriger Feldweg, eine vierspurige Autobahn oder durch die Fußgängerzone mit Poldern und Blumenkübeln führt.

Inhaltlich muss sich eigentlich noch etwas bewegen, sonst droht Europa wirklich eine ganz andere Welt im Payment. Schwer vorstellbar. Mit einem schnellen Checkout – einfach ab durch die Mitte und weg á la Amazon Go – wird das dann nichts in Old Europe. Beobachter hoffen auf ein „sinnvolles“ Kompromisspapier von EZB, EBA und Kommission im Februar.

Update (19.12.2016)

Entgegen meiner obigen Einschätzung ist seit heute doch schon einen Referentenentwurf des Bundesfinanzministeriums zur „Umsetzung der aufsichtsrechtlichen Vorschriften der Zweiten Zahlungsdiensterichtlinie
(Zahlungsdiensteumsetzungsgesetz – ZDUG)“ in der Welt. Nach einem ersten Querlesen überlässt das BMF „Näheres“ zur starken Kundenauthentifizierung (§ 56 ZDUG) dem ausstehendem delegierten Rechtsakt (was klar ist) sowie einer noch zu schaffenden Rechtsverordnung, die nähere Bestimmungen über die „Erfordernisse und Verfahren zur starken Kundenauthentifizierung einschließlich etwaiger Ausnahmen von deren Anwendung“ erlassen kann. Der Gesetzentwurf kann bis 7. Januar kommentiert werden. Da haben also ein paar Leute einiges zu tun zwischen den Jahren.

Leseempfehlungen zum Thema

Strong Customer Authentication – The End of Frictionless Card Payments? (Payments Industry Intelligence). Eine Art Beschwerdebrief der zuständigen Berichterstatter des EP an den EBA-Chef Andrea Enria und natürlich die ausführliche Dokumentation zum RTS-Draft und der Konsultation auf der EBA-Homepage.

Ein paar bemerkenswerte Zitate aus den Stellungnahmen zum EBA-Draft

PayPal: „The guidance on Strong Customer Authentication (SCA) provided in the draft RTS will hamper the development of e-commerce in Europe“.

Ein angestaubter zweiter Weg: Doppelt gemoppelte Authentifikation hält besser.

EuroCommerce: „EuroCommerce would rather support a targeted risk based approach, which is less likely to stifle growth and through innovation and experience reduce the levels of fraud. The diversity on the market is too great for a single list of elements and a centralized minimum threshold approach to risk. EuroCommerce would prefer an approach whereby industry best practices are acknowledged“.

Ecommerce Europe: „A blanket imposition of strong customer authentication on online payments is too restrictive and burdensome on both online retailers and consumers“.

European Payment Council: „What is meant by ‘secure bilateral identification’ between the payer’s device and payee’s accepting device. Is mutual authentication meant? This would create incompatibility with EMV card based payments where there is no terminal authentication required“.

EMVCo: „Should the need to implement such requirement be confirmed, this would imply a major overhaul of the EMV technology that would cause a global replacement of existing terminals and cards“.

European Card Payment Association: „A one-size-fits-all approach is not practical and will hamper innovation and is likely to damage the customer journey. This is contrary to the principle of allowing the development of user-friendly, accessible and innovative means of payment“.

Visa: „In the EMV standards and technology, the card-based payment instrument does not authenticate the payment terminal. Such functionality is not needed from a payments security perspective, is operationally impractical and easily circumvented by criminals. Implementing such a requirement would imply a major overhaul of the EMV technology that would cause a global replacement of existing terminals and cards“.

European Association of Payment Service Providers for Merchants: „If EBA persists in the present draft wording and scope of the RTS, the creation and implementation for an extra EU EMV dialect would require a time period of 5 to 10 years (if the security relevant software of POS devices needs to be changed)“.

Deutsche Kreditwirtschaft: „The maximum amount of €10 stated in Article 8 (2) (d) (i) for electronic remote payment transactions without strong customer authentication have a negative impact on existing user-friendly payment products making use of the current ceiling of €30 under the so-called SecuRe Pay recommendations. Furthermore, this exemption will become useless, since less than 5% of transactions are for less than €10“.

Update 12. Februar 2017: Die Süddeutsche Zeitung hat offenbar eine geleakte Fassung des überarbeiteten EBA-Drafts vorliegen (siehe SZ-Artikel). Danach soll die Zwei-Faktor-Autorisierung (2FA) erst aber einem Transaktionsbetrag von 500 Euro obligatorisch sein. Bis zu dieser Grenze ist ein risikobasierter Ansatz, etwa ein klassisches Scoring, zulässig, mit dem darüber entschieden wird, ob eine 2FA erforderlich ist. Für Zahlungen bis zu 30 Euro – also etwa kontaktlose Kartenzahlungen – kann auch dieser Sicherheitscheck entfallen.

Der Autor, Alexander Mühlauer, SZ-Korrespondent in Brüssel, meint, die Bankenlobby habe sich damit erfolgreich bei der EBA durchgesetz, und die EBA blockiere nun sicheres Zahlen im Internet für die Kunden. Bei der 2FA geht es aber IMHO nicht um Sicherheit aus dem Blickwinkel bzw. der Spähre des Kunden, sondern um die Sicherheit der Zahlungssysteme (systemische Sicherheit).

20 Gedanken zu „EU will eigene Payment-Welt erschaffen

  1. Pingback: PSD2 und die starke Authentifizierung: Auch am Smartphone realisierbar? – IT Finanzmagazin

  2. Hallo Hanno,

    zunächst einmal vielen Dank für Deine zahlreichen interessanten Artikel! Freu mich jedesmal, wenn in meinem E-Mail-Postfach mal wieder eine Erinnerung eintrudelt, dass ein neuer Artikel hier erschienen ist. Keep up the good work! 🙂 Und jetzt zur Diskussion^^.

    Ich bin der Meinung, dass die Einführung einer standardmäßigen Verwendung von 2FA längst überfällig ist, da Betrugsfälle beim Einkaufen im Internet eben keine Seltenheit oder Einzelfälle mehr sind und eine immense Steigerung in diesem Bereich noch zu erwarten ist, da immer mehr Zahlungen auf elektronischem Wege abgewickelt werden – Tendenz steigend. Zudem gab es in der Vergangenheit auch immer wieder Aufrufe von der EZB an die Zahlungs-/Kreditkartendienstleister für mehr Sicherheit im elektronischen Zahlungssystem zu sorgen. Leider scheinen sich die entsprechenden Dienstleister nicht angesprochen zu fühlen oder die Bedenken innerhalb dieser Unternehmen ist immer noch zu groß, dass mehr Sicherheit für mehr Zurückhaltung sorgen würde. Dabei ist es doch laut zahlreichen Studien und Umfragen genau anderherum: Viele scheuen das Einkaufen und Bezahlen über das Internet oder mit Debitkarten hauptsächlich aufgrund von Misstrauen gegenüber den vorhandenen Sicherheitsmechanismen. Und das sind auch scheinbar keine unbegründeten Bedenken, die nur auf Emotionen basieren, was ja durch die Schadenshöhe, die durch derartige Betrügereien verursacht wird und die durch unsere Bundesbank und die EZB regelmäßig erhoben wird, durchaus auch nachvollzogen werden kann.

    Würde 2FA richtig in das Zahlungssystem implementiert werden, hielte man sich sowieso nur 1-2 Sekunden länger bei der Zahlung auf, z. B. durch die angesprochenen Token. Auch die Nutzung der 2FA für die Kartenzahlung im stationären Handel halte ich aus diesen Gründen für richtig und wichtig. Wenn ich heute mit meiner VISA-Karte im Rewe nebenan bezahle, halte ich die Kreditkarte für max. 1 Sekunde an ein Kartenlesegerät und schon ist der Einkauf bezahlt. Ebenso würde das für ein Token gelten: Ich halte das Schlüsselgerät an ein Lesegerät, drücke einen Knopf und es wird eine Nummer generiert, die anschließend ähnlich wie die Daten auf der Kreditkarte verarbeitet (geprüft, übertragen, etc.) werden. Dieser Vorgang kann innerhalb von 1-2 Sekunden durchgeführt werden (s. analoges Vorgehen mit z. B. Nitro-/Yubikey im Onlinehandel).

    Wo ich allerdings die Bedenken teile, ist die Höhe der Zahlung ab der diese Schutzmechanismen gelten sollten. Dafür müsste man sich aber mal anschauen welche Zahlungen häufiger von Betrügereien betroffen sind – die unter z. B. 20 € oder unter 30 € oder über 30 €, etc. Stellt man z. B. fest, dass Transaktionen in Höhe von 20 € mit geklauten Kreditkarten die größten Schäden im elektronischen Zahlungssystem verursachen, sollte man die Grenze für 2FA herabsetzen auf z. B. 15 oder 10 €. Hierzu habe ich aber leider keine Statistik gefunden :(.

    Erfreulich ist, dass tatsächlich auch einige Onlinehändler freiwillig 2FA einführen/eingeführt haben, wie z. B. Amazon. Aus Erfahrung weiß ich jedoch, dass man Sicherheit in der IT allgemein nicht auf Freiwilligkeit beruhen lassen sollte, denn in diesem Bereich wird leider immer noch viel zu viel eigentlich zu tätigender Aufwand eingespart.

    Viele Grüße

    Marius

    • Alles richtig, aber die EBA richtet sich komplett auf das Zahlen der Consumer aus mit Auswirkungen für sowohl Consumer als auch Corporates. Das aktuelle RTS würde bedeuten, dass z. B. so genannte „lodged“ Karten, also Karten auf Firmenhaftung quasi nicht mehr genutzt werden können. Diese Karten werden zur Bezahlung auf Buchungsplattformen verwendet. Der Fraud ist minimal, aber eine 2FA ist nicht möglich, da die Karten automatisch verwendet werden und der Cardholder (die Firma) nicht präsent ist. Oft werden hierzu virtuelle Karten per Schnittstelle erstellt, die ohnehin von der Nutzung extrem eingeschränkt sind (zb nur 100 EUR). Auch Karten anderer Netzwerke aus dem Firmenumfeld wären betroffen deren Fraudraten um das 100fach unter Visa und co liegen wären betroffen. Daher die große Kritik aus der Industrie, dass ein risikobasierter Ansatz gestrichen wurde. 2FA ist sinnvoll für typische Endkunden aber nicht so wie aktuell geplant. Es geht an der wirtschaftlichen Praxis vorbei. Dynamic 3d secure code ist heute schon effektiv bei vielen Kartenanbietern im Consumerbereich. Ob das nun ein issuer seinen Kunden anbietet ist Entscheidung des Issuers, da letztlich der Issuer die Bstrugskosten trägt. Kunden haben bisher immer Ihr Geld bekommen, wenn es zu Fraud kam

      • Guten Tag, „Kunden haben bisher immer Ihr Geld bekommen, wenn es zu Fraud kam“ ist ein schöner Satz, nur zu pauschal. Mir sind viele Fälle bekannt, wo die Rückerstattung (teilweise aus fadenscheinigen Gründen) abgelehnt wurde. Viele Kunden haben die Beschwerde dann nicht weiterverfolgt (teilweise weil Betrag niedrig oder keine „Lust“ auf Streit). Bemerkenswerterweise haben Kunden, die nach der Ablehnung den Verbraucherschutz bzw. einen Anwalt eingeschaltet haben, dann doch im nachhinein „auf Kulanz“ den Betrag erstattet bekommen.
        So sieht leider immer wieder die Realität aus, nicht nur bei Kartenzahlungen, auch im normalen Zahlungsverkehr.

  3. So bekommt man E-Commerce Betrug auch weg: Einfach E-Commerce so kompliziert machen, dass kein Verbraucher ihn noch nutzen will. Geschimpft wird ja dann eh auf die Banken, nicht auf die EBA.

    • Hallo Christoph,

      kann leider nicht nachvollziehen was an Karte dranhalten und Knöpfchen drücken kompliziert sein soll. Alle Anwender die ich kenne können sogar Girokarte in ein Lesegerät stecken und eine PIN eingeben^^. Die wären dankbar für „Karte dranhalten“ und „Knöpfchen drücken“, weil das nämlich einfacher ist und schneller geht.

      • Karte dranhalten und Knöpfchen drücken im E-Commerce? Hm, wer hat denn da einen NFC Leser am PC oder Tablet?

        Und welche 2 Faktoren wären das dann ? Besitz: Ja, bei einer Chipkarte. Aber Wissen oder Inhärenz per Knöpfchen drücken?

        • Zu „Karte dranhalten und Knöpfchen drücken im E-Commerce? Hm, wer hat denn da einen NFC Leser am PC oder Tablet?“
          Das ist natürlich bezogen auf Kartenzahlung im stationären Handel. Das Bsp. habe ich genommen, da im Text ja geschrieben wurde, dass die unscharfe Trennung zwischen Online- und stationärem Handel für Verunsicherung bei den betreffenden Zahlungsdienstleistern gesorgt hat. Im Onlinehandel sähe 2FA so aus: Passwort eingeben und per Knopfdruck auf ein Token, das per USB angeschlossen wurde, ein OTP (One Time Password) generieren. Passwort eingeben wird ja heute schon gemacht (Wissen) jetzt kommt halt das mit dem Knöpchen drücken noch dazu (Besitz des Tokens).

          Zu „Und welche 2 Faktoren wären das dann ? Besitz: Ja, bei einer Chipkarte. Aber Wissen oder Inhärenz per Knöpfchen drücken?“
          Chipkarte ist der Besitz wie du sagst und OTP, erzeugt durch das Token (NFC/USB je nachdem ob stationärer oder Onlinehandel), das Wissen. Zusätzlicher Pluspunkt: Man muss sich keine PIN mehr merken und ein Betrüger müsste im stationären Einkauf Karte und Token und im Onlinehandel Passwort und Token entwenden. Das Token erfüllt jedoch in beiden Fällen unterschiedliche primäre Funktionen (Wissen oder Besitz), je nachdem was gerade noch fehlt (beim stationären Handel halt das Wissen und im Onlinehandel der Besitz).

          • Tut mir leid, ein OTP von einem Token generiert ist auch ein Besitzfaktor.
            MaSI/Securepay fordert aber 2 von 3 Faktoren, nicht einen Faktor zweimal.

          • Zu „Tut mir leid, ein OTP von einem Token generiert ist auch ein Besitzfaktor.“
            Stimmt, da hast du völlig recht und das muss dir nicht leidtun :). Außerdem haben wir im stationären Handel bei der Kartenzahlung doch bereits 2FA. Zumindest bei Zahlungen über z.B. bei VISA 25,- € (Kreditkarte – Besitz und PIN – Wissen). Die Grenze für die Anwendung der 2FA würde durch die Regulierung dann halt auf 10 € herabgesetzt werden, was ich persönlich ja nicht glaube/hoffe (bei dem Widerstand^^) – das wird dann nachher so bei 20-30 € festgesetzt.

            Dennoch – im Onlinehandel ließe sich 2FA hervoragend integrieren und die 1-2 Sekunden zusätzlich kann jeder Anwender glaub ich gut verschmerzen, wenn die Sicherheit des Einkaufs/der Zahlung dadurch steigt – und erklären oder zeigen muss man da auch nicht viel: Token an Rechner/Tablet/Smartphone anschließen und bei der Abfrage das (berühmte) Knöpfchen drücken.

          • Hallo Marius,

            da fängt aber das Problem schon an. Du schreibst:

            „Token an Rechner/Tablet/Smartphone anschließen und bei der Abfrage das (berühmte) Knöpfchen drücken.“

            Dann zeig mir bitte mal ein Beispiel eines Gerätes, welche alle diese Funktion inklusive Standardisierung unterstützt. Reines USB Gerät fällt aus, funktioniert nicht wirklich auf Smartphones und den meisten Tablets. Also per Bluetooth? Von welchen Kosten reden wir dann oder willst du das per App machen? Wo liegt dort dann die Sicherheit mangels Gerätetrennung? Nehmen wir mal ein ganz einfaches Beispiel, ich möchte mit meinen Smartphone sicher und PSD2 konform in einen Shop einkaufen und das soll auch überall funktionieren. Wie genau, sieht da deine technische Lösung aus und was kostet die mich?

            Die Ironie ist ja, dadurch das Kreditkarten so „unsicher“ sind, ist ein Chargeback kein Problem. Du bekommst dein Geld immer wieder zurück. Dies würden sich wohl die Dienstleister bei einer starken Kundenauthentifizierung dann aber genau überlegen, ob das wirklich noch angebracht wäre. Schließlich kann man dann definitiv sagen, dass der Nutzer am Schaden Schuld ist und man ja alle geforderten Sicherheitsauflagen erfüllt hat.

            Interessant wird ja auch, was ist mit ausländischen Anbietern? Dürfen die dann nach EU-Richtlinien keine EU-Kunden mehr bedienen ohne diese Umsetzung oder muss Mastercard und Co dafür sorgen, das Zahlungen ohne starke Authentifizierung abgelehnt werden? Das bedeutet, wenn ich den ganzen Kram gar nicht benutzen will, werde ich rein Payment-Technisch gesehen vom Angebot ausländischer Anbieter einfach abgeschnitten? Und was machen die Briten welche große Teile der PSD2 selber definieren eigentlich wenn sie kein Bestandteil mehr der EU sind? Ob die sich dann noch an solche Handelshemmnisse gebunden fühlen welche sie selber mit definiert haben?

      • Alles richtig, aber die EBA richtet sich komplett auf das Zahlen der Consumer aus mit Auswirkungen für sowohl Consumer als auch Corporates. Das aktuelle RTS würde bedeuten, dass z. B. so genannte „lodged“ Karten, also Karten auf Firmenhaftung quasi nicht mehr genutzt werden können. Diese Karten werden zur Bezahlung auf Buchungsplattformen verwendet. Der Fraud ist minimal, aber eine 2FA ist nicht möglich, da die Karten automatisch verwendet werden und der Cardholder (die Firma) nicht präsent ist. Oft werden hierzu virtuelle Karten per Schnittstelle erstellt, die ohnehin von der Nutzung extrem eingeschränkt sind (zb nur 100 EUR). Auch Karten anderer Netzwerke aus dem Firmenumfeld wären betroffen deren Fraudraten um das 100fach unter Visa und co liegen wären betroffen. Daher die große Kritik aus der Industrie, dass ein risikobasierter Ansatz gestrichen wurde. 2FA ist sinnvoll für typische Endkunden aber nicht so wie aktuell geplant. Es geht an der wirtschaftlichen Praxis vorbei. Dynamic 3d secure code ist heute schon effektiv bei vielen Kartenanbietern im Consumerbereich. Ob das nun ein issuer seinen Kunden anbietet ist Entscheidung des Issuers, da letztlich der Issuer die Bstrugskosten trägt. Kunden haben bisher immer Ihr Geld bekommen, wenn es zu Fraud kam

  4. Ich halte die Vorschriften für sehr sinnvoll. Ich achte bei Online-Shops immer darauf, dass 3D-Secure oder ähnliches beim Kauf mit Kreditkarte angeboten wird. Ansonsten nutze ich Paypal mit Zwei-Faktor-Authentifizierung. Es ist unglaublich, dass es immer noch viele Shops gibt, die nicht auf Sicherheit achten. Selbst wenn ich nur in vermeintlich sicheren Shops einkaufe, reicht ein Hackerangriff, der Zahldaten klaut, und so in unsicheren Shops auf meine Kosten einkauft wird. Ein gutes Gefühl habe ich nicht.

    Ich habe bei fast allen E-Mail-Accounts, Amazon, Paypal usw. die Zwei-Faktor-Authentifizierung aktiviert. Ja, es dauert etwas länger, dafür ist es auch erheblich sicherer.

    Über einzelne Details kann man streiten, aber grundsätzlich ist die Initiative der EU gut.

    • Sehe ich genauso. Ich glaube sogar, dass uns da sowieso nicht viel übrig bleibt und wir 2FA so oder so irgendwann standardmäßig einsetzen müssen. Wichtig ist halt die Frage wie realisiert man das so anwenderfreundlich wie möglich damit das Verfahren so schnell wie möglich eine breite Akzeptanz findet. Meiner Meinung nach könnte das sogar für einen Schub beim Onlinekauf sorgen, weil viele eben gerade aus Angst vor Betrügern nicht online kaufen. Für die Dienstleister ist das halt ein Aufwand der zusätzlich zu den anderen Regulierungen aus Brüssel und der angespannten finanziellen Lage in der EU ein wenig Geld kosten dürfte.

  5. Ob on- oder offline: Eines der grössten Probleme der PSD II scheint in vielen Bereichen die notwendige Klarheit zu sein, das führt bei vielen Beteiligten zu Frust und Unverständnis.
    Und leider vergisst man dabei, dass der originäre Ansatz der PSD II eigentlich gut (gemeint) war….

    • Gut gemeint mag sein, aber auch extrem naiv. Ich sag nur Access to Account, welche Schnittstelle soll dafür jetzt gelten? Offenbar will man mittlerweile eine Insellösung (Achtung Wortspiel!) Namens „Open Banking Standard“ nehmen, welche noch gar nicht fertig ist. Wenn die dann mal irgendwann einigermaßen definiert sein sollte, wieviel Zeit bleibt einen da das zu implementieren? Die PSD2 gilt doch schon nach derzeitigen Planungen 2018. Oder gibts dann eine halbfertige Definitionen irgendeiner API die man sich am Ende selber zusammenbauen darf oder untereinander nicht kompatibel ist?

      • Hallo B.N.,

        da ich auf deinen Kommentar oben nicht antworten kann, da mir da kein „Kommentieren“-Button angezeigt wird einmal hier. Ich versuche die technischen Möglichkeiten einmal strukturiert aufzuzeigen und erläutere den technischen Stand soweit mir dieser bekannt ist im Zusammenhang mit Online-Einkäufen über mobile Endgeräte (wie z.B. Smartphone oder Tablet):

        Verbindung über USB-Adapter:
        Es gibt verschiedene Möglichkeiten Onlineeinkäufe mit 2FA auf dem Smartphone zu tätigen. Zum einen gibt es die Möglichkeit ein Token zu verwenden, das über einen USB-OTG Adapter angeschlossen wird. Ein entsprechender Treiber wird z.B. für Android seit Version 4.0 standardmäßig „mitgeliefert“. Für iOS-Geräte gibt es scheinbar das sog. „Camera Connection Kit“, das ebenfalls einen Adapter für USB-Sticks enthalten soll, aber da gibt’s sicher Leser dieses Blogs, die da mehr zu sagen können – ich bin nicht so der Apple-Anhänger :).

        Verbindung über USB-Type C:
        Die eben beschriebene Vorgehensweise wird aber sehr wahrscheinlich durch den neuen USB-Standard USB Type C abgelöst (wenn auch erst auf mittelfristiger Sicht – i.V. zur PSD2-Einführung^^): Smartphones, Tablets und andere Endgeräte werden in sehr naher Zukunft im großen Stil mit einem derartigen Anschluss standardmäßig ausgestattet werden. Es gibt einige Geräte auch mittlerweile schon zu kaufen, die über einen solchen Anschluss verfügen. Dann müssen nur noch die Anbieter etwaiger Token nachziehen.

        Kabellose Verbindungen (NFC, Bluetooth, etc.):
        Bluetooth wäre theoretisch und praktisch möglich, jedoch verfügt diese Technologie über bestimmte Merkmale, z. B. eine zu große Reichweite (lt. Norm bei NFC max. 10cm) oder hoher Energieverbrauch, sodass auf NFC zurückgegriffen wird. Da wir hier über den Onlinehandel diskutieren gehe ich mal lieber nicht auf die Problematik von NFC im stationären Handel ein (Auslesen passiver Transponder ohne Authentifizierung/Verschlüsselung/etc., s. auch das Thema „Autoschlüssel“)^^. Tatsächlich gibt es auch bereits Token die über NFC mit entsprechend ausgestatteten Endgeräten kommunizieren können, z. B. Yubikey Neo. Problematisch ist hier natürlich derzeit noch die fehlende Verbreitung von NFC in mobilen oder stationären Endgeräten. Doch auch dieses Thema dürfte sich mit auf dem Markt neu erscheinenden Produkten ziemlich schnell in Luft auflösen. Zumal es auch für NFC-unfähige Geräte bereits eine Möglichkeit gibt NFC „nachzurüsten“ mittels NFC-Stickern. Ich kann dir aber leider nicht sagen wie gut die funktionieren. Aber immerhin verkaufen Mobilfunkanbietern wie Vodafone derartige Sticker – also so schlecht scheint das nicht zu sein (ja, ich weiß ein bisschen naiv^^). Viel teurer ist in diesem Zusammenhang das Token an sich (s. Yubikey Neo). Möglich wäre ja aber auch, dass man die Debitkarte, von denen viele im Jahre 2017 umgetauscht werden, weil man da NFC-Chips implementiert hat, an das NFC-fähige Smartphone dranhält und somit bestätigt, dass man über den nötigen „Besitz“ verfügt.

        Apps:
        Ja, da hast du natürlich vollkommen recht – eine App kommt mangels fehlender Gerätetrennung nicht in Frage, dementsprechend gibt es dem auch wenig hinzuzufügen.

        Zusammenwirken mehrerer Technologien:
        USB Type C kann meiner Meinung nach diese Aufgabe nicht alleine erfüllen, da es die nötige Verbreitung braucht, die aufgrund der sehr zeitigen Einführung der neuen PSD2 Richtlinie wahrscheinlich nicht erzielt werden kann. Eine Lösung wäre die Verwendung von NFC und die Nachrüstung des Smartphone mit entsprechenden Stickern und die anschließende Verwendung der Debitkarte als Merkmal „Besitz“, sofern man Onlineeinkauf auf dem mobilen Endgerät durchführen möchte. Die richtige Lösung wird wohl – wie so oft – aus einem Mittelweg aus mehreren Technologien bestehen. Ich denke auch wenn das Ziel 2018 recht kurzfristig erscheint sind die entsprechenden Dienstleister durchaus in der Lage die technischen Voraussetzungen rechtzeitig zu schaffen. Dazu kommt der Vorteil das wir uns derzeit am Anfang eines neuen Trends befinden (Online-Einkauf via mobilem Endgerät) und wir uns daher schneller an bestimmte Standards gewöhnen können. Diese zusätzliche Sicherheit sollte natürlich nicht zulasten der Konsumenten gehen, aber 2FA ist notwendig, um die hohen finanziellen Schäden, die durch Betrugsfälle im Online-Einkauf entstehen können, eindämmen zu können.

        Zu deinem 2. Absatz:
        Tatsächlich ist es so, das Kreditkarten „kundenfreundlich“ und nicht „sicher“ designt wurden – wie du ja auch schon geschrieben hast. Daher haftet grundsätzlich der Kartenherausgeber und nicht der Nutzer – daran kann ersterer einfach nicht rütteln, außer er würde seine Sicherheitsmechanismen verstärken. Dies scheint ja auch wirklich notwendig, wenn ich mir mal so vergangene Nachrichten anschaue. Und ja, das ist in der Tat ironisch. Das heißt aber nicht, dass man das Sicherheitsniveau in allen Bereichen auf ein niedriges Niveau herabsenken sollte, sondern da wo es sich lohnt (Schadens-/Risikohöhe) die Sicherheitsmechanismen stärken sollte.

        Zu deinem 3. Absatz:
        Ja, die Frage ist interessant. Ich glaube das die entsprechenden Dienstleister den europäischen Markt nicht vernachlässigen wollen – auch weil hier das Geschäft im Onlinehandel stetig rentabler wird und auch noch ordentlich Potential birgt. 2FA ist zudem scheinbar vergleichsweise schnell in die Prozesse eines Webshops integrierbar – Amazon hat es erfolgreich vorgemacht. Die Frage nach den Auswirkungen für britische Onlinehändler verhält sich meiner Meinung nach ähnlich: Die Briten wollen zum einen mit der EU weiter Handelsbeziehungen pflegen und sich zum anderen generell den Handelsraum Europa offenhalten, die werden also mitziehen. Zumal die Briten die onlinekauf-freudigsten Europäer sind die es gibt^^. Außerdem haben auch die Unternehmen an sich – und das wird irgendwie immer vergessen – ein Interesse an mehr Sicherheit, wenn sie dadurch finanziellen Schaden von sich abwenden und stattdessen als Gewinn verbuchen können – so wie sich das ja auch gehört^^. Und was meinst du was passiert, wenn z. B. Amazon in einem Jahr verkünden würde, das die Betrügereien durch 2FA um, schätzen wir mal vorsichtig, 5% zurückgegangen sind – ich meine wir reden hier über einen unglaublich riesigen milliarden-, wenn nicht gar billionenschweren Markt: 2015 alleine in der Eurozone ca. 455 Milliarden Umsatz durch E-Commerce, dieses Jahr voraussichtlich ca. 510 Milliarden. Da hätte sich doch – zumindest für Amazon – die Einführung von 2FA innerhalb weniger Monate amortisiert^^.

        Wichtig ist – und da stimme ich zu – das man Verfahren für den Konsumenten bereitstellt, die dieser nicht verstehen muss, um sie anwenden zu können, schnell anwenden kann und nicht zuviel Geld für die Nutzung ausgeben muss, am besten gar keins.

        Ich habe fertig – sry für den langen Text, es ist halt schon ein extrem cooles Thema, nicht? 🙂

  6. Es gibt doch schon lange etwas, dass das erfüllt und wohl sogar übertrifft:
    iPhone (Besitz) und Biometrie (TouchID) bzw. AppleWatch (Besitz) und Wissen (Passwort – hier aber einmal nach dem Anlegen der Uhr eingegeben und gültig bis man sie abnimmt).
    Sicher
    Privat (keinerlei Übermittlung von Daten des Kunden oder der Karte an den Händler oder apple)
    Schnell

  7. Pingback: FinTech Podcast #81 - Blockchain in Banken - Paymentandbanking.com

  8. Pingback: New Banking: Ein kurzer Wochenrückblick #KW50 | Bankstil

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert